JP4731624B2 - アサーション・メッセージ署名 - Google Patents

アサーション・メッセージ署名 Download PDF

Info

Publication number
JP4731624B2
JP4731624B2 JP2009511617A JP2009511617A JP4731624B2 JP 4731624 B2 JP4731624 B2 JP 4731624B2 JP 2009511617 A JP2009511617 A JP 2009511617A JP 2009511617 A JP2009511617 A JP 2009511617A JP 4731624 B2 JP4731624 B2 JP 4731624B2
Authority
JP
Japan
Prior art keywords
assertion
proof
message
key
signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009511617A
Other languages
English (en)
Other versions
JP2009538082A5 (ja
JP2009538082A (ja
Inventor
グロス、トーマス、アール
ゾンマー、ディーター、エム
カマニッシュ、ヤン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2009538082A publication Critical patent/JP2009538082A/ja
Publication of JP2009538082A5 publication Critical patent/JP2009538082A5/ja
Application granted granted Critical
Publication of JP4731624B2 publication Critical patent/JP4731624B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3252Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/68Special signature format, e.g. XML format

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Transfer Between Computers (AREA)

Description

本発明は、検証当事者から依拠当事者へアサーション・メッセージを提供するための方法、システム、伝送エンティティ、受信エンティティ、コンピュータ・プログラム、信号及びアサーション・メッセージの形式に関する。
インターネットをブラウズするとき又は他の種類の電子商取引を実行するとき、ユーザは彼らのプライバシについてますます心配を高めている。従って、ユーザの識別情報のセキュアで改善された管理に対する要求が高まっている。最も広い意味での識別情報管理は、少なくとも個人デジタル関係の全てを含む、個人に関するあらゆる個人情報の管理を意味する。ビジネスの問題は、例えば、ユーザ管理コストの削減と、電子ビジネスの全体的な増加である。識別情報管理は、インフラストラクチャの問題であり、インターネット及びウェブ標準のような標準がほぼ全ての当事者の便益となり得る。今日の最も重要なオンライン取引は、ユーザに自分の識別情報又は特定の属性をサービス・プロバイダに提供するように要求する。広く用いられている手法としては、ユーザは保証されていない属性をウェブ・フォームに入力するが、これはサービス・プロバイダがビジネス・プロセス自体に必要であるよりも多くの属性を要求することを意味する。サービス・プロバイダは、付加的な情報を用いて、提供された属性の整合性をチェックする。
連合識別情報管理(Federated identity management、FIM)プロトコルは、この従来の手法を上回る多くの利点を有する。サービス・プロバイダは、必要な属性を正確に取得し、信頼できる識別情報プロバイダによって認証することができる。FIMプロトコルは、ユーザの代りに動作するリクエスタを識別情報プロバイダに送信し、そこで、ユーザがサービス・プロバイダによって要求される属性に関する信用証明書を認証し取得するスキームに従う。FIM手法は、データ最小化原理、即ちサービスに必要なユーザ・データのみが伝送されること、に従うことで、ユーザのプライバシを強化することができる。FIMは、ユーザの属性及びプライバシのセキュリティに関する便益を有する幅広く配備され標準化されたプロトコルを提供する。
匿名信用証明書システムは、識別情報管理及び属性交換のためのさらに強力な方法を提供する。この概念は、D.Chaumにより非特許文献1において導入された。匿名信用証明書システムの重要な特性は、匿名信用証明書に関する発行トランザクションがその表示トランザクションにリンク不可能なことである。このことは、ユーザが匿名信用証明書を機密に保ち、認証された属性データを依拠当事者に提供するためにそれを何度も使用することを可能にする。高度な匿名信用証明書システムは、非特許文献2に開示されている。この高度な匿名信用証明書システムは、同じ信用証明書の多数の表示でさえも互いにリンク不可能とすることを可能にする。このシステムは、さらに、いわゆるプライベート証明書システムに一般化されて、ユーザが、単一の信用証明書内にストアされ、より多くの差別化された属性をサポートする識別情報属性、それらの属性にわたる任意の論理式の表示、及び検証可能な暗号化属性と属性の暗号コミットメントとの統合、に関するステートメントを選択的に表示することを可能にする。このシステムで属性をアサートするとき、識別情報プロバイダがトランザクションに関与する必要はない。ユーザは、事前に自分のプライベート証明書を取得し、それらをローカルにストアする。ユーザが認証された属性をサービス・プロバイダに提供することを望むときはいつも、ユーザは、1つ又は複数のプライベート証明書を用いて新しい証明を生成し、自分のプライベート証明書内の属性に関する論理式を表示する。
D. Chaum. Security without identification:Transaction systems to make big brother obsolete. Communications of the ACM,28(10):1030.1044, Oct. 1985. J. Camenisch and A. Lysyanskaya, Efficientnon-transferable anonymous multi-show credential system with optional anonymityrevocation, in B. Pfitzmann, editor, Advances in Cryptology, EUROCRYPT 2001,volume 2045 of LNCS, Parges 93.118, Spronger Verlag, 2001. Y. Dodis and A. Yampolsly, A VerifiableRandom Function with Short Proofs and Keys, In Public Key Cryptography, volume3386 od LNCS, pages 416.431, 2005. C. Kaler and A. Nadalin, (eds.), WS-Federation:Active Requestor Profile, Version 1.0, Jul 2003. http://www-128.ibm.com/developerworks/library/. BANGERTER, E., CAMENISCH, J., ANDLYSYANSKAYA, A., A.cryptographic framework for the controlled release ofcertified data, Twelfth International Workshop on Security Protocols2004(2004), LNCS, Springer Verlag. J. Camenisch and M. Stadler, Efficientgroup signature schemes for large groups, In B. Kaliski, editor, Advances inCryptology, CRYPTO ’97, volume 1296 ofLNCS, pages 410.424, Springer Verlag, 1997.
上述の一般化されたシステムは、知識のゼロ知識証明に基づくものである。現在の署名標準、特に、XML署名に関する安定で良く確立された標準のような公開鍵署名標準は、ゼロ知識証明とは適合しない(Donald Eastlake, Joseph Reagle, David Solo (eds.):XML-SignatureSyntax and Processing, W3C Recommendation, 2002, http://www.w3.org/TR/xmldsig-core/から入手可能)。しかしながら、XML署名は、大部分のFIM及びウェブ・サービス(WS)セキュリティのフレームワークの基盤である。
本発明の目的は、識別情報管理のための改善された解決法を提供することである。
本発明は、独立請求項において定義される方法、システム、伝送エンティティ、受信エンティティ、コンピュータ・プログラム、信号及びアサーション・メッセージ形式に向けられる。本発明のさらなる実施形態は、添付の従属請求項において与えられる。
本発明の一態様によれば、検証当事者から依拠当事者へのアサーション・メッセージを準備する方法が提示されるが、この方法は、
1つ又は複数のステートメントを含むアサーションを作成するステップと、
アサーション証明を作成するステップと、
アサーション及びアサーション証明から一時秘密鍵及び対応する一時公開鍵を作成するステップと、
一時公開鍵に関する鍵証明を作成するステップと、
一時秘密鍵によってアサーション・メッセージ署名を作成するステップと、
一時公開鍵、アサーション証明、鍵証明、アサーション、メッセージ本体及びアサーション・メッセージ署名を含むアサーション・メッセージを作成するステップと
を含む。
本発明のこの態様による方法において、一時秘密鍵と一時公開鍵の鍵の対は、アサーション及びアサーション証明から作成される。これが、アサーション及びアサーション証明をメッセージ本体にバインドする。
アサーションのステートメントは、検証当事者の任意の属性に関係することができる。例えば、ステートメントは、検証当事者の年齢、住所、国籍、又はクレジット・カードに関する情報のような検証当事者の識別情報に関する情報を含むことができる。検証当事者の属性に関するステートメントは、論理式として指定することができる。
従来の公開鍵署名は、公開鍵証明書を署名と共に送信するように要求する。類推により、本発明のこの態様によるアサーション、アサーション証明及び一時公開鍵は、従来の公開鍵署名スキームの公開鍵証明書に対応すると考えることができる。
検証当事者は、その属性に関するステートメントを依拠当事者に提供することを望む任意のエンティティとすることができる。例えば、検証当事者は、インターネットのようなネットワークのユーザとすることができる。他の場合には、検証当事者は、それ自体に関する特性を証明するハードウェア・デバイス、又は特性証明により通信を強化する中間当事者とすることができる。
アサーション証明は、アサーション内に作られたステートメントの暗号証明を与える。アサーション証明によって、依拠当事者は、アサーション内に作られたステートメントを検証することができる。
アサーションは、明記することなしにアサーション証明に含めることができる。
依拠当事者は、検証当事者に関する情報を要求する任意のエンティティとすることができる。例えば、依拠当事者は、インターネットを介してサービスを提供するサービス・プロバイダとすることができる。
アサーション・メッセージ署名は、一時秘密鍵によって作成される。アサーション・メッセージ署名によって、アサーション及びアサーション証明は、メッセージのメッセージ本体にセキュアにバインドすることができる。
最後に、アサーション・メッセージは、アサーション、アサーション証明、一時公開鍵、鍵証明、主メッセージ本体、アサーション・メッセージ署名を含むように作成される。アサーション・メッセージは、次に、依拠当事者に送信することができる。
この方法は、秘密鍵/公開鍵署名を要求する方法又はプロトコルによって、アサーション及び対応するアサーション証明の交換を可能にする利点を有する。
本発明の一実施形態によれば、一時秘密鍵、一時公開鍵及び鍵証明は、セキュア結合関数によって作成される。
セキュア結合関数は、一時秘密鍵及び一時公開鍵を含む一時鍵の対がアサーション証明及びアサーションから擬似ランダムに、ランダムに、又は予測不可能に生成されたことの検証を可能にする関数と理解される。言い換えれば、セキュア結合関数は、一時鍵の対と、一時鍵の対によって作成されたアサーション・メッセージ署名とを、それぞれアサーションと、アサーション証明とにバインドする。言い換えれば、セキュア結合関数は、一時秘密鍵を生成するため、及び、一時秘密鍵の暗号コミットメントとして用いられる対応する一時公開鍵に関する正当性証明書を作るために用いられる。
本発明の一実施形態によれば、セキュア結合関数は、検証可能なランダム関数である。
検証可能なランダム関数は、当事者が検証可能なランダム関数を普通の既知値に適用することによって秘密値を生成することを可能にする。検証可能なランダム関数の数学的構造により、当事者は、秘密値がそれにより生成された証明を作成できるようになる。検証可能なランダム関数によって、一時秘密鍵及び一時公開鍵は、それぞれのアサーション及びアサーション証明に関して擬似ランダムに且つ新しく生成される。
この実施形態によれば、鍵証明は、セキュア結合関数、具体的には検証可能なランダム関数を、アサーション、アサーション証明及び随意的に時間スタンプのような他の入力パラメータに適用することによって一時鍵の対が作成されたことを証明する。
本発明のこの態様の一実施形態によれば、アサーション・メッセージ署名は、
アサーション・メッセージの1つ又は複数の部分のアサーション・メッセージ・ダイジェストを作成するサブステップと、
一時秘密鍵によってアサーション・メッセージ・ダイジェストからアサーション・メッセージ署名を作成するサブステップと、
を含む。
これは、署名生成、特に大量の情報の署名生成の効率を向上させる。アサーション・メッセージ・ダイジェストは、署名されるべきアサーション・メッセージの全ての部分から作成されなければならない。本発明のさらに別の実施形態によれば、アサーション・メッセージ・ダイジェストは、ハッシュ関数(hash function)によって計算される。
本発明のこの態様のさらに別の実施形態によれば、アサーション・メッセージ署名はエンベロープ署名である。このようなエンベロープ署名は、全アサーション・メッセージからダイジェストを作成する。このことは、メッセージの全ての部分がエンベロープ署名によって署名されるという利点を有する。
本発明のこの態様のさらに別の実施形態によれば、アサーション証明及び/又は鍵証明は、ゼロ知識証明である。このことは、検証当事者がその識別情報を依拠当事者に明らかにする必要がないという利点を有する。それは完全に匿名のままに留まることができる。それは、多数のトランザクションにわたって完全にリンク不可能なままの状態で、検証当事者がそれ自体に関するステートメントを選択的に提供することを可能にする。
本発明のさらに別の実施形態によれば、アサーション証明及び/又は鍵証明は、最小開示証明である。このことは、使用可能なアルゴリズムの数を増やし、単純な実装解決法を提供するという利点を有する。
本発明のさらに別の実施形態によれば、アサーション証明及び/又は鍵証明は、非対話型証明である。非対話型証明は、例えばFiat−Shamir経験則を対話型ゼロ知識証明に適用することによって確立することができる。これらの非対話型プロトコルは如何なる対話も要求しないので、非対話型証明は単一のアサーション・メッセージに適合する。
本発明のさらに別の実施形態によれば、一時公開鍵及び一時秘密鍵は、デジタル署名アルゴリズム(Digital Signature Algorithm)(DSA)鍵の対である。
DSAは、広く用いられている署名アルゴリズムである。本発明による方法は、このDSA署名とゼロ知識又は最小開示プロトコルとの組合せを可能にする。
本発明のさらに別の実施形態によれば、アサーション・メッセージ署名は、拡張マークアップ言語デジタル署名(Extended Markup Language Digital Signature)(XML−DSIG)標準による署名である。XML−DSIG署名標準は、例えばWSセキュリティ標準などの多くのウェブ・サービス標準の署名標準である。
本発明のさらに別の実施形態によれば、検証可能なランダム関数は、Dodis及びYampolskyによって提案された関数である。
この検証可能なランダム関数の使用は、非常に効率的な解決法である。
この検証可能なランダム関数の詳細な説明は、非特許文献3に与えられている。
この関数は、双一次マッピングに基づく鍵証明をすでに含む。
この双一次マッピングに基づく鍵証明の代わりに、離散的対数の知識の非対話型ゼロ知識証明を用いることができる。
本発明のさらに別の実施形態によれば、アサーション証明は、検証当事者の1つ又は複数のプライベート証明書から導出される。プライベート証明書システムは、洗練された属性のステートメントがサポートされる匿名信用証明書システムの一般化である。プライベート証明書システムは、発行及び使用の両方がプライバシを強化する方法で可能である状態で、識別情報プロバイダからプライベート証明書を取得し、それらを用いて認証ステートメントを作ることを可能にする。ユーザ又は検証当事者は、識別情報プロバイダからプライベート証明書を取得し、これらの証明書をローカルに保持する。証明書は、例えば、多年にわたる長期存続期間を有することができる。証明書は、一旦取得されると、依拠当事者に送信されることはない。ユーザが属性に関するステートメントを有するアサーションを依拠当事者に提供する必要があるときはいつも、1つ又は多数の自分のプライベート証明書を用いて、彼らの第三者により保証された属性に関する部分情報を制御された方法でリリースする。このリリースは、識別情報プロバイダに関わることなく実行することができる。
本発明のさらに別の実施形態によれば、この方法は、連合識別情報管理(FIM)システムにおいて実行される。連合識別情報管理(FIM)プロトコルは、3つの型のプレイヤ、即ち、その識別情報が連合されるユーザ(検証当事者)、識別情報を証明する識別情報プロバイダ、及びユーザの識別情報の受取り手である依拠当事者、の間のプロトコルである。今日の標準化され、確立されたFIMプロトコルは、典型的には、識別情報プロバイダからユーザに、及びユーザから依拠当事者に伝達される署名されたアサーション・トークンを利用する。このようなプロトコルの有名な例は、非特許文献4において指定されたWS連合アクティブ・リクエスタ・プロフィル(WS-Federation Active Requestor Profile)である。後者は、WSセキュリティ・メッセージに含まれるセキュリティ・アサーションに基づいている。ユーザの識別情報が要求されるときはいつも、セキュリティ・アサーションは、リクエスタ(検証当事者)によって識別情報プロバイダから取得され、次いで依拠当事者に送られる。このことは、i)属性が識別プロバイダによって認証され、ii)正確に要求された属性が依拠当事者に伝達されるという特性を可能にする。この第1の特性は、依拠当事者に関するセキュリティを提供し、第2の特性は、ユーザ(検証当事者)に関するプライバシを提供する。
本発明の第2の態様によれば、アサーション・メッセージを評価する方法が提供されるが、このアサーション・メッセージは、1つ又は複数のステートメントを有するアサーションと、アサーションに関するアサーション証明と、アサーション及びアサーション証明から作成される一時公開鍵と、一時公開鍵に関する鍵証明と、メッセージ本体と、アサーション・メッセージ署名とを含み、この方法は、
鍵証明によって一時公開鍵をチェックするステップと、
アサーション証明によってアサーションをチェックするステップと、
一時公開鍵によってアサーション・メッセージ署名をチェックするステップと、
アサーション・メッセージ署名、一時公開鍵及びアサーションのチェック結果が肯定的である場合に、アサーション・メッセージが妥当であると評価するステップと
を含む。
アサーション・メッセージを受信する依拠当事者は、一時公開鍵の妥当性、アサーションの妥当性及びアサーション・メッセージ署名の妥当性をチェックしてアサーション・メッセージの妥当性を評価する必要がある。
アサーション・メッセージ署名は一時公開鍵の参照を含み、一時公開鍵は対応する鍵証明の参照を含み、鍵証明はアサーション及びアサーション証明の参照を含むことが好ましい。次に、一時公開鍵の参照はアサーション・メッセージ署名から抽出し、鍵証明の参照は一時公開鍵から抽出することができる。一時公開鍵は、鍵証明によって検証することができる。アサーション及び対応するアサーション証明の参照に従って、アサーション内に作られたステートメントは、アサーション証明によって検証することができる。次に、アサーション・メッセージ署名は、一時公開鍵によって検証することができる。
本発明の異なる態様のステップは異なる順序で実行できることに留意されたい。さらに、これらのステップを組み合せることもでき、即ち、例えば2つ又はそれ以上のステップを同時に実行することができる。
本発明の別の態様は、コンピュータ・システム上で実行されるとき、請求項1乃至請求項13のいずれか1項に記載の方法のステップを実行するための命令を含むコンピュータ・プログラムに関する。
本発明の別の態様は、検証当事者から依拠当事者にアサーション・メッセージを伝送するための伝送エンティティに関し、この伝送エンティティは、
1つ又は複数のステートメントを含むアサーションを作成し、
アサーション証明を作成し、
アサーション及びアサーション証明から一時秘密鍵及び対応する一時公開鍵を作成し、
一時公開鍵に関する鍵証明を作成し、
一時秘密鍵によってアサーション・メッセージ署名を作成し、
一時公開鍵、アサーション証明、鍵証明、アサーション、主メッセージ本体及びアサーション・メッセージ署名を含むアサーション・メッセージを依拠当事者に送信する、
ために備えられる。
このような伝送エンティティは、例えば、検証当事者のコンピュータとすることができる。
本発明の別の態様は、検証当事者からアサーション・メッセージを受信するための受信エンティティに関するものであり、このアサーション・メッセージは、1つ又は複数のステートメントを有するアサーションと、アサーションに関するアサーション証明と、アサーション及びアサーション証明から作成される一時公開鍵と、一時公開鍵に関する鍵証明と、メッセージ本体と、アサーション・メッセージ署名とを含み、その受信エンティティは、
鍵証明によって一時公開鍵をチェックし、
アサーション証明によってアサーションをチェックし、
一時公開鍵によってアサーション・メッセージ署名をチェックし、
アサーション・メッセージ署名、一時公開鍵及びアサーションのチェック結果が肯定的である場合、アサーション・メッセージ署名が妥当であると評価する、
ために備えられる。
このような受信エンティティは、例えば、依拠当事者のサーバとすることができる。
本発明の別の態様は、アサーション・メッセージを含む信号に関するもので、このアサーション・メッセージはメッセージ・ヘッダとメッセージ本体を含み、このメッセージ・ヘッダは、1つ又は複数のステートメントを有するアサーションと、アサーション証明と、アサーション及びアサーション証明から作成される一時公開鍵と、一時公開鍵に関する鍵証明と、一時公開鍵に対応する一時秘密鍵によって作成されるアサーション・メッセージ署名とを含む。
本発明の別の態様は、アサーション・メッセージの形式を指定するアサーション・メッセージ形式に関するもので、この形式によるアサーション・メッセージはメッセージ・ヘッダとメッセージ本体を含み、このメッセージ・ヘッダは、1つ又は複数のステートメントを有するアサーションと、アサーション証明と、アサーション及びアサーション証明から作成される一時公開鍵と、一時公開鍵に関する鍵証明と、一時公開鍵に対応する一時秘密鍵によって作成されるアサーション・メッセージ署名とを含む。
本発明の別の態様は、請求項15に記載の伝送エンティティと請求項16に記載の受信エンティティとを含むシステムに関する。
上に提示された本発明の異なる態様は、プライベート証明書システムのようなゼロ知識証明ベースのプロトコルのセマンティクスをXML−DSIG鍵及び署名のような公開鍵署名システムに移行させることを可能にする一般的な構成を提供する。公開鍵署名システムは、多数の業界標準、特にウェブ・サービス(WS)セキュリティ標準によって広く用いられる必須のものであるので、本発明は広く適用できる。
本発明の異なる態様は、プライベート証明書システムのWSセキュリティへの統合を可能にするので、改善されたプライバシ特性を有する新しいWS連合アクティブ・リクエスタ(WS-Federation Active Requestor)プロファイルを可能にする。
特に、上に提示された本発明の異なる態様は、以下の要件、
(a)XML−DSIG標準は既に安定であり、且つゼロ知識証明に向けた変更がXML−DSIGセマンティクスを管理可能性を超えて複雑にする可能性があるので、XML−DSIG標準を変更しないことと、
(b)標準パーツの元の意図を超えた極端に広い解釈を行わず、さらに意図されたセマンティクスに違反しないことと
を満たすシステムの提供を可能にする。
これは、WSセキュリティ環境においてプライベート証明システムを既存の標準セマンティクスにシームレスに統合する可能性を提供する。
本発明の好ましい実施形態を、以下で添付の略図を参照しながら例証としてのみ詳細に説明する。
図面は例証のためだけに与えられ、本発明の実際的な実施例を必ずしも一定の尺度で表しているとは限らない。
用語解説
以下は、この明細書の説明を理解するのに役立つ非公式な定義である。
ユーザ又は検証当事者:その識別情報が管理されるエンティティである。典型的には、ユーザ又は検証当事者は個人であるが、少なくとも小企業が個人のように、例えば旅行予約及び情報収集において他の企業と交信することが多い。他の場合には、検証当事者は、それ自体に関する特性を証明するハードウェア・デバイス、又は特性証明によって通信を強化する中間当事者とすることができる。
依拠当事者:ユーザ又は検証当事者の名前又は属性を知ることを望む、例えばサーバによって代表される、例えば組織のようなエンティティである。組織は、銀行、医者、同僚、インターネット・サービス・プロバイダ及び家族のような全ての個人の通信パートナを含む。
識別情報プロバイダ:個人に関する識別情報関連の情報をストアするエンティティである。これは、銀行、認証局(CA)、インターネット・サービス・プロバイダ等とすることができる。
「コンピュータ」という用語はPCのようなデバイスを含むが、携帯端末、携帯電話及び他の電子デバイスをも含む。
図1を参照して、本発明の例示的な実施形態によるシステム10の全体的なレイアウトを説明する。図中、同じ又は類似の部分を示すのに同じ参照符号を用いる。このシステムは、検証当事者20、識別情報プロバイダ30、及び依拠当事者40を含む。この実施例において検証当事者20は、依拠当事者40との例えば購買取引といった取引を実行することを望むユーザである。検証当事者20は、コンピュータ60上で、例えばウェブ・ブラウザといったクライアント・アプリケーション50を実行する。識別情報プロバイダ30はサーバ70を起動し、依拠当事者40はサーバ80を起動する。コンピュータ60は、通信ライン90を介して識別情報プロバイダ30のサーバ70、及び依拠当事者40のサーバ80に接続可能である。通信ライン90は通常、ネットワーク、例えばインターネットにより提供される。識別情報プロバイダ30は、例えば、銀行、又は識別情報管理サービスを提供する別の専門的な組織とすることができる。識別情報プロバイダ30は、一般に、識別情報関連の情報(IRI)を発行するために備えられる。この識別情報関連の情報という用語により、IRIは個人又はユーザに関する任意の情報であると理解されたい。識別情報関連の情報IRIは、名前、住所、グループ会員、権限証明書、人口統計的データ、個人的好み、カレンダ・エントリ、医療及び財務情報、並びに個人に関して又はユーザ名の下でデジタル的にストアできる他の全てのものを含む。検証当事者20は、例えば、アクセス制御、権限、個人化、認証、ログイン、商業的問題、医療問題、政治問題、又は他の問題に関するようなIRIを望むことができる。識別情報プロバイダ30は、特に、プライベート証明書又はユーザ証明書とも呼ばれる属性信用証明書を発行するように規定される。識別情報プロバイダ30のサーバ70、検証当事者20のコンピュータ60及び依拠当事者40のサーバ80は、プライベート証明書システムのプラグイン100を含む。このプライベート証明書システムのプラグイン100は、システム10がプライベート証明書システムとして動作することを容易にする。プライベート証明書システムは、属性ステートメントに関する洗練されたアサーションがサポートされる匿名信用証明書システムの一般化である。検証当事者20は、識別情報プロバイダ30から1つ又は複数のプライベート証明書110を取得することができる。プライベート証明書110は、検証当事者20のコンピュータ60上にローカルにストアすることができる。検証当事者20は、プライベート証明書110を用いて認証アサーション120を作成することができる。認証アサーション120は、検証当事者20の属性に関するステートメントを有するアサーション及び対応するアサーション証明を含む。これらの認証アサーション120を依拠当事者40に送信することによって、検証当事者20は、完全に匿名でリンク不可能なままの状態で、これらのアサーションを依拠当事者40に対して証明することができる。アサーションに関する証明は、例えば、非対話型ゼロ知識証明、又は非対話型最小開示証明によって確立することができる。
図2は、本発明の例示的な実施形態によるアサーション・メッセージ200の形式の略図を示す。アサーション・メッセージ200は、図1を参照して説明した認証アサーション120の好ましい実施形態である。これは、メッセージ・ヘッダ210とメッセージ本体220を含む。メッセージ・ヘッダ210は、アサーションAを有するアサーション・トークン230と、証明トークン240と、一時公開鍵Kを有する一時公開鍵トークン250と、署名Sを有するエンベロープ署名トークン260とを含む。証明トークン240は、アサーションに関するアサーション証明pを有するアサーション証明トークン241と、一時公開鍵Kに関する鍵証明pを有する鍵証明トークン242とを含む。エンベロープ署名トークン260は、一時公開鍵トークン250の参照270を含む。一時公開鍵トークン250は、証明トークン240の参照280を含み、証明トークン240は、アサーション・トークン230の参照290を含む。メッセージ・ヘッダ210は、さらに別の要素又はトークンを含むことができる。メッセージ本体220は、例えば、図1の依拠当事者40のサービスにアクセスするための要求など、あらゆる種類のメッセージを含むことができる。
コンピュータ60は、検証当事者20から依拠当事者40にアサーション・メッセージ200を伝送する伝送エンティティとして機能することができる。
サーバ80は、アサーション・メッセージ200を受信し、検証する受信エンティティとして機能することができる。
図1におけるシナリオは、検証当事者20から依拠当事者40に、図2に示すアサーション・メッセージ200を提供するための以下のフローについての説明を容易にするように示されている。
図3は、本発明の例示的な実施形態のメッセージ・フローの略図を示す。そこでは、検証当事者20と、識別情報プロバイダ30と、依拠当事者40との間のメッセージ・フローが、それぞれのローマ数字が付与された標識付き矢印で示される。さらなるステップ又はサブステップは、丸ローマ数字によって示される。このフローは、ローマ数字の増加によって示されるように上から下に逐次的に実行されるものと理解されたい。しかしながら、指定された順序なしに並列に実行されるこのプロトコルの多数のインスタンスが存在し得ることに留意されたい。
ステップIにおいて、検証当事者20は、検証当事者20の、例えば、誕生日、郵便番号及び識別情報に関するさらなる情報を含むプライベート証明書を識別情報プロバイダ30に要求する。識別情報プロバイダ30は、要求されたプライベート証明書を発行し、ステップIIにおいて検証当事者20にそれを送り返す。ステップIIIにおいて、検証当事者20は、プライベート証明書をコンピュータ60上にストアする。ステップI及びステップIIは数回繰り返すことができる、即ち、検証当事者20は、幾つかのプライベート証明書をコンピュータ60上にストアすることができる。
検証当事者20が依拠当事者40のサービスを利用することを望む場合には、それは、ステップIVにおいて所望のサービスに関するポリシーを取得するための要求を依拠当事者40に送信する。ステップVにおいて、依拠当事者40は、検証当事者20にポリシーを送り返す。この実施例においては、要求されたサービスに関するポリシーは、ユーザが21歳以上であることの証明を要求するものと仮定する。ステップVIにおいて、検証当事者20は、受信したポリシーを分析し、これをコンピュータ60上にストアされた使用可能なプライベート証明書110と比較する。1つ又は複数の適切なプライベート証明書110が使用可能である場合には、ユーザ又は検証当事者20はそれぞれそれを選択することができ、コンピュータ60のプライベート証明書システムのプラグイン100によって、図2に示すアサーション・メッセージ200のようなアサーション・メッセージが作成される。この実施例においてアサーション・メッセージは、検証当事者20が21歳以上であることのアサーションを含む。このアサーション及び対応するアサーション証明は、プライベート証明書の誕生日から導くことができる。ステップVIIにおいて、アサーション・メッセージが検証当事者20から依拠当事者40に送信される。アサーション・メッセージを受信した後、依拠当事者40は、ステップVIIIにおいて、アサーション・メッセージの妥当性をチェックする。アサーション・メッセージが妥当と検証された場合には、依拠当事者40は、結果、例えば要求された情報をステップIXにおいて検証当事者20に送信する。要求された情報は、例えば、21歳以上の個人のみがアクセス可能なウェブページとすることができる。
検証当事者20が依拠当事者40の別のサービスを利用することを望む場合には、それはステップXにおいて、所望のサービスに関するポリシーを取得するためのさらなる要求を依拠当事者40に送信することができる。ステップXIにおいて、依拠当事者40は、検証当事者20にポリシーを送り返す。この実施例においては、要求されたサービスに関するポリシーは検証当事者20の郵便番号の証明を要求するものと仮定する。ステップXIIにおいて、検証当事者20は、受信したポリシーを分析し、それをコンピュータ60上にストアされた使用可能なプライベート証明書110と比較する。適切なプライベート証明書110が使用可能である場合には、ユーザ又は検証当事者20はそれぞれそれを選択することができ、コンピュータ60のプライベート証明書システムのプラグイン100によって、認証アサーション、即ちアサーション及び対応するアサーション証明が作成される。この実施例において認証アサーションは、検証当事者20が示された郵便番号を有するという情報を含む。さらに、コンピュータ60のプライベート証明書システムのプラグイン100は、認証アサーションを含む別のアサーション・メッセージを作成する。ステップXIIIにおいてアサーション・メッセージは、検証当事者20から依拠当事者40に送信される。アサーション・メッセージを受信した後、依拠当事者40は、ステップXIVにおいて、アサーション・メッセージの妥当性をチェックする。アサーション・メッセージが妥当であると検証された場合には、依拠当事者40は、結果、例えば要求された情報をステップXVにおいて検証当事者20に送信する。
図2のアサーション・メッセージ形式を用いて、プライベート信用証明書システムを有する認証をXML−DSIGのような標準的な公開鍵署名スキームに統合することができる。これは、プライベート信用証明書を有する認証を、それによりXML−DSIG署名を生成することができる一時公開鍵/秘密鍵署名を有する認証に移行させることによって確立することができる。この認証の移行に関しては、セキュリティ・モデルは、検証当事者20が依拠当事者40によって信頼されていないと想定する。従って、検証当事者20が忠実にプロトコルに従って一時署名鍵の対を選択すること、さもなければ検証が異常終了することを実行すべきである。これは、検証当事者が単一の認証アサーション毎に擬似ランダムで且つ新しい一時署名鍵の対を常に選択するという要件を設定することによって実施することができる。
一時署名鍵の対のこの特性は、悪意のある検証当事者20が一時署名鍵の対を複数回使用すること、他のプリンシパルの鍵の対をミスバインドすること、或いは単一の鍵の対を複数の証明書にバインドすることを試みる可能性を防ぐ。本発明のこの実施形態によれば、プライベート信用証明書システムで作られた認証ステートメント(例えば、検証当事者20が属性att=「21歳以上である」を有する)は、以下のステートメントを含むアサーションに変換される。
(a)検証当事者20は、属性att(例えば、「21歳以上である」)を有する。
(b)検証当事者20は、一時公開鍵Kに対応する一時秘密鍵Ksを保持する。
(c)鍵の対(Ks;K)は、このアサーションのために擬似ランダムに新しく生成される。
検証当事者20によって例えばゼロ知識証明ベースのプロトコルで作られたステートメントの各々に対して、新しい一時鍵の対が新しく擬似ランダムに生成されることを保証することができる。さらに、検証可能な擬似ランダム関数と、一時公開鍵が正しく計算されたことを言明する対応するゼロ知識証明とによって、検証当事者20が忠実に一時鍵の対を作成したことを保証することができる。一時鍵の対の1回限り性が、トランザクションのリンク不可能性を可能にする。
この一時鍵の対を用いて、証明されたアサーションによって拡張されたセマンティクスでXML署名を作成することができる。証明されたアサーションは、アサーション・トークン230、証明トークン240及び一時公開鍵トークン250の、3つのトークン・タイプにおけるマニフェストである。一時公開鍵トークン250は、一時鍵の対の特性及び忠実な生成に関するステートメントに関連する。アサーション・トークン230は、一時鍵の対に関連する検証当事者20の属性に関する付加的なステートメントを与える。最後に、証明トークン240は、それらステートメントに関する二重証明、即ち、一方で一時鍵の対の特性及び忠実な生成を証明し、他方で検証当事者20の属性に関するアサーションの付加的なステートメントを証明する、二重証明を保持する。
以下で、アサーション・メッセージの作成及び検証をより詳細に説明する。
前提条件として、Gが素数位数qの巡回群であり、gがそれの生成元であり、g及び群Gの両方が図1に示したシステム10のシステム・パラメータであると仮定する。G及びgは、それらが全てのシステム参加者によって、即ち、識別情報プロバイダ30、検証当事者20及び依拠当事者40によって使用されるDSA署名スキームの公開パラメータとして使用できるように選択される。検証当事者20が、実行されるプロトコルに必要な全てのプライベート証明書を有すると仮定する。さらに、全ての参加者がプロトコルへの入力として要求される証明書検証鍵を有すると仮定する。前提条件としてさらに、検証可能なランダム関数がシステムを使用する全てのプレイヤに対して、即ち、検証当事者20、識別情報プロバイダ30及び依拠当事者40に対して使用可能であると仮定する。検証可能なランダム関数は、図1に示したプライベート証明書システムのプラグイン100において使用可能とすることができる。検証可能なランダム関数は、それに関する素数モジュラスp及び素数位数q並びに生成元gを有する巡回群Gによって規定される。
続いて、検証当事者20(署名者)と依拠当事者40(検証者)の間のプロトコルである方法を説明する。このプロトコルは、検証当事者20によって行われるアサーション・メッセージの作成、及び依拠当事者40によって行われるアサーション・メッセージの検証によって進行する。
図4は、本発明の例示的な実施形態による、図3に示したアサーション・メッセージの作成のフローチャートを示す。
ステップ400において検証当事者20は、依拠当事者40から、現在の要求に関するアクセス情報(アクセス制御ポリシー)含む依拠当事者40のポリシーを受信する。このステップ400は、図3を参照して説明したステップV及びステップXIに対応する。
次のステップ410において、受信されたポリシーは、検証当事者20のコンピュータ60のプライベート証明書システムのプラグイン100にストアされているプライベート証明書及び所定のプリファレンスに関して、並びに検証当事者20の入力に関して分析される。
ステップ420において、前のステップ410の結果としてアサーションが作成される。このようなアサーションは、例えば、検証当事者20の年齢が21歳を超えるか又はそれに等しいことのステートメントとすることができる。
ステップ430において、アサーション証明が作成される。本発明のこの実施形態によれば、アサーション証明は、知識についての非対話型ゼロ知識証明であり、即ち、それは、アサーションの妥当性の証明であるが、アサーションの妥当性以外には他の如何なる情報も伝達しない。アサーション証明は、検証当事者20のプライベート証明書110のサブセット、アサーションA、証明書発行者の公開鍵及びさらに別の公開パラメータを入力として使用することによって生成される。
アサーション証明の一例の詳細な説明は、非特許文献5に与えられている。この文献は、引用により本明細書に組み入れられる。
以下の説明に関して、可変のコンテキストは対話のセキュリティ・コンテキスト、例えば、現在の時刻又は依拠当事者40からの質問であると仮定する。
次のステップ440において、一時秘密鍵K及び一時公開鍵K並びに鍵証明pを含む一時DSA鍵の対が、アサーションA、アサーション証明p及びセキュリティ・コンテキストを入力としてDodis及びYampolskyの検証可能なランダム関数を用いて生成される。
ステップ440は、以下のサブステップを含む。
a.)暗号ハッシュ関数(hash function)Hを用いて中間値mをA‖p‖コンテキストのハッシュとして計算する。
b.){1,...,q}からランダムにxを選択する。
c.)中間値y:=g^xを計算する。
d.)一時秘密鍵KをK:=1/(x+m)(計数q)のように計算する。
e.)一時公開鍵KをK:=g^{K}(計数p)のように計算する。
f.)Camenisch及びStadlerによる非特許文献6で導入された表記法を用いて、次のように指定される非対話型証明として鍵証明pを計算する。
鍵証明pの計算は、以下のサブステップを含む。
f1.)0...q−1の整数の組Zからランダムに変数rを選択する。
f2.)Zからランダムに変数rを選択する。
f3.)t:=g^{r}を計算する。
f4.)t:=g^{r}を計算する。
f5.)t:=y^{r}g^{mr}を計算する。
f6.)c:=H(t,t,t,y,K,g,p,q)を計算する。
f7.)s:=r+cxを計算する。
f8.)s:=r+cKを計算する。
従って、結果として得られた鍵証明pは(y,K,g,s,s,c)の組によって確立される。
ステップb及びステップcは、検証可能なランダム関数のインスタンスを作成する。ステップd、ステップe及びステップfは、検証可能なランダム関数のインスタンスを用いて一時鍵の対及びこの一時鍵の対に関する鍵証明を作成する。
代替的に、鍵証明は双一次マッピングに基づくものとすることができる。
ステップ450において、アサーション・メッセージ200は、メッセージ本体220と、一時公開鍵トークン250と、アサーション証明トークン241及び鍵証明トークン242からなる証明トークン240と、アサーション・トークン230とを含むように部分的にアセンブルされる。
ステップ460において、エンベロープされたXMLデジタル署名が、ステップ450の部分的にアセンブルされたメッセージに対するアサーション・メッセージ署名として、一時秘密鍵Kを用いて計算される。一実施形態によれば、ステップ460は、ステップ450の部分的にアセンブルされたメッセージのアサーション・メッセージ・ダイジェストをハッシュ関数Hによって作成するサブステップを含む。次のサブステップにおいて、アサーション・メッセージ署名(S)が、アサーション・メッセージ・ダイジェストから一時秘密鍵Kを用いて計算される。
ステップ470において、アサーション・メッセージ署名Sが、アサーション・メッセージ200のメッセージ・ヘッダ210に付加される。結果として、図2に示されるアサーション・メッセージ200が得られる。
エンベロープ署名Sの代替として、アサーション・メッセージ署名は、メッセージの部分のみに署名することによって作成することができる。しかしながら、少なくともアサーション証明pは署名されなければならない。
次に、最終ステップ480において、アサーション・メッセージが検証当事者20から依拠当事者40に送信される。
図5は、本発明の例示的な実施形態によるアサーション・メッセージ200の検証のフローチャートを示す。以下のステップは、依拠当事者40によって実行される。
ステップ500において、依拠当事者40は、検証当事者20からアサーション・メッセージ200を受信する。
ステップ510において、アサーションA、アサーション証明p及び鍵証明p、一時公開鍵K、並びにアサーション・メッセージ署名Sがアサーション・メッセージ200から抽出される。
ステップ520において、一時公開鍵Kが検証可能なランダム関数によって検証される。検証可能なランダム関数は、依拠当事者40のサーバ80のプライベート証明書システムのプラグイン100において使用可能である。
ステップ520の第1のサブステップにおいて、中間値mが暗号ハッシュ関数Hを用いてA‖p‖コンテキストのハッシュとして計算される。
ステップ520の第2のサブステップにおいて、一時公開鍵Kの鍵の正当性を証明するゼロ知識証明pが検証される。
一時公開鍵の検証は、以下のサブステップを含む。
a1.)u:=y^{−c}g^{s}を計算する。
a2.)u:=K^{−c}g^{r}を計算する。
a3.)u:=g^{−c}y^{s}g^{ms}を計算する。
a4.)c’:=H(u,u,u,y,K,g,p,q)を計算する。
a5.)cとc’を比較し、c=c’の場合に限り、鍵証明pを検証する。
ステップ530において、アサーション証明pが、検証当事者20のプライベート証明書のサブセット、アサーションA、プライベート証明書の発行者即ち識別情報プロバイダ30の公開鍵、及びさらに別の公開パラメータ、を入力として使用することによって検証される。
ステップ540において、アサーション・メッセージ署名Sが一時公開鍵Kによって検証される。
ステップ520、ステップ530及びステップ540において実行された全てのチェックの結果が肯定的である場合に、アサーション・メッセージ200は妥当であると見なされ、アサーション・メッセージ200の検証がステップ550において発行される。ステップ520、ステップ530及びステップ540において実行されたチェックのうちの一つの結果が否定的である場合には、アサーション・メッセージ200は妥当ではないと見なされ、検証プロセスはステップ560において中止される。
図6は、WSセキュリティ標準によって実施されるアサーション・メッセージのメッセージ・ヘッダ600の一実施例を示す。この実施例は、ウェブ・サービス・メッセージのWSセキュリティ・ヘッダのスケルトンである。この実施例においては、名前空間wsseはWSセキュリティのものであり、credは拡張子に関する名前空間であることに留意されたい。
メッセージ・ヘッダ600は、アサーション証明及び鍵証明を含む証明セクション610と、アサーションを含むアサーション・セクション620と、一時公開鍵を含む一時公開鍵セクション630と、エンベロープ署名を含むエンベロープ署名セクション640とを含む。
任意の開示された実施形態を、示され及び/又は説明された他の実施形態の1つ又は幾つかと組み合せることができる。これは、実施形態の1つ又は複数の特徴に対しても可能である。
付加的な実施形態の詳細
説明された技術は、ソフトウェア、ファームウェア、マイクロコード、ハードウェア及び/又はこれらの任意の組み合せを含む、方法、装置、又は製造物品として実施することができる。本明細書で用いられる「製造物品」という用語は、媒体内に実現されるコード又は論理を指し、その媒体は、ハードウェア論理[例えば、集積回路チップ、プログラマブル・ゲート・アレイ(PGA)、特定用途向け集積回路(ASIC)等]、又は磁気記憶媒体(例えば、ハードディスク・ドライブ、フロッピーディスク、テープ等)、光学記憶装置(CD−ROM、光ディスク等)、揮発性及び不揮発性メモリ・デバイス[例えば、電気的消去可能プログラム可能読取り専用メモリ(EEPROM)、読取り専用メモリ(ROM)、プログラム可能読取り専用メモリ、ランダム・アクセス・メモリ(RAM)、ダイナミック・ランダム・アクセス・メモリ(DRAM)、スタティック・ランダム・アクセス・メモリ(SRAM)、フラッシュ、ファームウェア、プログラマブル論理等]のような、コンピュータ可読媒体を含むことができる。コンピュータ可読媒体内のコードは、プロセッサによってアクセスされ、実行される。コード又は論理がエンコードされる媒体はまた、空間又は伝送媒体、例えば光ファイバ、銅線等を通して伝播する伝送信号を含むことができる。コード又は論理がエンコードされる伝送信号は、無線信号、衛星伝送、電波、赤外線信号、ブルートゥース等をさらに含むことができる。コード又は論理がエンコードされる伝送信号は、伝送ステーションによって伝送し、受信ステーションによって受信することができ、伝送信号内にエンコードされたコード又は論理は、受信及び伝送ステーション又はデバイスにおけるハードウェア又はコンピュータ可読媒体内でデコードしストアすることができる。さらに、「製造物品」は、コードが具体化され、処理され、実行されるハードウェア及びソフトウェア・コンポーネントの組合せを含むことができる。勿論、当業者であれば、実施形態の範囲から逸脱することなく多くの修正を加えることができること、及び、製造物品は任意の情報伝達媒体を含むことができることを認識するであろう。例えば、製造物品は、機械によって実行されるとき、実行される動作を生じる命令を内部にストアする記憶媒体を含む。
特定の実施形態は、完全にハードウェアの実施形態、完全にソフトウェアの実施形態、又はハードウェア要素とソフトウェア要素の両方を含む実施形態の形態をとることができる。好ましい実施形態において本発明は、ファームウェア、常駐ソフトウェア、マイクロコード等を含むが、これらに限定されないソフトウェアにおいて実施される。
さらに、特定の実施形態は、コンピュータ又は任意の命令実行システムによって又はそれと関連させて用いるためのプログラム・コードを与える、コンピュータ使用可能又はコンピュータ可読媒体からアクセス可能なコンピュータ・プログラムの形態をとることができる。この説明のために、コンピュータ使用可能又はコンピュータ可読媒体は、命令実行システム、装置、又はデバイスによって又はそれと関連させて用いるためのプログラムを含む、ストアする、伝達する、伝播する、又は転送することができる任意の装置とすることができる。この媒体は、電子的、磁気的、光学的、電磁的、赤外線、又は半導体システム(又は装置若しくはデバイス)或いは伝播媒体とすることができる。コンピュータ可読媒体の例には、半導体又は固体メモリ、磁気テープ、取り外し可能コンピュータ・ディスケット、ランダム・アクセス・メモリ(RAM)、読取り専用メモリ(ROM)、リジッド磁気ディスク及び光ディスクが含まれる。最新の光ディスクの例には、コンパクト・ディスク読取り専用メモリ(CD−ROM)、コンパクト・ディスク読み書き(CD−R/W)及びDVDが含まれる。
「特定の実施形態」、「一実施形態」、「実施形態」、「複数の実施形態」、「この実施形態」、「これらの実施形態」、「1つ又は複数の実施形態」、「幾つかの実施形態」及び「1つの実施形態」という用語は、特に別に明記されない限り、1つ又は複数の(しかし全てではない)実施形態を意味する。「含む」、「備える」、「有する」という用語及びこれらの変形は、特に別に明記されない限り、「含むが、これらに限定されない」を意味する。項目の列挙リストは、特に別に明記されない限り、項目のいずれか又は全てが相互排他的であることを意味しない。不定冠詞(a、an)及び定冠詞(the)は、特に別に明記されない限り、「1つ又は複数の」を意味する。
相互に通信しているデバイスは、特に別に明記されない限り、相互に連続的に通信している必要はない。さらに、相互に通信しているデバイスは、直接的に或いは1つ又は複数の中継を介して間接的に通信することができる。さらに、相互に通信している幾つかのコンポーネントを有する実施形態の説明は、全てのそれらコンポーネントが必要であることを意味しない。そうではなく、種々様々な可能な実施形態を示すために様々の随意的なコンポーネントが記述されている。
さらに、プロセス・ステップ、方法ステップ、アルゴリズム等は逐次的順序で説明することができるが、このようなプロセス、方法及びアルゴリズムは、代替的な順序で機能するように構成することができる。言い換えれば、記述できるステップの任意の順番又は順序は、必ずしもこれらのステップをその順序で実行する必要性を示すわけではない。本明細書において説明されるプロセスのステップは、任意の実際的な順序で実行することができる。さらに、幾つかのステップは、同時に、並列的に、又は共に実行することができる。
単一のデバイス又は物品が本明細書で説明されるとき、単一のデバイス/物品の代わりに、1つより多くのデバイス/物品(それらが協働してもしなくとも)を用いることができることが明らかであろう。同様に、1つより多くのデバイス又は物品が本明細書において説明される場合は(それらが協働してもしなくとも)、1つより多くのデバイス又は物品の代わりに、単一のデバイス/物品を用いることができることは明らかであろう。デバイスの機能性及び/又は特徴は、このような機能性/特徴を有するとは明記されていない1つ又は複数の他のデバイスによって代替的に具体化することができる。従って、他の実施形態はデバイス自体を含む必要がない。
本発明の文脈におけるコンピュータ・プログラム手段又はコンピュータ・プログラムは、情報処理能力を有するシステムに特定の機能を直接に実行させる、或いは、a)別の言語、コード又は表記への変換、b)異なる有形の形態における複製、のいずれか又は両方の後に実行させるように意図された一組の命令の、任意の言語、コード、又は表記における任意の表現を意味する。
本発明の一実施形態によるシステムの略図を示す。 本発明による一実施形態のメッセージ・フローの略図を示す。 本発明の一実施形態によるアサーション・メッセージの略図を示す。 本発明の一実施形態によるアサーション・メッセージの作成のフローチャートを示す。 本発明の一実施形態によるアサーション・メッセージの検証のフローチャートを示す。 本発明の一実施形態による、WSセキュリティ標準の形式におけるアサーション・メッセージ・トークンの略図を示す。
符号の説明
10:システム
20:検証当事者
30:識別情報プロバイダ
40:依拠当事者
50:クライアント・アプリケーション
60、70、80:サーバ
90:通信ライン
100:プライベート証明書システムのプラグイン
110:プライベート証明書
120:認証アサーション
200:アサーション・メッセージ
210:メッセージ・ヘッダ
220:メッセージ本体
230:アサーション・トークン
240:証明トークン
241:アサーション証明トークン
242:鍵証明トークン
250:一時公開鍵トークン
260:エンベロープ署名トークン
270、280、290:参照

Claims (12)

  1. 検証当事者(20)から依拠当事者(40)にアサーション・メッセージ(200)を伝送するためのコンピュータ(60)であって、
    1つ又は複数のステートメントを含むアサーション(A)を作成し、アサーション証明(pA)を作成し、
    前記アサーション(A)及び前記アサーション証明(pA)から一時秘密鍵及び対応する一時公開鍵(K)を作成し、
    前記一時公開鍵(K)に関する鍵証明(pK)を作成し、
    前記秘密鍵によってアサーション・メッセージ署名(S)を作成し、
    前記一時公開鍵(K)と、前記アサーション証明(pA)と、前記鍵証明(pK)と、前記アサーション(A)と、メッセージ本体(220)と、前記アサーション・メッセージ署名(S)とを含む前記アサーション・メッセージ(200)を前記依拠当事者(40)に送信する、ために備えられるコンピュータ(60)と、
    検証当事者からのアサーション・メッセージ(200)を受信するためのサーバ(80)であって、
    前記アサーション・メッセージ(200)は、1つ又は複数のステートメントを有するアサーション(A)と、前記アサーション(A)に関するアサーション証明(pA)と、
    前記アサーション(A)及び前記アサーション証明(pA)から作成される一時公開鍵(K)と、前記一時公開鍵(K)に関する鍵証明(pK)と、メッセージ本体(220)と、アサーション・メッセージ署名(S)とを含み、
    前記一時公開鍵(K)を前記鍵証明(pK)によってチェックし、
    前記アサーション(A)を前記アサーション証明(pA)によってチェックし、
    前記アサーション・メッセージ署名(S)を前記一時公開鍵(K)によってチェックし、
    前記アサーション・メッセージ署名(S)、前記一時公開鍵(K)及び前記アサーション(A)の前記チェックの結果が肯定的である場合に、前記アサーション・メッセージ(200)が妥当であると評価する、ために備えられるサーバ(80)と、
    を含むシステム(10)。
  2. 前記一時秘密鍵、前記一時公開鍵(K)及び前記鍵証明(pK)は、セキュア結合関数によって作成される、請求項1に記載のシステム
  3. 前記セキュア結合関数は検証可能なランダム関数である、請求項2に記載のシステム
  4. 前記アサーション・メッセージ署名(S)の前記作成は
    前記アサーション・メッセージ(200)の1つ又は複数の部分のアサーション・メッセージ・ダイジェストを作成
    前記アサーション・メッセージ・ダイジェストから、前記一時秘密鍵によって前記アサーション・メッセージ署名(S)を作成することを含む、前記請求項のいずれか1項に記載のシステム
  5. 前記アサーション・メッセージ署名(S)はエンベロープ署名である、前記請求項のいずれか1項に記載のシステム
  6. 前記アサーション証明(pA)及び/又は前記鍵証明(pK)は、ゼロ知識証明又は最小開示証明である、前記請求項のいずれか1項に記載のシステム
  7. 前記アサーション証明(pA)及び/又は前記鍵証明(pK)は非対話型証明である、前記請求項のいずれか1項に記載のシステム
  8. 前記一時公開鍵(K)及び前記一時秘密鍵は、デジタル署名アルゴリズム(DSA)鍵の対である、前記請求項のいずれか1項に記載のシステム
  9. 前記アサーション・メッセージ署名(S)は、拡張マークアップ言語デジタル署名(XML−DSIG)標準による署名である、前記請求項のいずれか1項に記載のシステム
  10. 前記検証可能なランダム関数は、Dodis及びYampolskyによって提案された関数である、請求項3に記載のシステム
  11. 前記アサーション証明(pA)は、前記検証当事者(20)の1つ又は複数のプライベート証明書(110)から導出される、前記請求項のいずれか1項に記載のシステム
  12. 前記システムは、連合識別情報管理(FIM)システム、特にWS連合システムにおいて実施される、前記請求項のいずれか1項に記載のシステム
JP2009511617A 2006-05-21 2007-04-26 アサーション・メッセージ署名 Expired - Fee Related JP4731624B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP06010468 2006-05-21
EP06010468.4 2006-05-21
PCT/IB2007/051546 WO2007135580A2 (en) 2006-05-21 2007-04-26 Assertion message signatures

Publications (3)

Publication Number Publication Date
JP2009538082A JP2009538082A (ja) 2009-10-29
JP2009538082A5 JP2009538082A5 (ja) 2010-09-09
JP4731624B2 true JP4731624B2 (ja) 2011-07-27

Family

ID=38606884

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009511617A Expired - Fee Related JP4731624B2 (ja) 2006-05-21 2007-04-26 アサーション・メッセージ署名

Country Status (7)

Country Link
US (1) US8341416B2 (ja)
EP (1) EP2030364B1 (ja)
JP (1) JP4731624B2 (ja)
KR (1) KR101071790B1 (ja)
CN (1) CN101411117B (ja)
TW (1) TWI497972B (ja)
WO (1) WO2007135580A2 (ja)

Families Citing this family (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8583932B2 (en) 2009-05-29 2013-11-12 Nec Corporation Signature device, signature verification device, anonymous authetication system, signing method, signature authentication method, and programs therefor
WO2011030221A2 (en) * 2009-09-08 2011-03-17 Avoco Secure Ltd. Enhancements to claims based digital identities
TWI399960B (zh) * 2009-12-24 2013-06-21 Univ Vanung The use of semi-anonymous voucher data group network reporting method
US8509431B2 (en) * 2010-09-20 2013-08-13 Interdigital Patent Holdings, Inc. Identity management on a wireless device
US8782397B2 (en) * 2011-01-06 2014-07-15 International Business Machines Corporation Compact attribute for cryptographically protected messages
JP5606344B2 (ja) 2011-01-25 2014-10-15 三菱電機株式会社 署名処理システム、鍵生成装置、署名装置、検証装置、署名処理方法及び署名処理プログラム
WO2012126085A1 (en) * 2011-03-18 2012-09-27 Certicom Corp. Keyed pv signatures
US9647989B2 (en) 2011-04-27 2017-05-09 Symantec Corporation System and method of data interception and conversion in a proxy
US9275230B2 (en) 2011-08-30 2016-03-01 Hewlett-Packard Development Company, L.P. Communication with a virtual trusted runtime BIOS
US9054874B2 (en) * 2011-12-01 2015-06-09 Htc Corporation System and method for data authentication among processors
EP2798566B1 (en) * 2011-12-31 2019-10-09 Intel Corporation Securing device environment for trust provisioning
EP2632097A1 (en) * 2012-02-21 2013-08-28 Lleidanetworks Serveis Telemàtics S.A. Method for certifying delivery of SMS/MMS data messages to mobile terminals
TWI456427B (zh) * 2012-12-12 2014-10-11 Inst Information Industry 進行授權管理之主要管理裝置、代理管理裝置、電子裝置及其授權管理方法
GB2517127A (en) 2013-05-29 2015-02-18 Ibm Method for deriving a verification token from a credential
US9276928B2 (en) * 2013-06-15 2016-03-01 Microsoft Corporation Sending session tokens through passive clients
US9215250B2 (en) * 2013-08-20 2015-12-15 Janus Technologies, Inc. System and method for remotely managing security and configuration of compute devices
US20150066867A1 (en) * 2013-08-27 2015-03-05 eweware, inc. Systems and methods for zero-knowledge attestation validation
IL231550A0 (en) * 2014-03-17 2014-08-31 Nuvoton Technology Corp Saving secure information in external memory
US10659232B2 (en) 2014-04-09 2020-05-19 Ictk Holdings Co., Ltd. Message authentication apparatus and method based on public-key cryptosystems
WO2015156621A1 (ko) * 2014-04-09 2015-10-15 (주) 아이씨티케이 인증 장치 및 방법
JP6622795B2 (ja) * 2014-05-22 2019-12-18 アナログ ディヴァイスィズ インク 動的鍵生成を用いるネットワーク認証システム
CN105376192B (zh) * 2014-07-02 2019-09-17 阿里巴巴集团控股有限公司 登录账号的提示方法和提示装置
US10305886B1 (en) * 2015-05-27 2019-05-28 Ravi Ganesan Triple blind identity exchange
EP3179670A1 (en) * 2015-12-11 2017-06-14 Gemalto Sa Secure electronic device with mechanism to provide unlinkable attribute assertion verifiable by a service provider
WO2017147696A1 (en) 2016-02-29 2017-09-08 Troy Jacob Ronda Systems and methods for distributed identity verification
AU2017225928A1 (en) * 2016-02-29 2018-09-20 Securekey Technologies Inc. Systems and methods for distributed data sharing with asynchronous third-party attestation
US20170289197A1 (en) * 2016-03-31 2017-10-05 Qualcomm Incorporated Transport layer security token binding and trusted signing
TWI633444B (zh) * 2017-06-13 2018-08-21 中華電信股份有限公司 Encryption and decryption communication method and system based on voucher signature verification
US10700862B2 (en) * 2017-09-08 2020-06-30 Fujitsu Limited Reduced data set digest
US10972274B2 (en) * 2018-08-29 2021-04-06 International Business Machines Corporation Trusted identity solution using blockchain
US10949547B2 (en) * 2018-10-05 2021-03-16 Google Llc Enclave fork support
US11374771B2 (en) 2019-03-08 2022-06-28 Ares Technologies, Inc. Methods and systems for implementing mixed protocol certificates
WO2021195219A1 (en) * 2020-03-24 2021-09-30 Ares Technologies, Inc Methods and systems for implementing mixed protocol certificates
US11991292B2 (en) * 2020-04-03 2024-05-21 Mastercard International Incorporated Systems and methods for use in appending log entries to data structures
DE102020119574B4 (de) 2020-07-24 2022-02-17 Infineon Technologies Ag Bereitstellen einer kryptografischen Information
DE102020119569B3 (de) 2020-07-24 2021-12-09 Infineon Technologies Ag Bereitstellen einer kryptografischen Information
US20230038940A1 (en) * 2021-08-04 2023-02-09 Dashlane SAS Multiple Relying Parties in a Single-Sign-On Environment
CN113642007B (zh) * 2021-08-30 2023-12-26 京东方科技集团股份有限公司 代码验证方法、可联网的终端设备及可读存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006515447A (ja) * 2002-12-31 2006-05-25 インターナショナル・ビジネス・マシーンズ・コーポレーション 異機種フェデレーテッド環境におけるネイティブ認証プロトコルのための方法およびシステム

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5231668A (en) * 1991-07-26 1993-07-27 The United States Of America, As Represented By The Secretary Of Commerce Digital signature algorithm
US5493614A (en) 1994-05-03 1996-02-20 Chaum; David Private signature and proof systems
US20030059041A1 (en) * 2001-06-26 2003-03-27 Mackenzie Philip D. Methods and apparatus for two-party generation of DSA signatures
US7184985B2 (en) * 2002-05-30 2007-02-27 Microsoft Corporation Method, system, and apparatus for providing secure access to a digital work
JP4509611B2 (ja) * 2004-03-18 2010-07-21 東芝ソリューション株式会社 電子署名保証システム、プログラム及び装置
US20060174350A1 (en) * 2005-02-03 2006-08-03 Navio Systems, Inc. Methods and apparatus for optimizing identity management

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006515447A (ja) * 2002-12-31 2006-05-25 インターナショナル・ビジネス・マシーンズ・コーポレーション 異機種フェデレーテッド環境におけるネイティブ認証プロトコルのための方法およびシステム

Also Published As

Publication number Publication date
WO2007135580A2 (en) 2007-11-29
US8341416B2 (en) 2012-12-25
TW200810485A (en) 2008-02-16
CN101411117A (zh) 2009-04-15
US20110013771A1 (en) 2011-01-20
EP2030364A2 (en) 2009-03-04
KR20090017538A (ko) 2009-02-18
WO2007135580A3 (en) 2008-01-24
KR101071790B1 (ko) 2011-10-11
EP2030364B1 (en) 2015-08-12
TWI497972B (zh) 2015-08-21
CN101411117B (zh) 2011-12-14
JP2009538082A (ja) 2009-10-29

Similar Documents

Publication Publication Date Title
JP4731624B2 (ja) アサーション・メッセージ署名
US10547643B2 (en) Systems and methods for distributed data sharing with asynchronous third-party attestation
US8327147B2 (en) Non-transferable anonymous digital receipts
US20030177351A1 (en) System and method for single session sign-on with cryptography
US8806195B2 (en) User interface generation in view of constraints of a certificate profile
Bobolz et al. Issuer-hiding attribute-based credentials
US20240031149A1 (en) Systems and methods for blockchain transactions with offer and acceptance
Camenisch et al. Concepts and languages for privacy-preserving attribute-based authentication
CN112199721A (zh) 认证信息处理方法、装置、设备及存储介质
KR20210064076A (ko) 익명 크리덴셜 인증 시스템 및 그 방법
JP2003348077A (ja) 属性証明書検証方法および装置
GB2391438A (en) Electronic sealing for electronic transactions
Ansaroudi et al. Control is Nothing Without Trust a First Look into Digital Identity Wallet Trends
Hernandez-Ardieta et al. An optimistic fair exchange protocol based on signature policies
JP2004320562A (ja) 匿名認証システム、装置及びプログラム
Arroyo et al. Non-conventional digital signatures and their implementations—a review
JP4795776B2 (ja) サービス提供システム、装置及びプログラム
Bernabe et al. Privacy-preserving identity management and applications to academic degree verification
García-Rodríguez et al. A privacy-preserving attribute-based framework for IoT identity lifecycle management
Perera et al. Almost-fully secured fully dynamic group signatures with efficient verifier-local revocation and time-bound keys
Johnson et al. Rethinking Single Sign-On: A Reliable and Privacy-Preserving Alternative with Verifiable Credentials
Omar et al. A Multivariate Convertible Group Signature Scheme
JP3920698B2 (ja) 公開鍵証明書情報検証方法および装置
Boonkrong et al. Public Key Infrastructure
CN115088231A (zh) 用于可信的、保护隐私的基因组数据库发现的协议

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100218

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100722

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20100722

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20100817

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100824

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101118

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101214

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110310

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110405

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110419

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140428

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4731624

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees