JP4843114B2 - トークン認証システムおよび方法 - Google Patents
トークン認証システムおよび方法 Download PDFInfo
- Publication number
- JP4843114B2 JP4843114B2 JP2011138155A JP2011138155A JP4843114B2 JP 4843114 B2 JP4843114 B2 JP 4843114B2 JP 2011138155 A JP2011138155 A JP 2011138155A JP 2011138155 A JP2011138155 A JP 2011138155A JP 4843114 B2 JP4843114 B2 JP 4843114B2
- Authority
- JP
- Japan
- Prior art keywords
- time password
- token
- authentication server
- counter
- secret
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Mobile Radio Communication Systems (AREA)
Description
本発明は、認証に関し、特にハードウエア装置を使用する認証に関する。
ネットワーク中においてデータまたはサービスにアクセスするリクエストを許可するか否かを決定する通常のステップはリクエストしているユーザを識別して認証することである。認証はユーザのアイデンティティを確認するプロセスを含んでいる。既知の識別および認証システムはユーザ識別子(“ユーザid”)とユーザに対するシークレット(“パスワード”)との関係を含んでいる。パスワードはユーザと認証サービス機関との間で共有されているシークレットである。ユーザは自己のユーザidとパスワードを認証サービス機関に提示し、その認証サービス機関はそれらをそのサービス機関に記憶されているユーザidおよび関連するパスワードと比較する。それらが整合している場合には、ユーザは認証されたとされる。整合しない場合には、ユーザは認証されないとされる。
トークンはユーザを認証するために使用されることのできる装置である。それは1以上のシークレットを含むことができ、それらのシークレットの幾つかは確認センターと共有されることができる。例えば、トークンはワン・タイム・パスワード(OTP)を計算するベースとして使用されることのできるシークレットキーを記憶することができる。OTPはかって生成され、その後は再使用されていない番号(またはアルファベット列)であってもよい。トークンはOTPを発生してそれを特有のトークン通し番号と共に認証サーバへ送る。認証サーバは受信された通し番号によりそのトークンに対するそのシークレットキーのコピーを使用してOTPを計算することができる。OTPが整合する場合には、ユーザは認証されるべきであるとされる。ユーザからトークンへのリンクをさらに強力にするために、ユーザはトークンのロックを解除することにより入力されなければならないトークンと共有されたシークレット個人識別番号(PIN)を設定することができる。その代りにPINはユーザと、トークンと、認証サーバとの間で共有されることができ、OTPを生成するための他のファクタと共に使用されることができる。トークンは典型的に許可されていない開示からそのシークレットを保護するために盗用に対する抵抗力の高い手段を具えている。
本発明の目的は、ワン・タイム・パスワードを計算する方法を提供することである。
シークレットはカウントと連結され、シークレットは特有にトークンに割当てられる。シークレットは私設キーであってもよく、或いは共有されたシークレット対称キーであってもよい。カウントはトークンにおいて単調に増加する数であり、トークンにおいて発生さたれたワン・タイム・パスワードの番号を有している。そのカウントはまた認証サーバにおいて追跡され、それにおいて認証サーバにおけるワン・タイム・パスワードの各計算と共に単調に増加する。OTPは連結されたシークレットとカウントとをハッシュすることによって計算されることができる。その結果は切捨てることができる。
本発明の1実施形態では、ハードウエア装置においてワン・タイム・パスワード(OTP)を発生するためのプロトコルを含んでおり、それはユーザを認証するために使用される。OTPはトークンにより発生され、そのトークンは、それが含まれているソフトウエアおよび情報の許可されない変更や、開放を阻止して、その適切な機能を確保するためのメカニズムを含んでいる物理的な装置であることができる。
このプロトコルの1実施形態は、シーケンスベースであることができ、2ファクタ、例えばユーザの知識(個人識別番号、ユーザと認証サービス機関との間で共有されるシークレットのようなもの)およびユーザが所有している例えばトークンのような特別の特性を有する物理的装置(例えば私設キーまたは共有された対称キーのような特有のシークレットキー)である。
OTPを発生するためのプロトコルはカウンタに基づくことが可能であり、例えばOTPがトークンからリクエストされる回数に基づいた単調に増加する数である。OTPの値はトークン上に表示されることができ、例えばネットワークに結合されているコンピュータに結合されているキーボードを介してユーザにより容易に読取られ、入力されることができる。OTPはRADIUSシステムによって転送されることができる。
本発明によるプロトコルの1実施形態は、増加するカウンタ値と、トークンおよび認証サービス機関(“強力な認証”サービス)に対してのみ知られている静的対称キーとに基づくことができる。OTP値はRFC2104に規定されているようなHMAC−SHA1アルゴリズムまたは任意の他の適当なハッシュアルゴリズムを使用して生成されることができる。このハッシュされたMACアルゴリズムはSHA−1の強度を有しているが、出力の計算中のシークレットの付加を許容する。
HMAC−SHA1アルゴリズムによる計算の出力は160ビットである。しかしながら、この値はユーザにより容易に入力されることができるような長さに切り捨てられることができる。
OTP=切捨て(HMAC−SHA1(カウント,シークレット))
クライアントおよび認証サーバの両者はOTP値を計算することができる。サーバにより受信された値がそのサーバにより計算された値と一致するならば、ユーザは認証されるべきであるとされる。サーバで認証が生じた場合には、そのサーバはカウンタ値を1だけインクリメントする。
OTP=切捨て(HMAC−SHA1(カウント,シークレット))
クライアントおよび認証サーバの両者はOTP値を計算することができる。サーバにより受信された値がそのサーバにより計算された値と一致するならば、ユーザは認証されるべきであるとされる。サーバで認証が生じた場合には、そのサーバはカウンタ値を1だけインクリメントする。
サーバのカウンタ値は成功したOTP認証後にインクリメントされることができるが、トークンにおけるカウンタはボタンが押される都度インクリメントされることができる。このため、サーバとトークンのカウンタ値はしばしば同期が外れる可能性がある。事実、ユーザ環境与えられたサーバとトークンが常に同期が外れているチャンスがある(例えばユーザが必要がないのにボタンを押すとき、ボタンが偶発的に押されるとき、ユーザがOTPをミスタイプするとき等)。
サーバのカウンタは有効なOTPが与えられたときにのみインクリメントするため、トークンにおけるサーバのカウンタ値はトークンにおけるカウンタ値よりも常に少ないことが予測される。再同期がユーザまたは企業のIT部門のいずれかの負担とならないことが確実にされることを確認することが重要である。
このようなシナリオにおけるカウンタの同期は、次のn個のOTP値をサーバが計算して(nは整数)、一致していることを決定することによって達成される。トークンにおけるカウントとサーバおけるカウントとの間の差が50であると仮定した場合には、強力な認証サーバの構成に応じて、そのサーバは最大で次の50のOTP値を計算しなければならない。したがって、例えば正確なOTPがn+12の値にあることが発見された場合には、サーバはそのユーザを認証し、その後、カウンタを12だけインクリメントする。
サーバにより容易に計算されることのできるnに対する値を注意深く選択することが重要である。サーバがOTP値を永久に検査しないことを確実にして、それにより10進サービスアタックに屈伏する上限が必要である。
HMAC−SHA1値を6文字値に切捨てることによって、特に数字だけが使用されている場合にマウントに対して容易にアタックする強力な力を与える可能性がある。このため、このようなアタックは強力な認証サーバにおいて検出されて停止されることができる。サーバが妥当でないOTPを計算するたびにこれを記録して、例えば幾つかのポイントで同じソースからの確認に対して将来のリクエストを拒否して被害を受けることを阻止する手段を構成する。その代りに、ユーザは確認の試みの間の長時間の待機を強制されることができる。
ユーザがロックアウトされると、そのユーザは、例えばシーケンス中の多数のOTPに入るためにユーザを必要とするウエブインターフェースを提供することによって“自己ロック解除”することができて、それらかトークンを有することが証明される。
共有されたシークレットがカウンタと組合わされると、160ビット(20バイト)のHMAC−SHA1結果が得られる。1実施形態では、我々のOTPに対してこの情報の最大で4バイトである。HMACRFC(RFC2104-HMAC:メッセージ認証に対するキードハッシング)はさらにセクション5のHMAC結果の半分以上を使用しなければならないと警告している。切捨てられた出力は:
HMACのアプリケーションがHMAC計算の左側のtビットを出力することによってHMACの出力の切捨てを選択することが可能であり、…出力長tはハッシュ出力の長さの半分より小さくないことを推奨しており、…80ビット(アタッカにより予測されるのに必要なビット数に付いての適当な低い限度)より少なくはない。
HMACのアプリケーションがHMAC計算の左側のtビットを出力することによってHMACの出力の切捨てを選択することが可能であり、…出力長tはハッシュ出力の長さの半分より小さくないことを推奨しており、…80ビット(アタッカにより予測されるのに必要なビット数に付いての適当な低い限度)より少なくはない。
したがって、HMACまたはSHA1のいずれも弱めることのない方法でHMAC結果の4バイトまたはさらに少ないバイトだけを選択する別の方法が必要である。
[ダイナミックオフセット切捨て]
この技術の目的は、HMAC−SHA1結果から4バイトのダイナミック2進コードを抽出し、その一方でMACの暗号の強さの大部分を維持することである。
この技術の目的は、HMAC−SHA1結果から4バイトのダイナミック2進コードを抽出し、その一方でMACの暗号の強さの大部分を維持することである。
1.最後のバイト(バイト19)を取り、
2.オフセット値として低いオーダーの4ビットをマスクして除去し、
3.オフセット値を使用してHMAC−SHA1結果のバイト中へインデックスし、
4.ダイナミック2進コードとして後続する4バイトを戻す。
2.オフセット値として低いオーダーの4ビットをマスクして除去し、
3.オフセット値を使用してHMAC−SHA1結果のバイト中へインデックスし、
4.ダイナミック2進コードとして後続する4バイトを戻す。
以下のコード例は、hmac resultはHMAC−SHA1結果を有するバイトアレイを与えるダイナミック2進コードの抽出を記載したものである。
以下はこの技術の使用例である。
1.最後のバイト(バイト19)は6値0×5aを有する。
2.下位の4ビットの値は0×aである(オフセット値)。
3.オフセット値はバイト10(10×a)である。
4.バイト10で始まる4バイトの値は0×50ef7f19であり、それはダイナミックに2進コードである。
我々は31ビットの、符号のない、ビッグエンド(big endian)の整数として2進コードを処理し、その第1のバイトは0×7fでマークされる。
2.下位の4ビットの値は0×aである(オフセット値)。
3.オフセット値はバイト10(10×a)である。
4.バイト10で始まる4バイトの値は0×50ef7f19であり、それはダイナミックに2進コードである。
我々は31ビットの、符号のない、ビッグエンド(big endian)の整数として2進コードを処理し、その第1のバイトは0×7fでマークされる。
所定のシークレットのためのOTPおよびムービングファクタは、3つのパラメータ、すなわち、エンコードベース、コードデジット、ハズチェックサムに基づいて変化することができる。エンコードベースとして10、真(TRUE)へセットされたコードデジットおよびバスチェックサムとして7により、上記の例を継続する。
・6値0×50ef7f19を1357872921ベース10に変換する。
・最後の7デジットは7872921である。
・コードデジットのクレジットカードチェックサムは7をチェックサムとして計算する。10-((5+8+5+2+9+2+2)mod10)=10-(33mod10)=10-3=7
・以下のOTP:78729217が得られる。
・6値0×50ef7f19を1357872921ベース10に変換する。
・最後の7デジットは7872921である。
・コードデジットのクレジットカードチェックサムは7をチェックサムとして計算する。10-((5+8+5+2+9+2+2)mod10)=10-(33mod10)=10-3=7
・以下のOTP:78729217が得られる。
以下はこのアプリケーションで使用される用語集である。
チェックサムデジット;コードデジットに対してクレジットカードチェックサムアルゴリズムを適用した結果である。このデジットは随意である。このチェックは任意の単一の順序変更または任意の単一のミスタイプされた文字を捕捉しなければならない。
チェックサムデジット;コードデジットに対してクレジットカードチェックサムアルゴリズムを適用した結果である。このデジットは随意である。このチェックは任意の単一の順序変更または任意の単一のミスタイプされた文字を捕捉しなければならない。
コードデジット;このパラメータは2進コードから得られるデジットの数である。2進コードをエンコードベースに変換し、少なくともコードデジットである0をパッドし、右側(下位)デジットを採用することにより計算される。エンコードベースとして10により9を越えないコードデジットが31ビットの2進コードによりサポートされることができる。
クレジットカードチェックサムアルゴリズム;このチェックサムアルゴリズムは任意の単一のミスタイプされたデジットまたは任意の単一の隣接する2つのデジットの順序変更を捕捉できる利点を有している。これらは最も普通のタイプのユーザエラーである。
エンコードベース;このパラメータはパスワードに使用されるもののベースを示している。ベース10は数値パッドで入力されることができるので好ましいベースである。
ハズチェックサムデジット;このブールパラメータはチェックサムデジットがOTPを生成するために付加されなければならないか否かを示す。チェックサムデジットが存在しないならば、そのコードデジットがOTPとして使用される。チェックサムデジットが存在すれば、クレジットカードチェックサムアルゴリズムへの入力としてそのコードデジットを使用してそれが計算される。
OTP;ワン・タイム・パスワード。この値は、存在するものがあれば、コードデジットの右にチェックサムデジットを付加することにより構成される。チェックサムデジットが存在しなければ、OTPはコードデジットと同じである。
ワン・タイムの数値はハッシュビット中で第1のシフトを行い、その後同期ビットをシフトし、その後、前の中間値のチェック関数()の結果をシフトすることにより計算される。
ワン・タイムの数値はハッシュビット中で第1のシフトを行い、その後同期ビットをシフトし、その後、前の中間値のチェック関数()の結果をシフトすることにより計算される。
2進値はその後、適当な文字値に変換される。パスワードの3つの類似した文字表示、すなわち10進数、6進数、アルファベットおよび数字が存在する。
10進数
トークンはダイナミック2進コードを10進数に変換し、それから最後のコードデジットプラス随意のチェックサムを表示することができる。例えば、チェックサムがない6デジットに対して、10進数トークンは2進コードを10進数に変換し、最後の6デジットを表示する。
トークンはダイナミック2進コードを10進数に変換し、それから最後のコードデジットプラス随意のチェックサムを表示することができる。例えば、チェックサムがない6デジットに対して、10進数トークンは2進コードを10進数に変換し、最後の6デジットを表示する。
6進数
トークンはダイナミック2進コードを6進数に変換し、それから最後のコードデジットプラス随意のチェックサムを表示することができる。例えば、チェックサムがない6デジットに対して、6進数トークンは2進コードを6進数に変換し、最後の6デジットを表示する。
トークンはダイナミック2進コードを6進数に変換し、それから最後のコードデジットプラス随意のチェックサムを表示することができる。例えば、チェックサムがない6デジットに対して、6進数トークンは2進コードを6進数に変換し、最後の6デジットを表示する。
アルファベットおよび数字
トークンはダイナミック2進コードをベース32に変換し、それから最後のコードデジットプラス随意のチェックサムを表示することができる。例えば、チェックサムがない6デジットに対して、ベース32のトークンは2進コードをベース32に変換し、最後の6デジットを表示する。
トークンはダイナミック2進コードをベース32に変換し、それから最後のコードデジットプラス随意のチェックサムを表示することができる。例えば、チェックサムがない6デジットに対して、ベース32のトークンは2進コードをベース32に変換し、最後の6デジットを表示する。
PIN
真の2ファクタ認証トークンのために、OTPの“あなたの有しているもの”の値に“あなたの知っているもの”の値を付加することができる。この値は通常静的なPINまたはユーザだけに知られているパスワードである。このセクションでは、本発明による静的PINを確認するために3つの別のアーキテクチャについて説明する。
クラウド中のPIN確認
クラウド中のPIN確認を可能にするために、単一のPINは単一のトークンに結合されることができる。PINは暴露されないことを確実にするためにワイヤ上で保護されなければならない。PINの管理(設定、変更)は強力な認証サービスによって行われなければならない。
真の2ファクタ認証トークンのために、OTPの“あなたの有しているもの”の値に“あなたの知っているもの”の値を付加することができる。この値は通常静的なPINまたはユーザだけに知られているパスワードである。このセクションでは、本発明による静的PINを確認するために3つの別のアーキテクチャについて説明する。
クラウド中のPIN確認
クラウド中のPIN確認を可能にするために、単一のPINは単一のトークンに結合されることができる。PINは暴露されないことを確実にするためにワイヤ上で保護されなければならない。PINの管理(設定、変更)は強力な認証サービスによって行われなければならない。
企業におけるPIN確認
クラウド中のPIN確認を可能にすることは単一のトークンに対する多数のPIN確認を意味している。
PINは企業のセキュリティワールドに残されてはならない。PINの管理は企業によって行われることができる。
クラウド中のPIN確認を可能にすることは単一のトークンに対する多数のPIN確認を意味している。
PINは企業のセキュリティワールドに残されてはならない。PINの管理は企業によって行われることができる。
トークンにおけるPIN確認
この実施形態はトークンにおけるキーパッドを使用して構成されることができる。PINは絶対にワイヤで送ってはならず、OTPアルゴリズムに対するシードとして使用されることができる。PINは単にトークンのロックを解除するために使用されることができる。
この実施形態はトークンにおけるキーパッドを使用して構成されることができる。PINは絶対にワイヤで送ってはならず、OTPアルゴリズムに対するシードとして使用されることができる。PINは単にトークンのロックを解除するために使用されることができる。
[データフローの例]
このセクションでは2つのデータフローのシナリオについて説明する。第1のシナリオでは、強力な認証サービスがトークンと関係するユーザ名を知らないと仮定する。このシナリオでは、PINの管理動作はそれらのユーザ名の代りにそれらのトークンSNを入力するようにユーザに要求すると仮定している。
このセクションでは2つのデータフローのシナリオについて説明する。第1のシナリオでは、強力な認証サービスがトークンと関係するユーザ名を知らないと仮定する。このシナリオでは、PINの管理動作はそれらのユーザ名の代りにそれらのトークンSNを入力するようにユーザに要求すると仮定している。
第2のシナリオは、トークンSNの代りにユーザ名が強力な認証サービス中へのキーであることを除いては第1のシナリオに非常によく類似している。この場合について幾つかの論点がある。第1に、ユーザ名はサービス機関に知られており、第2に、ユーザ名からトークンSNへの特有のマップを確実に行う方式が得られなければならない。
図1は、本発明の1実施形態による認証手順を示している。それにおいて以下のことが仮定されている。
・トークンSNとSは強力な認証サービスへ分配され、
・カストマアカウントは各トークンに関連され、
・PINは特定のトークンに関連され、
・強力な認証サービスはDB中のPINのSHA−1ハッシュのみを保存し、
・トークンSNは企業におけるユーザアカウントに対する属性として付加され、プラグインによりユーザ名をSNへマップする。
・トークンSNとSは強力な認証サービスへ分配され、
・カストマアカウントは各トークンに関連され、
・PINは特定のトークンに関連され、
・強力な認証サービスはDB中のPINのSHA−1ハッシュのみを保存し、
・トークンSNは企業におけるユーザアカウントに対する属性として付加され、プラグインによりユーザ名をSNへマップする。
強力な認証サーバ110と、企業の認証サーバ120と、クライアント130とは、例えばネットワーク(図示せず)により結合されている。図1に示されているように、クライアント130に位置するユーザは企業のサーバ120に保護されたリソースへアクセスするためのリクエストを送信する。そのサーバはリソースへのアクセスが認証を必要とするか否かを決定する。認証を必要とする場合には、そのサーバ120は“認証を必要とされる”のメッセージをクライアント130に送る。ユーザはユーザ名とパスワードの提示を促される。ユーザはそのユーザのトークンのボタン(図示せず)を押してOTPを得ることができる。OTPは上述のように、例えばトークンシークレットと、トークンに記憶されているカウントに対する現在の値の組み合わせをハッシュすることによって発生される。その後、ユーザはそのユーザ名と,トークンにより与えられたOTPに連結された個人的識別番号(PIN)を入力する。この情報は企業のサーバ120に送られる。企業のサーバ120はユーザ名に基づいてトークンの通し番号を探して、その通し番号とPIN+OTPを認証サーバ110に送る。認証サーバ110は通し番号に基づいて記録を探してPINのローカルにハッシュされた値とシークレットと目的とされているカウントとを得る。これは、トークンのシークレットが特有に割当てられているトークンと認証サーバ110との間で共有されることができるために可能である。それから、認証サーバ110はトークンに対するシークレットと認証サーバに記憶されているそのトークンに対するカウントの現在値とに基づいてOTPを計算する。計算されたOTPが受信されたOTPと整合していれば、認証サーバ110におけるカウントの値が1だけインクリメントされる。そうでなければ、認証サーバは、トークンに対するカウントをインクリメントし、トークンに対するシークレットと共にそれをハッシュすることによってOTPを計算しようと再度試みる。これは、上述したように、認証サーバ110におけるカウント値がトークンにおけるカウント値とは異なっていてもよい(図示せず)ために行われることができる。この手順は、トークンにおけるカウント値にカウント値が追いつくことが可能な合理的な回数で反復されることができる。1実施形態では、認証サーバにおけるトークンの認証を試みるそのような反復の回数は予め定められた同じ回数、例えば12回の反復後に終了される。トークンが認証サーバ110によって認証されることが成功できない場合には、認証サーバ110は“認証されず”のメッセージを企業のサーバ120に送る。トークンが認証されることに成功した場合には、認証サーバ110は“認証された”のメッセージを企業のサーバ120に送る。認証サーバ110から得られた結果に基づいて、企業のサーバは、クライアントからのリソースをアクセスするためにリクエストされた許可をそれぞれ拒否または承認する。
図2は、本発明の別の実施形態による認証手順を示している。それにおいて以下のことが仮定されている。
・トークンSNとSは強力な認証サービスへ分配され、
・カストマアカウントは各トークンに関連され、
・PINは特定のトークンに関連され、
・強力な認証サービスはDB中のPINのSHA−1ハッシュのみを保存し、
・ユーザ名は企業の認証サーバから強力な認証サーバへ転送される。
・トークンSNとSは強力な認証サービスへ分配され、
・カストマアカウントは各トークンに関連され、
・PINは特定のトークンに関連され、
・強力な認証サービスはDB中のPINのSHA−1ハッシュのみを保存し、
・ユーザ名は企業の認証サーバから強力な認証サーバへ転送される。
図2の認証手順は、ユーザ名とPIN+OTPがクライアント130から企業のサーバ120に送られる直後までは図1と同じである。しかしながら、ユーザ名に基づいてトークン通し番号を探すのではなく、企業のサーバ120は認証リクエスト(ユーザ名とPIN+OTPを含んでいる)を認証サーバ110に送信する。認証サーバ110はユーザ名に基づいて記録を探してPINを認証し、その後プロセスの残りに対しては図1に示されているのと同じ手順にしたかって処理が行われる。
110 強力な認証サービス
120 企業の認証サーバ
130 クライアント
120 企業の認証サーバ
130 クライアント
Claims (6)
- エンタープライズ認証サーバに保護されているリソースへクライアントがアクセスするためのリクエストを、内部にカウンタを有するトークンを使用して、前記トークンと対応するように関連付けられているカウンタを有するワン・タイム・パスワードの強力な認証サーバを介して認証する方法において、
クライアントを認証するためのリクエストを前記エンタープライズ認証サーバにおいて受信するステップを具備し、
前記リクエストは、ユーザ名と、前記ユーザに関する個人識別番号と、トークンにより生成される第1ワン・タイム・パスワードと、を含み、
前記第1ワン・タイム・パスワードは、前記トークンにおけるカウンタの値と、前記トークンと前記エンタープライズ認証サーバとの間で共有されているシークレットと、に基づいて生成され、
前記エンタープライズ認証サーバは、該サーバに接続されている記憶装置から前記ユーザ名に基づきトークンの通し番号を検索し、該通し番号と、前記ユーザに関する個人識別番号と、前記トークンにより生成される第1ワン・タイム・パスワードと、を前記強力な認証サーバに送信し、
前記方法はさらに、前記強力な認証サーバにおいて、
前記通し番号に基づいて前記トークンに対応する前記カウンタの値を前記強力な認証サーバに接続されている記憶装置から検索するステップと、
前記通し番号に基づいて前記トークンに対応する前記共有されているシークレットを前記記憶装置から検索するステップと、
検索された前記カウンタの値および前記トークンに対応する前記シークレットに基づいて第2ワン・タイム・パスワードを計算するステップと、
前記第2ワン・タイム・パスワードを第1ワン・タイム・パスワードと比較するステップと、
を具備し、
前記第2ワン・タイム・パスワードが前記第1ワン・タイム・パスワードと同じである場合には、前記クライアントシステムは認証され、
前記第2ワン・タイム・パスワードが前記第1ワン・タイム・パスワードと同じでない場合には、前記強力な認証サーバにおいて、
前記認証サーバにおける前記カウンタの値をインクリメントして、そのインクリメントされたカウンタと前記シークレットとに基づいて第3ワン・タイム・パスワードを計算するステップと、
前記第3ワン・タイム・パスワードを前記第1ワン・タイム・パスワードと比較するステップと、
を具備し、
前記第3ワン・タイム・パスワードが前記第1ワン・タイム・パスワードと一致しない場合には、前記カウンタのインクリメントとワン・タイム・パスワードの再計算とが所定の回数、または前記再計算されたワン・タイム・パスワードが前記第1ワン・タイム・パスワードと一致するまで繰り返されることを特徴とする認証方法。 - シークレットは対称暗号キーであることを特徴とする請求項1に記載の方法。
- 再計算されたワン・タイム・パスワードが、前記所定の回数の終了までに、受信されたワン・タイム・パスワードと一致しない場合には、前記クライアントシステムの認証は否定されることを特徴とする請求項1に記載の方法。
- エンタープライズ認証サーバに保護されているリソースへクライアントがアクセスするためのリクエストを、内部にカウンタを有するトークンを使用して、前記トークンと対応するように関連付けられているカウンタを有するワン・タイム・パスワードの強力な認証サーバを介して認証する方法において、
クライアントを認証するためのリクエストを前記エンタープライズ認証サーバにおいて受信するステップを具備し、
前記リクエストは、ユーザ名と、前記ユーザに関する個人識別番号と、トークンにおいて生成される第1ワン・タイム・パスワードと、を含み、
前記第1ワン・タイム・パスワードは、前記トークンにおけるカウンタの値と、前記トークンと前記エンタープライズ認証サーバとの間で共有されているシークレットと、に基づいて生成され、
前記エンタープライズ認証サーバは、前記受信したリクエストの前記ユーザ名と、前記ユーザに関する個人識別番号と、前記トークンにより生成される第1ワン・タイム・パスワードと、を前記強力な認証サーバに転送し、
前記方法はさらに、前記強力な認証サーバにおいて、
前記ユーザ名に基づいて、前記トークンに対応する前記カウンタの値を前記強力な認証サーバに接続されている記憶装置から検索するステップと、
前記ユーザ名に基づいて、前記トークンに対応する前記シークレットを、前記記憶装置から検索するステップと、
前記検索されたカウンタの値および前記トークンに対応する前記シークレットに基づいて、第2ワン・タイム・パスワードの値を計算するステップと、
前記第2ワン・タイム・パスワードを前記第1ワン・タイム・パスワードと比較するステップと、
を具備し、
前記第2ワン・タイム・パスワードが前記第1ワン・タイム・パスワードに一致している場合には、前記クライアントが前記リソースへアクセスするためのリクエストは認証され、
前記第2ワン・タイム・パスワードが前記第1パスワードに一致していない場合には、前記強力な認証サーバにおいて、
認証サーバにおける前記カウンタの値をインクリメントするステップと、
前記インクリメントされたカウンタおよび前記シークレットに基づいて第3ワン・タイム・パスワードを計算するステップと、
前記第3ワン・タイム・パスワードを前記第1ワン・タイム・パスワードと比較するステップと、
を具備し、
前記第3ワン・タイム・パスワードが前記第1ワン・タイム・パスワードと一致しない場合には、前記カウンタのインクリメントとワン・タイム・パスワードの再計算とが、所定の回数、または前記計算されたワン・タイム・パスワードが前記第1ワン・タイム・パスワードと一致するまで繰返されることを特徴とする認証方法。 - シークレットは対称暗号キーであることを特徴とする請求項4に記載の方法。
- 前記カウンタのインクリメントおよび前記パスワードの再計算は所定の回数繰り返され、前記所定の回数の終了までに、前記再計算されたパスワードのいずれもが前記第1パスワードと一致しない場合には、前記リソースへアクセスするための前記リクエストは否認されることを特徴とする請求項4に記載の方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US54619404P | 2004-02-23 | 2004-02-23 | |
| US60/546,194 | 2004-02-23 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007500913A Division JP2007523431A (ja) | 2004-02-23 | 2005-02-23 | トークン認証システムおよび方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011192310A JP2011192310A (ja) | 2011-09-29 |
| JP4843114B2 true JP4843114B2 (ja) | 2011-12-21 |
Family
ID=34910755
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007500913A Pending JP2007523431A (ja) | 2004-02-23 | 2005-02-23 | トークン認証システムおよび方法 |
| JP2011038111A Pending JP2011108275A (ja) | 2004-02-23 | 2011-02-24 | トークン認証システムおよび方法 |
| JP2011138155A Expired - Fee Related JP4843114B2 (ja) | 2004-02-23 | 2011-06-22 | トークン認証システムおよび方法 |
Family Applications Before (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007500913A Pending JP2007523431A (ja) | 2004-02-23 | 2005-02-23 | トークン認証システムおよび方法 |
| JP2011038111A Pending JP2011108275A (ja) | 2004-02-23 | 2011-02-24 | トークン認証システムおよび方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US8639628B2 (ja) |
| EP (1) | EP1723594B1 (ja) |
| JP (3) | JP2007523431A (ja) |
| CN (1) | CN1922845B (ja) |
| CA (1) | CA2556148C (ja) |
| WO (1) | WO2005083610A1 (ja) |
Families Citing this family (87)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7308482B2 (en) * | 2002-02-12 | 2007-12-11 | At&T Bls Intellectual Property, Inc. | Methods and systems for communicating with service technicians in a telecommunications system |
| US8166311B1 (en) * | 2002-06-20 | 2012-04-24 | At&T Intellectual Property I, Lp | Methods and systems for promoting authentication of technical service communications in a telecommunications system |
| SG121908A1 (en) * | 2004-10-13 | 2006-05-26 | Encentuate Pte Ltd | A predictive method for multi-party strengthening of authentication credentials with non-real time synchronization |
| US9191198B2 (en) | 2005-06-16 | 2015-11-17 | Hewlett-Packard Development Company, L.P. | Method and device using one-time pad data |
| GB0519814D0 (en) * | 2005-09-29 | 2005-11-23 | Hewlett Packard Development Co | Methods and apparatus for managing and using one-time pads |
| US8842839B2 (en) | 2005-09-29 | 2014-09-23 | Hewlett-Packard Development Company, L.P. | Device with multiple one-time pads and method of managing such a device |
| US20070101152A1 (en) * | 2005-10-17 | 2007-05-03 | Saflink Corporation | Token authentication system |
| US9768963B2 (en) | 2005-12-09 | 2017-09-19 | Citicorp Credit Services, Inc. (Usa) | Methods and systems for secure user authentication |
| US9002750B1 (en) * | 2005-12-09 | 2015-04-07 | Citicorp Credit Services, Inc. (Usa) | Methods and systems for secure user authentication |
| US20070150744A1 (en) * | 2005-12-22 | 2007-06-28 | Cheng Siu L | Dual authentications utilizing secure token chains |
| EP1833219B1 (en) * | 2006-03-08 | 2014-10-08 | Monitise Limited | Methods, apparatus and software for using a token to calculate time-limited password within cellular telephone |
| IL174619A (en) | 2006-03-29 | 2013-12-31 | Nds Ltd | Password protection |
| US9258124B2 (en) | 2006-04-21 | 2016-02-09 | Symantec Corporation | Time and event based one time password |
| FR2902253B1 (fr) * | 2006-06-13 | 2009-04-03 | Ingenico Sa | Procede et dispositif d'authentification d'un utilisateur |
| US8959596B2 (en) | 2006-06-15 | 2015-02-17 | Microsoft Technology Licensing, Llc | One-time password validation in a multi-entity environment |
| DE102006034535A1 (de) * | 2006-07-26 | 2008-01-31 | Carl Zeiss Meditec Ag | Verfahren zur Generierung eines Einmal-Zugangscodes |
| DE102006034536A1 (de) * | 2006-07-26 | 2008-01-31 | Carl Zeiss Meditec Ag | Verfahren zum Erzeugen von Zugangsdaten für ein medizinisches Gerät |
| US11762972B1 (en) * | 2006-08-13 | 2023-09-19 | Tara Chand Singhal | System and methods for a multi-factor remote user authentication |
| JP5053617B2 (ja) * | 2006-10-20 | 2012-10-17 | 株式会社リコー | ソフトウェア実行制御プログラム及びソフトウェア実行制御方法 |
| US8418235B2 (en) * | 2006-11-15 | 2013-04-09 | Research In Motion Limited | Client credential based secure session authentication method and apparatus |
| US8041954B2 (en) * | 2006-12-07 | 2011-10-18 | Paul Plesman | Method and system for providing a secure login solution using one-time passwords |
| AU2008202090A1 (en) * | 2007-06-07 | 2009-01-08 | Aristocrat Technologies Australia Pty Limited | Method of credit input and a gaming system |
| US8839383B2 (en) * | 2007-08-20 | 2014-09-16 | Goldman, Sachs & Co. | Authentification broker for the securities industry |
| US8875259B2 (en) * | 2007-11-15 | 2014-10-28 | Salesforce.Com, Inc. | On-demand service security system and method for managing a risk of access as a condition of permitting access to the on-demand service |
| US8438622B2 (en) * | 2008-07-10 | 2013-05-07 | Honesty Online, Llc | Methods and apparatus for authorizing access to data |
| US20110022837A1 (en) * | 2009-07-18 | 2011-01-27 | Stevens William M | Method and Apparatus For Performing Secure Transactions Via An Insecure Computing and Communications Medium |
| WO2011027352A1 (en) | 2009-09-03 | 2011-03-10 | Mcafee, Inc. | Network access control |
| US8397281B2 (en) | 2009-12-30 | 2013-03-12 | Symantec Corporation | Service assisted secret provisioning |
| US8412928B1 (en) * | 2010-03-31 | 2013-04-02 | Emc Corporation | One-time password authentication employing local testing of candidate passwords from one-time password server |
| US9342832B2 (en) | 2010-08-12 | 2016-05-17 | Visa International Service Association | Securing external systems with account token substitution |
| US8312519B1 (en) * | 2010-09-30 | 2012-11-13 | Daniel V Bailey | Agile OTP generation |
| KR20120051344A (ko) * | 2010-11-12 | 2012-05-22 | 한국전자통신연구원 | 휴대형 통합 보안 저장장치와 이를 이용하는 서비스 처리 장치 및 방법 |
| US8590030B1 (en) * | 2011-04-14 | 2013-11-19 | Symantec Corporation | Credential seed provisioning system |
| US8868921B2 (en) * | 2011-07-20 | 2014-10-21 | Daon Holdings Limited | Methods and systems for authenticating users over networks |
| US8789150B2 (en) | 2011-09-22 | 2014-07-22 | Kinesis Identity Security System Inc. | System and method for user authentication |
| CN102627491A (zh) * | 2012-04-23 | 2012-08-08 | 云南省农业科学院经济作物研究所 | 一种促进薯类作物茎叶快速生长的叶面肥 |
| US9413587B2 (en) | 2012-05-02 | 2016-08-09 | Box, Inc. | System and method for a third-party application to access content within a cloud-based platform |
| US9691051B2 (en) | 2012-05-21 | 2017-06-27 | Box, Inc. | Security enhancement through application access control |
| US8914900B2 (en) | 2012-05-23 | 2014-12-16 | Box, Inc. | Methods, architectures and security mechanisms for a third-party application to access content in a cloud-based platform |
| US9712510B2 (en) * | 2012-07-06 | 2017-07-18 | Box, Inc. | Systems and methods for securely submitting comments among users via external messaging applications in a cloud-based platform |
| US9887992B1 (en) | 2012-07-11 | 2018-02-06 | Microstrategy Incorporated | Sight codes for website authentication |
| US9264415B1 (en) | 2012-07-11 | 2016-02-16 | Microstrategy Incorporated | User credentials |
| US9135462B2 (en) | 2012-08-29 | 2015-09-15 | Box, Inc. | Upload and download streaming encryption to/from a cloud-based platform |
| US9959420B2 (en) | 2012-10-02 | 2018-05-01 | Box, Inc. | System and method for enhanced security and management mechanisms for enterprise administrators in a cloud-based environment |
| FR2996947B1 (fr) * | 2012-10-11 | 2015-09-04 | Openways Sas | Procede securise de commande d'ouverture de dispositifs de serrure a partir de messages mettant en oeuvre un cryptage symetrique |
| US9172698B1 (en) * | 2012-10-12 | 2015-10-27 | Ut-Battelle, Llc | System and method for key generation in security tokens |
| US8775807B1 (en) | 2012-10-26 | 2014-07-08 | Microstrategy Incorporated | Credential tracking |
| US8839353B2 (en) * | 2012-11-09 | 2014-09-16 | Microsoft Corporation | Attack protection for trusted platform modules |
| US9640001B1 (en) * | 2012-11-30 | 2017-05-02 | Microstrategy Incorporated | Time-varying representations of user credentials |
| GB2509322A (en) * | 2012-12-28 | 2014-07-02 | Securenvoy Plc | Time-based two factor authentication |
| US9871785B1 (en) * | 2013-03-14 | 2018-01-16 | EMC IP Holding Company LLC | Forward secure one-time authentication tokens with embedded time hints |
| US9154303B1 (en) | 2013-03-14 | 2015-10-06 | Microstrategy Incorporated | Third-party authorization of user credentials |
| US9787669B2 (en) | 2013-03-14 | 2017-10-10 | Comcast Cable Communications, Llc | Identity authentication using credentials |
| US9306943B1 (en) * | 2013-03-29 | 2016-04-05 | Emc Corporation | Access point—authentication server combination |
| US20140304789A1 (en) * | 2013-04-05 | 2014-10-09 | International Business Machines Corporation | Convenient one-time password |
| CN103218865B (zh) * | 2013-04-17 | 2016-01-27 | 孙添平 | 一种动态密码电子锁系统及其认证方法 |
| GB201314231D0 (en) * | 2013-08-08 | 2013-09-25 | Harwood William T | Data Comparator Store |
| US9077711B2 (en) * | 2013-09-05 | 2015-07-07 | Verizon Patent And Licensing Inc. | Selective complex data entry from one time passwords for authentication |
| US9917694B1 (en) * | 2013-11-27 | 2018-03-13 | EMC IP Holding Company LLC | Key provisioning method and apparatus for authentication tokens |
| US10015153B1 (en) * | 2013-12-23 | 2018-07-03 | EMC IP Holding Company LLC | Security using velocity metrics identifying authentication performance for a set of devices |
| US9332008B2 (en) * | 2014-03-28 | 2016-05-03 | Netiq Corporation | Time-based one time password (TOTP) for network authentication |
| US9419968B1 (en) * | 2014-04-30 | 2016-08-16 | Symantec Corporation | Mobile push user authentication for native client based logon |
| CN105429928A (zh) * | 2014-05-30 | 2016-03-23 | 阿里巴巴集团控股有限公司 | 数据通信方法和系统及客户端和服务器 |
| CN104077690B (zh) * | 2014-06-24 | 2020-08-28 | 北京安讯奔科技有限责任公司 | 一次性密码生成的方法、装置及认证方法、认证系统 |
| US10298588B2 (en) * | 2014-07-29 | 2019-05-21 | BlackSands, Inc. | Secure communication system and method |
| CN105991612A (zh) * | 2015-03-03 | 2016-10-05 | 阿里巴巴集团控股有限公司 | 用户身份认证方法和装置 |
| US9697340B2 (en) * | 2015-06-14 | 2017-07-04 | Guardtime IP Holdings, Ltd. | System and methods with assured one-time, replay-resistant passwords |
| KR101572111B1 (ko) * | 2015-07-01 | 2015-11-27 | 주식회사 이노스코리아 | 랜덤하면서 유일한 코드를 생성하는 전자 장치 및 방법 |
| JP6516009B2 (ja) * | 2015-07-10 | 2019-05-22 | 富士通株式会社 | 機器認証システム、管理装置及び機器認証方法 |
| US9641509B2 (en) | 2015-07-30 | 2017-05-02 | Ca, Inc. | Enterprise authentication server |
| CN107294909B (zh) * | 2016-04-04 | 2020-10-02 | 汪风珍 | 一种电子身份实名认证的产品和方法 |
| KR101746102B1 (ko) * | 2016-04-28 | 2017-06-13 | 주식회사 센스톤 | 무결성 및 보안성이 강화된 사용자 인증방법 |
| US10607001B2 (en) * | 2016-06-29 | 2020-03-31 | Hancom Inc. | Web-based electronic document service apparatus capable of authenticating document editing and operating method thereof |
| WO2018019838A1 (en) * | 2016-07-25 | 2018-02-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Proof-of-presence indicator |
| US10380359B2 (en) | 2016-08-05 | 2019-08-13 | Sensoriant, Inc. | Software-based switch for providing products and/or services to users without compromising their privacy |
| US10860735B2 (en) | 2016-08-05 | 2020-12-08 | Sensoriant, Inc. | Database system for protecting and securing stored data using a privacy switch |
| JP2019531532A (ja) * | 2016-08-05 | 2019-10-31 | センソリアント・インコーポレイテッド | 製品および/またはサービスを提供するアプリケーションにおいてユーザのプライバシーを維持するためのシステムおよび方法 |
| US10528947B2 (en) | 2016-09-18 | 2020-01-07 | Howard H Sheerin | Locking an online account based on a public cryptocurrency address |
| CN106302546B (zh) * | 2016-10-18 | 2019-09-13 | 青岛海信电器股份有限公司 | 实现服务器访问的方法和装置 |
| US10958424B1 (en) * | 2017-11-02 | 2021-03-23 | Amazon Technologies, Inc. | Mechanism to allow third party to use a shared secret between two parties without revealing the secret |
| US11316693B2 (en) * | 2018-04-13 | 2022-04-26 | Microsoft Technology Licensing, Llc | Trusted platform module-based prepaid access token for commercial IoT online services |
| WO2019216950A1 (en) * | 2018-05-08 | 2019-11-14 | Visa International Service Association | Password based threshold token generation |
| CN108900471B (zh) * | 2018-05-31 | 2022-02-25 | 北京证大向上金融信息服务有限公司 | 用于传输数据的服务器、客户端、网络系统及方法 |
| US10554411B1 (en) | 2018-10-02 | 2020-02-04 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| CN111523905A (zh) * | 2020-04-26 | 2020-08-11 | 北京中关村银行股份有限公司 | 一种验证码的安全认证方法、装置、存储介质及电子设备 |
| US11777941B2 (en) * | 2020-09-30 | 2023-10-03 | Mideye Ab | Methods and authentication server for authentication of users requesting access to a restricted data resource using authorized approvers |
| TWI810853B (zh) * | 2022-03-21 | 2023-08-01 | 安研科技股份有限公司 | 具有工業物聯網模型預測與行動稽核功能的雲端平台 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4731575A (en) * | 1986-12-08 | 1988-03-15 | Sloan Joseph W | Prepayment metering system using encoded purchase cards |
| US5892900A (en) * | 1996-08-30 | 1999-04-06 | Intertrust Technologies Corp. | Systems and methods for secure transaction management and electronic rights protection |
| US5937068A (en) * | 1996-03-22 | 1999-08-10 | Activcard | System and method for user authentication employing dynamic encryption variables |
| US5737421A (en) * | 1996-03-22 | 1998-04-07 | Activcard | System for controlling access to a function having clock synchronization |
| US5802176A (en) * | 1996-03-22 | 1998-09-01 | Activcard | System for controlling access to a function, using a plurality of dynamic encryption variables |
| US5953420A (en) * | 1996-10-25 | 1999-09-14 | International Business Machines Corporation | Method and apparatus for establishing an authenticated shared secret value between a pair of users |
| US5961593A (en) * | 1997-01-22 | 1999-10-05 | Lucent Technologies, Inc. | System and method for providing anonymous personalized browsing by a proxy system in a network |
| JPH11143840A (ja) * | 1997-11-05 | 1999-05-28 | Hitachi Ltd | 分散オブジェクトシステムおよびその方法 |
| JP3657745B2 (ja) * | 1997-07-23 | 2005-06-08 | 横河電機株式会社 | ユーザ認証方法及びユーザ認証システム |
| US6829356B1 (en) * | 1999-06-29 | 2004-12-07 | Verisign, Inc. | Server-assisted regeneration of a strong secret from a weak secret |
| US20010056409A1 (en) * | 2000-05-15 | 2001-12-27 | Bellovin Steven Michael | Offline one time credit card numbers for secure e-commerce |
| US20040139028A1 (en) * | 2001-03-23 | 2004-07-15 | Fishman Jayme Matthew | System, process and article for conducting authenticated transactions |
| JP2002297547A (ja) | 2001-04-03 | 2002-10-11 | Sony Corp | 情報処理装置および方法、情報処理システム、記録媒体、並びにプログラム |
| US7392390B2 (en) * | 2001-12-12 | 2008-06-24 | Valve Corporation | Method and system for binding kerberos-style authenticators to single clients |
| GB0210692D0 (en) * | 2002-05-10 | 2002-06-19 | Assendon Ltd | Smart card token for remote authentication |
| CN1226688C (zh) * | 2002-07-04 | 2005-11-09 | 张东旭 | 自动随机一次性密码提高网络交易安全的认证方法 |
| CN1212716C (zh) * | 2002-07-16 | 2005-07-27 | 北京创原天地科技有限公司 | 因特网上不同应用系统间用户认证信息共享的方法 |
-
2005
- 2005-02-23 CN CN2005800057314A patent/CN1922845B/zh not_active Expired - Fee Related
- 2005-02-23 WO PCT/US2005/005481 patent/WO2005083610A1/en active Application Filing
- 2005-02-23 CA CA2556148A patent/CA2556148C/en not_active Expired - Fee Related
- 2005-02-23 US US10/590,415 patent/US8639628B2/en active Active
- 2005-02-23 JP JP2007500913A patent/JP2007523431A/ja active Pending
- 2005-02-23 EP EP05723423.9A patent/EP1723594B1/en not_active Not-in-force
-
2011
- 2011-02-24 JP JP2011038111A patent/JP2011108275A/ja active Pending
- 2011-06-22 JP JP2011138155A patent/JP4843114B2/ja not_active Expired - Fee Related
-
2013
- 2013-12-20 US US14/136,795 patent/US20140115677A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| CN1922845A (zh) | 2007-02-28 |
| CN1922845B (zh) | 2010-10-06 |
| EP1723594A4 (en) | 2014-03-05 |
| JP2007523431A (ja) | 2007-08-16 |
| JP2011192310A (ja) | 2011-09-29 |
| EP1723594A1 (en) | 2006-11-22 |
| EP1723594B1 (en) | 2017-11-29 |
| CA2556148C (en) | 2014-04-29 |
| CA2556148A1 (en) | 2005-09-09 |
| US8639628B2 (en) | 2014-01-28 |
| US20070050635A1 (en) | 2007-03-01 |
| US20140115677A1 (en) | 2014-04-24 |
| JP2011108275A (ja) | 2011-06-02 |
| WO2005083610A8 (en) | 2006-09-21 |
| WO2005083610A1 (en) | 2005-09-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4843114B2 (ja) | トークン認証システムおよび方法 | |
| US6950523B1 (en) | Secure storage of private keys | |
| JP4938673B2 (ja) | ワンタイムパスワード | |
| US6959394B1 (en) | Splitting knowledge of a password | |
| US8769637B2 (en) | Iterated password hash systems and methods for preserving password entropy | |
| US9071439B2 (en) | Method and apparatus for remote administration of cryptographic devices | |
| US8775794B2 (en) | System and method for end to end encryption | |
| JP5058600B2 (ja) | 無連絡認証を提供するシステムおよび方法 | |
| WO2020155779A1 (zh) | 数字签名的认证方法、装置、计算机设备和存储介质 | |
| US8369521B2 (en) | Smart card based encryption key and password generation and management | |
| US20090265559A1 (en) | User authentication by linking randomly-generated authentication secret with personalized secret | |
| US20110264917A1 (en) | Method for two step digital signature | |
| KR20110009222A (ko) | 토큰과 검증자 사이의 인증을 위한 네크워크 헬퍼 | |
| WO2005008950A1 (en) | Secure seed generation protocol | |
| JP2000222360A (ja) | 認証方法、認証システム及び認証処理プログラム記録媒体 | |
| CN105409186A (zh) | 用于用户认证的系统及方法 | |
| CN106789032B (zh) | 服务器与移动设备间秘密共享的单一口令三方认证方法 | |
| WO2008031301A1 (fr) | Procédé d'authentification d'identité en ligne point à point | |
| KR20190114433A (ko) | 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버 | |
| KR20190114432A (ko) | 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버 | |
| KR20080050134A (ko) | 다중 인증 수단을 가지는 시스템의 통합 사용자 인증 서버,클라이언트 및 방법 | |
| US20030221109A1 (en) | Method of and apparatus for digital signatures | |
| CN115865520B (zh) | 移动云服务环境中具有隐私保护的认证和访问控制方法 | |
| CN115632797A (zh) | 一种基于零知识证明的安全身份验证方法 | |
| Daswani et al. | MACs and Signatures |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110622 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110913 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111006 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4843114 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141014 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141014 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141014 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |