JP4847322B2 - 二重要素認証されたキー交換方法及びこれを利用した認証方法とその方法を含むプログラムが貯蔵された記録媒体 - Google Patents
二重要素認証されたキー交換方法及びこれを利用した認証方法とその方法を含むプログラムが貯蔵された記録媒体 Download PDFInfo
- Publication number
- JP4847322B2 JP4847322B2 JP2006516955A JP2006516955A JP4847322B2 JP 4847322 B2 JP4847322 B2 JP 4847322B2 JP 2006516955 A JP2006516955 A JP 2006516955A JP 2006516955 A JP2006516955 A JP 2006516955A JP 4847322 B2 JP4847322 B2 JP 4847322B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication server
- key
- authentication
- subscriber terminal
- subscriber
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/047—Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
- H04W12/0471—Key exchange
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Description
この中で、項目(1)のパスワードを利用した単一要素認証方式は、次のような種々の問題点のために決して安全でないという問題点がある。先ず、使用者がパスワードを入力する時に誰かが使用者の肩越しでパスワードを盗み見ることができ、打鍵状況を見られてパスワードが知られるということである。二番目に、詐欺、脅迫などのような反社会的方法でパスワードを攻撃者に開示させられるということである。三番目には、パスワードは情報量側面から見れば エントロピーが低いので、事典攻撃(網羅的情報攻撃)に脆弱であるということである。四番目には、パスワードを物理的に記録したり、類似パスワードをいくつかの所に更新なしで使うような使用者の悪い習慣によりパスワードを盗み見できるということである。特に、ホットスポット(高速通信可能地点)地域でネットワーク接続を試みる公衆無線LANサービスは一層攻撃に危険であると言える。たとえ、加入者をパスワードによって認証するEAP−SRP、PEAP、EAP−TTLS方式が事前攻撃に安全なプロトコルであっても、攻撃者は、オフライン上で打鍵状況盗み見や反社会的方法でパスワードを獲得することもできるからである。
(1)身元保護:盗聴のような受動的攻撃から加入者(client)の身元を保護することは個人の通信秘密のために必要である。特に、DHCP(Dynamic Host Configuration Protocol)にIPアドレスの割り当てを受けられる使用者には有用なことである。
(3)セッションキーの設定:加入者と網との間に交換されるデータを保護するためにセッションキーが設定されなければならない。
(6)MitM(Man-in-the-Middle)攻撃に対する安全性:(公衆)無線LAN環境では、rouge AP(化粧で誤魔化した偽Access Point)やrouge無線NICを用いたMitM攻撃に脆弱なので、これに対する攻撃に安全であるように設計されなければならない。
(8)効率性
−演算負荷の最小化:(公衆)無線LAN環境でPDAsに適用できるほどの少ない演算量を要求しなければならない。そして、事前計算を利用して、オンライン計算の負荷を最小化しなければならない。
−メッセージ交換回数の最小化:網資源の効率性と網上の遅延などを考慮すれば、通信ラウンド(往復通信)数が少ないほど長所がある。したがって、加入者と認証サーバーとの間に交換しなければならないメッセージの回数をできるだけ少なくしなければならない。
−通信帯域幅使用の最小化:プロトコルメッセージの大きさをできるだけ小さくしなければならない。
(10)否認不可(non repudiation):サービス使用時間と網接続回数などのような課金データに対し、使用者が否めない否認不可機能が提供されなければならない。
また、前記a)段階で、前記生成されるキーは、前記加入者端末器の識別子と前記認証サーバーの公開キーに対して一方向ハッシュ関数を使用して生成されるのが好ましい。
ここで、前記認証サーバーは、前記対称キー、前記パスワード、及び前記認証サーバーの秘密キーを保安ファイル関連データベース内に貯蔵するのが好ましい。
また、前記a)段階で、前記加入者端末器の識別子がグローバルローミングと課金を支援するためにNAI(Network Access ID)形式を使用する場合、前記加入者端末器が、ユーザー名の部分と前記認証サーバーの公開キーをハッシュした値と領域名の部分を共に前記認証サーバーに送信するのが好ましい。
図1は、本発明の実施例によるTAKEプロトコルのフローチャートである。図1を参照して本発明の実施例によるTAKEプロトコルについて説明する前に、まず、本発明の実施例で記述される記号について次の通り定義する。
A:加入者
B:認証サーバー
π:パスワード
t:対称キー暗号で使用される対称キー
IDA:加入者Aの識別子
EK{}、DK{}:対称キーKで、対称キーに暗号化及び復号化
H():一方向ハッシュ関数
skA:Aが生成したセッションキー
p:大きな素数
q:(p−1)を分ける大きな素数の数
g:位数がqであるZ* pの元素である生成源
b、gb(mod p):認証サーバーBの静的秘密キー、公開キー
次に、図1を参照すれば、本発明の実施例によるTAKEプロトコルの動作は、登録段階、事前計算段階、及び実行段階に分けられる。
加入者(Client A)、実質的には加入者の無線端末器とサーバー(Server B)は、3DES(Data Encryption Standard)やラインダール(Rijndael)のような対称キー暗号アルゴリズムに使用される対称キー(t)とパスワード(π)を決めて共有する。そして、サーバーは、特定加入者に対するサーバーの秘密キー[1〜q−1]範囲の任意の数<b>を選択して安全なデータベース(DB)に貯蔵し、加入者にサーバーの公開キー(gb)とドメインパラメーター(p、q、g)を知らせる。加入者は、対称キー(t)をトークンに貯蔵する。サーバーの公開キー(gb)とドメインパラメーター(p、q、g)は公開できる性質の情報であるから、必ずしも安全な場所に貯蔵せねばならないことはない。
本発明の実施例による事前計算はプロトコル遂行前のオフライン上で行われる段階であり、プロトコル遂行中に要する時間と計算量を減少させる。加入者の無線端末器は、無線ネットワークを使用しない空時間(idle time)や端末器パワーオン時に事前計算を行う。図1に示すように、加入者Aは、[1〜q−1]範囲にある任意の数を選択する。
この実行段階は相互個体認証とセッションキー設定を遂行する段階であって、次のような手続からなる。
(1)加入者Aはインターネットや(公衆)無線LANサービス接続のために、自身の識別子IDAと認証サーバーBの公開キー(gb)をハッシュした値であるH(IDA、gb)を認証サーバーBに送る。
図2を参照すれば、(公衆)無線LANなどのアクセスポイント200を通して加入者100と認証サーバー300とが連結されて、加入者100に対する認証が認証サーバー300によって行われる。
また、加入者100は、対称キー(t)、パスワード(π)、認証サーバー300の公開キー(gb)、及びDH(Diffie-Hellman)ドメインパラメーター(p、q、g)を貯蔵しており、認証サーバー300は、対称キー(t)、パスワード(π)、認証サーバー300の公開キー(gb)、及びDHドメインパラメーター(p、q、g)の外にサーバー秘密キー(b)を貯蔵している。
加入者100は、自身の識別子IDAと認証サーバー300の公開キー(gb)をハッシュした値であるH(IDA、gb)をアイデンティティにするEAP応答(H(IDA、gb))をアクセスポイント200に伝達する(S110)。
次に、加入者100は、認証サーバー300から送ってきたMBを受信して、自分が計算したH(skB、π、t、gb)と同じ値であるか否かを検査する。もし、二つの値が同じであれば、認証サーバー200に対する認証は成功なので、加入者100はMBを受け入れる。このように加入者100と認証サーバー300がMAとMBを各々受け入れれば、加入者100と認証サーバー300との間の相互認証が成功に行われたことである。
前記のように、本発明の実施例によるTAKEプロトコルを利用した認証方法が、強力な認証のために要求される技術的事項を満足するかについて説明する。つまり、本発明の実施例によるTAKEプロトコルを利用した認証方法に対する安全性の分析は次の通りである。
(4)Forward Secrecy(FS):加入者が所持している秘密情報<IDA>、<π>、<t>、<gb>を、攻撃者が全て盗み見できる場合、攻撃者はe暗号文を復号してgxを知り得るだろうが、c=gxb値はDLP(離散対数問題)だから計算が難しい。また、サーバーの秘密キー<b>を盗み見できる場合には、c=gxb値を計算するためにgxを知らなければならず、gxを知るためには<π>及び<t>を知らなければならない。つまり、攻撃者は、<b>、<π>、<t>を全て知ることによって、初めてセッションキーを計算することができる。しかし、実際に(公衆)無線LAN環境では、サービスを提供する企業が大企業であって自身の強力な保安体制を持っているはずなので、保安関連の重要な秘密情報が攻撃者に漏れる可能性は非常に低いと考えられる。したがって、TAKEプロトコルは、(公衆)無線LANでは一般的なhalf FSというよりは、実用的なhalf FSと言える。
−演算負荷の最小化:DH(Diffie-Hellman)プロトコルは、FSを提供できるので認証及びキー設定(AKE)プロトコルで多く使用されているが、累乗計算を要求するために演算量が多くなる。ハッシュ関数及び対称キー暗号化/復号化にかかる時間は非常に短いので、演算に要する時間の大部分は累乗と逆元計算、そして掛け算で占められている。特に、PDAsでは、演算量が多くなると実時間認証にかかる時間が多くなる。したがって、TAKEでは、オンライン上で加入者側が対称キー暗号1番とハッシュ5番を使用するようにし、オフラインでは、事前計算で2番の累乗計算をするように設計された。一方、サーバー側では、累乗1番、対称キー復号1番、そしてハッシュ4番の演算量が必要である。
−メッセージ交換回数の最小化:TAKEでは4回のパス(pass)があるため、加入者と認証サーバーとの間で交換しなければならないメッセージの回数が少ない。
−通信帯域幅使用の最小化:5個のメッセージのうちで3個はハッシュの出力ビット数であり、一つは乱数のビット数であり、他の一つはgx暗号文の出力ビット数である。
(10)否認不可:TAKEではデジタル署名方式を使用しないが、強力な二重要素認証を使うので、欺瞞的な使用者がサービスを利用してこれを否認することを防止することができる。
以上、本発明の好ましい実施例について詳細に説明したが、本発明はこれに限定されるものではなく、その他の多様な変更や変形が可能である。
Claims (13)
- 有線、無線の通信を通して、認証サーバーに接続された加入者端末器において相互認証のためのキーを交換する方法において、
a)前記加入者端末器が、自身の識別子と前記認証サーバーの公開キーを使用して生成されたキーを前記認証サーバーに送信する段階;
b)前記加入者端末器が前記認証サーバーで生成された乱数を受信する段階;
c)前記受信された乱数と前記加入者端末器に予め設定されているパスワード、及びトークンに貯蔵されたキーを同時に使って、第1特定値を暗号化した値と生成された加入者側認証子を前記加入者端末器を認証するためのキーとして前記認証サーバーに送信する段階;
d)前記加入者端末器が、前記送信された加入者側認証子に対する前記認証サーバーでの認証成功によって、前記認証サーバーで生成された認証サーバー側認証子を前記認証サーバーを認証するためのキーとして前記認証サーバーから受信する段階;並びに
e)前記加入者端末器が、前記トークンに貯蔵されたキーとパスワードを同時に使って前記受信された認証サーバー側認証子に対する認証を行い、前記認証が成功した場合、前記認証サーバー側認証子を受け入れる段階;
を含み、
前記第1特定値は、前記加入者端末器が前記認証サーバーと認証のためのキー交換を行わない場合、即ちa)段階の前に前記加入者端末器によって生成された乱数を用いて事前に計算される二重要素認証されたキー交換方法。 - 前記トークンに貯蔵されたキーは対称キー(symmetric key)であることを特徴とする、請求項1に記載の二重要素認証されたキー交換方法。
- 前記a)段階の前に、
前記加入者端末器が、登録過程で対称キーアルゴリズムに使用される前記対称キーと前記パスワードとを決めて、前記認証サーバーと共有する段階をさらに含む、請求項2に記載の二重要素認証されたキー交換方法。 - 前記加入者端末器は、前記パスワード、及び前記認証サーバーの公開キーを前記トークンに貯蔵することを特徴とする、請求項1又は3に記載の二重要素認証されたキー交換方法。
- 前記a)段階で、
前記生成されるキーは、前記加入者端末器の識別子と前記認証サーバーの公開キーに対して一方向ハッシュ関数を使用して生成されることを特徴とする、請求項1又は3に記載の二重要素認証されたキー交換方法。 - 前記c)段階は、
前記受信された乱数、前記パスワード、及び前記トークンに貯蔵されたキーに対し、ハッシュ関数を使用して第2特定値を生成する段階;
前記生成された第2特定値を使用して前記第1特定値を暗号化する段階;
前記乱数と前記第1特定値を使用して前記加入者側セッションキーを生成する段階;
前記生成されたセッションキー、前記パスワード、前記トークンに貯蔵されたキー、及び前記加入者端末器の識別子に対し、ハッシュ関数を使用して前記加入者側認証子を生成する段階;並びに
前記第1特定値を暗号化した値と前記加入者側認証子とを前記認証サーバーに送信する段階;
を含む、請求項1又は3に記載の二重要素認証されたキー交換方法。 - 前記e)段階は、
前記加入者側セッションキー、前記パスワード、前記トークンに貯蔵されたキー、及び前記認証サーバーの公開キーに対し、ハッシュ関数を使用して第3特定値を生成する段階;
前記生成された第3特定値と前記認証サーバーから受信された認証サーバー側認証子が同じであるか否かを判断する段階;並びに
前記生成された第3特定値と前記認証サーバーから受信された認証サーバー側認証子が同じである場合、前記加入者端末器と前記認証サーバーとの間の認証が成功したものと判断して、前記認証サーバー側認証子を受け入れる段階;
を含む、請求項6に記載の二重要素認証されたキー交換方法。 - 前記a)段階で、前記加入者端末器の識別子がグローバルローミングと課金を支援するためにNAI(Network Access ID)形式を使用する場合、前記加入者端末器が、ユーザー名の部分と前記認証サーバーの公開キーをハッシュした値と領域名の部分とを共に前記認証サーバーに送信することを特徴とする、請求項1に記載の二重要素認証されたキー交換方法。
- アクセスポイントを通して加入者端末器と認証サーバーが接続された無線通信システムで、前記加入者端末器と前記認証サーバーとの間に二重要素認証されたキー交換により相互認証する方法において、
a)前記加入者端末器が、前記アクセスポイントから識別子要請を受ける段階;
b)前記加入者端末器が、自身の識別子と前記認証サーバーの公開キーを使用して生成したキーを前記アクセスポイントを通して前記認証サーバーに送信する段階;
c)前記認証サーバーが、前記加入者端末器から受信されたキーを使用して前記加入者関連パスワード及び秘密キーと前記認証サーバーの公開キーを検出し、乱数を生成して、前記アクセスポイントを通して前記加入者端末器に送信する段階;
d)前記加入者端末器が、前記受信された乱数と前記パスワード及びトークンに貯蔵されたキーを同時に使用して、第1特定値を暗号化した値と生成された加入者側認証子とを前記加入者端末器を認証するためのキーとして前記アクセスポイントを通して前記認証サーバーに送信する段階;
e)前記認証サーバーが、前記パスワード、前記トークンに貯蔵されたキー、及び前記乱数を同時に使用して生成した第2特定値を秘密キーにして、前記d)段階で受信された暗号化値を復号し、前記復号された値に基づいて、前記受信された加入者側認証子に対する認証を行い、前記認証が成功した場合、前記パスワード、トークンに貯蔵されたキー、及び公開キーを同時に使用して生成された認証サーバー側認証子を、前記認証サーバーを認証するためのキーとして前記アクセスポイントを通して前記加入者端末器に送信する段階;
f)前記加入者端末器が、前記トークンに貯蔵されたキーとパスワードを同時に使用して、前記受信された認証サーバー側認証子に対する認証を行い、その認証結果を前記アクセスポイントを通して前記認証サーバーに送信する段階;並びに
g)前記認証サーバーが、前記加入者端末器から送信された認証結果が成功と判明した場合、前記加入者に対する接続許可を前記アクセスポイントを通して前記加入者端末器に送信する段階;
を含み、
前記第1特定値は、前記加入者端末器が前記認証サーバーと認証のためのキー交換を行わない場合、即ちa)段階の前に前記加入者端末器によって生成された乱数を用いて事前に計算される二重要素認証されたキー交換による認証方法。 - 前記トークンに貯蔵されたキーは対称キーであることを特徴とする、請求項9に記載の二重要素認証されたキー交換による認証方法。
- 前記加入者端末器と前記アクセスポイントとの間では拡張可能な認証プロトコル(Extensible Authentication Protocol:EAP)が使用され、
前記アクセスポイントと前記認証サーバーとの間ではRADIUSプロトコルが使用されることを特徴とする、請求項9又は10に記載の二重要素認証されたキー交換による認証方法。 - 有線、無線の通信を通して認証サーバーに接続された加入者端末器で相互認証のためのキーを交換する方法において、
a)前記加入者端末器が、自身の識別子と前記認証サーバーの公開キーを使用して生成されたキーを前記認証サーバーに送信する機能;
b)前記加入者端末器が、前記認証サーバーで生成された乱数を受信する機能;
c)前記受信された乱数と前記加入者端末器に予め設定されているパスワード及びトークンに貯蔵されたキーを同時に使用して第1特定値を暗号化した値と生成された加入者側認証子とを前記加入者端末器を認証するためのキーとして前記認証サーバーに送信する機能;
d)前記加入者端末器が、前記送信された加入者側認証子に対する前記認証サーバーでの認証成功により、前記認証サーバーで生成された認証サーバー側認証子を前記認証サーバーを認証するためのキーとして前記認証サーバーから受信する機能;並びに
e)前記加入者端末器が、前記トークンに貯蔵されたキーとパスワードを同時に使用して前記受信された認証サーバー側認証子に対する認証を行い、前記認証が成功した場合、前記認証サーバー側認証子を受け入れる機能;
を含み、
前記第1特定値は、前記加入者端末器が前記認証サーバーと認証のためのキー交換を行わない場合、即ちa)段階の前に前記加入者端末器によって生成された乱数を用いて事前に計算されることを実現するプログラムを貯蔵した記録媒体。 - 前記トークンに貯蔵されたキーは対称キーであることを特徴とする、請求項12に記載のプログラムを貯蔵した記録媒体。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020030042611A KR100581590B1 (ko) | 2003-06-27 | 2003-06-27 | 이중 요소 인증된 키 교환 방법 및 이를 이용한 인증방법과 그 방법을 포함하는 프로그램이 저장된 기록매체 |
KR10-2003-0042611 | 2003-06-27 | ||
PCT/KR2004/001569 WO2005002131A1 (en) | 2003-06-27 | 2004-06-28 | Two-factor authenticated key exchange method and authentication method using the same, and recording medium storing program including the same |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007520909A JP2007520909A (ja) | 2007-07-26 |
JP4847322B2 true JP4847322B2 (ja) | 2011-12-28 |
Family
ID=33550202
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006516955A Expired - Fee Related JP4847322B2 (ja) | 2003-06-27 | 2004-06-28 | 二重要素認証されたキー交換方法及びこれを利用した認証方法とその方法を含むプログラムが貯蔵された記録媒体 |
Country Status (5)
Country | Link |
---|---|
US (1) | US8352739B2 (ja) |
JP (1) | JP4847322B2 (ja) |
KR (1) | KR100581590B1 (ja) |
CN (1) | CN1846397B (ja) |
WO (1) | WO2005002131A1 (ja) |
Families Citing this family (70)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8082506B1 (en) * | 2004-08-12 | 2011-12-20 | Verizon Corporate Services Group Inc. | Geographical vulnerability mitigation response mapping system |
US8631493B2 (en) * | 2004-08-12 | 2014-01-14 | Verizon Patent And Licensing Inc. | Geographical intrusion mapping system using telecommunication billing and inventory systems |
US8572734B2 (en) | 2004-08-12 | 2013-10-29 | Verizon Patent And Licensing Inc. | Geographical intrusion response prioritization mapping through authentication and flight data correlation |
KR100797487B1 (ko) * | 2004-08-27 | 2008-01-24 | 유넷시스템주식회사 | 통합인증시스템, 통합인증방법 및 기록매체 |
KR100694104B1 (ko) | 2005-02-23 | 2007-03-12 | 삼성전자주식회사 | 라운드 트립 시간을 측정하는 방법 및 이를 이용한 인접성검사 방법 |
US7978855B2 (en) | 2005-06-22 | 2011-07-12 | Samsung Electronics Co., Ltd. | Method for allocating authorization key identifier for wireless portable internet system |
US8788802B2 (en) * | 2005-09-29 | 2014-07-22 | Qualcomm Incorporated | Constrained cryptographic keys |
US7783041B2 (en) * | 2005-10-03 | 2010-08-24 | Nokia Corporation | System, method and computer program product for authenticating a data agreement between network entities |
US7975287B2 (en) | 2006-02-01 | 2011-07-05 | Research In Motion Limited | System and method for validating a user of an account using a wireless device |
KR100850506B1 (ko) * | 2006-05-09 | 2008-08-05 | 인하대학교 산학협력단 | 사용자 인증의 이중 강화를 위한 보안 관리 웹 서비스시스템 및 방법 |
FI118841B (fi) * | 2006-09-13 | 2008-03-31 | Eads Secure Networks Oy | Matkaviestimen autentikointi |
KR100827187B1 (ko) * | 2006-10-11 | 2008-05-02 | 엔에이치엔(주) | 보안 인증 시스템 및 방법 |
EP1926279A1 (en) * | 2006-11-21 | 2008-05-28 | Thomson Licensing | Method and a first device for associating the first device with a second device |
KR100860573B1 (ko) * | 2006-12-01 | 2008-09-26 | (재)대구경북과학기술연구원 | 사용자 인증 방법 |
US8462947B2 (en) * | 2006-12-19 | 2013-06-11 | Telefonaktiebolaget L M Ericsson (Publ) | Managing user access in a communications network |
US9008617B2 (en) | 2006-12-28 | 2015-04-14 | Verizon Patent And Licensing Inc. | Layered graphical event mapping |
US7933413B2 (en) | 2007-02-02 | 2011-04-26 | Microsoft Corporation | Key exchange verification |
CN101803272B (zh) | 2007-06-26 | 2013-08-14 | 豌豆制造技术有限公司 | 认证系统和方法 |
WO2009041804A2 (en) * | 2007-09-26 | 2009-04-02 | Mimos Berhad | Secure instant messaging |
WO2009060899A1 (ja) * | 2007-11-07 | 2009-05-14 | Nippon Telegraph And Telephone Corporation | 共通鍵設定方法、中継装置、及びプログラム |
CN101431410B (zh) * | 2007-11-09 | 2011-11-30 | 康佳集团股份有限公司 | 一种网络游戏客户端与服务器集群的认证方法 |
US8205098B2 (en) | 2008-02-25 | 2012-06-19 | Microsoft Corporation | Secure and usable protection of a roamable credentials store |
US8660268B2 (en) | 2008-04-29 | 2014-02-25 | Red Hat, Inc. | Keyed pseudo-random number generator |
US9258113B2 (en) | 2008-08-29 | 2016-02-09 | Red Hat, Inc. | Username based key exchange |
US9225526B2 (en) * | 2009-11-30 | 2015-12-29 | Red Hat, Inc. | Multifactor username based authentication |
KR101038096B1 (ko) * | 2010-01-04 | 2011-06-01 | 전자부품연구원 | 바이너리 cdma에서 키 인증 방법 |
US8842833B2 (en) * | 2010-07-09 | 2014-09-23 | Tata Consultancy Services Limited | System and method for secure transaction of data between wireless communication device and server |
WO2012030624A1 (en) | 2010-08-30 | 2012-03-08 | Vmware, Inc. | Unified workspace for thin, remote, and saas applications |
US20120102324A1 (en) * | 2010-10-21 | 2012-04-26 | Mr. Lazaro Rodriguez | Remote verification of user presence and identity |
JP5895471B2 (ja) * | 2011-01-17 | 2016-03-30 | 株式会社リコー | 情報処理装置、プログラム |
KR101350984B1 (ko) * | 2011-07-06 | 2014-01-13 | 삼성에스디에스 주식회사 | 보안 토큰에 대한 발급자 인증 방법 및 그 장치 |
CN103117986B (zh) * | 2011-11-17 | 2016-01-13 | 腾讯科技(深圳)有限公司 | 无线客户端的验证方法、系统和验证服务器 |
CN103079256B (zh) * | 2012-03-05 | 2016-03-30 | 上海寰创通信科技股份有限公司 | 一种基于无线网络环境的许可证信息验证方法 |
ZA201301790B (en) * | 2012-03-08 | 2015-09-30 | Oltio (Pty) Ltd | A method of authenticating a device and encrypting data transmitted between the device and a server |
JP2014068140A (ja) * | 2012-09-25 | 2014-04-17 | Sony Corp | 情報処理装置、情報処理方法及びプログラム |
WO2014060090A1 (de) * | 2012-10-15 | 2014-04-24 | Giesecke & Devrient Gmbh | Laden und ausgeben eines elektronischen geldbetrags |
WO2014069783A1 (ko) * | 2012-10-31 | 2014-05-08 | 삼성에스디에스 주식회사 | 패스워드 기반 인증 방법 및 이를 수행하기 위한 장치 |
CN103905388A (zh) * | 2012-12-26 | 2014-07-02 | 中国移动通信集团广东有限公司 | 一种认证方法、认证装置、智能卡、服务器 |
US9100175B2 (en) | 2013-11-19 | 2015-08-04 | M2M And Iot Technologies, Llc | Embedded universal integrated circuit card supporting two-factor authentication |
US9350550B2 (en) | 2013-09-10 | 2016-05-24 | M2M And Iot Technologies, Llc | Power management and security for wireless modules in “machine-to-machine” communications |
US10498530B2 (en) | 2013-09-27 | 2019-12-03 | Network-1 Technologies, Inc. | Secure PKI communications for “machine-to-machine” modules, including key derivation by modules and authenticating public keys |
KR101495448B1 (ko) * | 2013-10-29 | 2015-02-26 | (주) 아이씨티케이 | 사용자 인증을 위한 ic 칩 및 인증 방법 |
US10700856B2 (en) * | 2013-11-19 | 2020-06-30 | Network-1 Technologies, Inc. | Key derivation for a module using an embedded universal integrated circuit card |
CN104935555B (zh) * | 2014-03-20 | 2018-06-15 | 华为技术有限公司 | 客户端证书认证方法、服务器、客户端及系统 |
US9240887B2 (en) | 2014-05-02 | 2016-01-19 | Dell Products L.P. | Off-host authentication system |
US9300664B2 (en) | 2014-05-02 | 2016-03-29 | Dell Products L.P. | Off-host authentication system |
US9258303B1 (en) * | 2014-08-08 | 2016-02-09 | Cellcrypt Group Limited | Method of providing real-time secure communication between end points in a network |
US10216366B2 (en) * | 2014-11-19 | 2019-02-26 | Imprivata, Inc. | Location-based anticipatory resource provisioning |
CN105704101B (zh) * | 2014-11-27 | 2019-10-18 | 华为技术有限公司 | 一种用于推送消息的方法及设备 |
WO2016114259A1 (ja) * | 2015-01-16 | 2016-07-21 | 日本電信電話株式会社 | 鍵交換方法、鍵交換システム、鍵装置、端末装置、およびプログラム |
US9853977B1 (en) | 2015-01-26 | 2017-12-26 | Winklevoss Ip, Llc | System, method, and program product for processing secure transactions within a cloud computing system |
US9838385B2 (en) | 2015-06-30 | 2017-12-05 | International Business Machines Corporation | Password generation based on dynamic factors |
EP3318041A1 (en) * | 2015-06-30 | 2018-05-09 | Raghav Bhaskar | User friendly two factor authentication |
DE102015220228B4 (de) * | 2015-10-16 | 2019-03-21 | Volkswagen Aktiengesellschaft | Verfahren und System zur Absicherung einer erstmaligen Kontaktaufnahme eines Mobilgeräts mit einem Gerät |
US10218698B2 (en) * | 2015-10-29 | 2019-02-26 | Verizon Patent And Licensing Inc. | Using a mobile device number (MDN) service in multifactor authentication |
DE102016208512A1 (de) * | 2016-05-18 | 2017-11-23 | Bundesdruckerei Gmbh | Zugangskontrolle mit einem Mobilfunkgerät |
US10554641B2 (en) | 2017-02-27 | 2020-02-04 | International Business Machines Corporation | Second factor authorization via a hardware token device |
US10438006B2 (en) * | 2017-07-27 | 2019-10-08 | Citrix Systems, Inc. | Secure information storage |
GB2580635A (en) * | 2019-01-18 | 2020-07-29 | Stratec Se | System for authentification |
CN110177124B (zh) * | 2019-06-20 | 2022-02-25 | 深圳市迅雷网络技术有限公司 | 基于区块链的身份认证方法及相关设备 |
US11528276B2 (en) | 2020-04-16 | 2022-12-13 | Bank Of America Corporation | System for prevention of unauthorized access using authorized environment hash outputs |
US11263109B2 (en) | 2020-04-16 | 2022-03-01 | Bank Of America Corporation | Virtual environment system for validating executable data using accelerated time-based process execution |
US11423160B2 (en) | 2020-04-16 | 2022-08-23 | Bank Of America Corporation | System for analysis and authorization for use of executable environment data in a computing system using hash outputs |
US11481484B2 (en) | 2020-04-16 | 2022-10-25 | Bank Of America Corporation | Virtual environment system for secure execution of program code using cryptographic hashes |
US11425123B2 (en) | 2020-04-16 | 2022-08-23 | Bank Of America Corporation | System for network isolation of affected computing systems using environment hash outputs |
US11372982B2 (en) | 2020-07-02 | 2022-06-28 | Bank Of America Corporation | Centralized network environment for processing validated executable data based on authorized hash outputs |
CN113472731B (zh) * | 2020-12-25 | 2022-07-22 | 北京大学 | 一种针对数据库用户身份验证的双因素认证方法 |
CN113573307B (zh) * | 2021-07-28 | 2024-01-30 | 西安热工研究院有限公司 | 一种基于可扩展认证协议的快速认证方法 |
CN117675249A (zh) * | 2022-08-31 | 2024-03-08 | 福建发八网信息科技有限公司 | 电子装置及电子装置间的身份识别方法 |
CN115277030B (zh) * | 2022-09-29 | 2022-12-30 | 国网江西省电力有限公司电力科学研究院 | 一种面向窄带物联网的轻量化安全认证的密钥交换方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001060947A (ja) * | 1999-07-13 | 2001-03-06 | Lucent Technol Inc | 相互ネットワーク認証方法 |
JP2001313634A (ja) * | 2000-03-17 | 2001-11-09 | Lucent Technol Inc | 通信方法 |
JP2002521962A (ja) * | 1998-07-31 | 2002-07-16 | サンマイクロシステムズ インコーポレーテッド | 認証トークンを使用して共有秘密を確立する方法及びシステム |
US20030093680A1 (en) * | 2001-11-13 | 2003-05-15 | International Business Machines Corporation | Methods, apparatus and computer programs performing a mutual challenge-response authentication protocol using operating system capabilities |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH05281906A (ja) * | 1992-04-02 | 1993-10-29 | Fujitsu Ltd | 暗号鍵共有方式 |
US5434918A (en) | 1993-12-14 | 1995-07-18 | Hughes Aircraft Company | Method for providing mutual authentication of a user and a server on a network |
US5608778A (en) * | 1994-09-22 | 1997-03-04 | Lucent Technologies Inc. | Cellular telephone as an authenticated transaction controller |
JPH09307542A (ja) * | 1996-03-15 | 1997-11-28 | Sony Corp | データ伝送装置とその方法 |
JPH10155170A (ja) | 1996-11-22 | 1998-06-09 | Toyo Commun Equip Co Ltd | ページャ |
US5784463A (en) * | 1996-12-04 | 1998-07-21 | V-One Corporation | Token distribution, registration, and dynamic configuration of user entitlement for an application level security system and method |
US5995624A (en) * | 1997-03-10 | 1999-11-30 | The Pacid Group | Bilateral authentication and information encryption token system and method |
JPH10340255A (ja) | 1997-06-10 | 1998-12-22 | Kyushu Nippon Denki Software Kk | ネットワーク利用者認証方式 |
US6088799A (en) * | 1997-12-11 | 2000-07-11 | International Business Machines Corporation | Security method and system for persistent storage and communications on computer network systems and computer network systems employing the same |
CA2282942A1 (en) * | 1998-11-09 | 2000-05-09 | Lucent Technologies Inc. | Efficient authentication with key update |
US7017041B2 (en) * | 2000-12-19 | 2006-03-21 | Tricipher, Inc. | Secure communications network with user control of authenticated personal information provided to network entities |
US7076656B2 (en) * | 2001-04-05 | 2006-07-11 | Lucent Technologies Inc. | Methods and apparatus for providing efficient password-authenticated key exchange |
US7228438B2 (en) * | 2001-04-30 | 2007-06-05 | Matsushita Electric Industrial Co., Ltd. | Computer network security system employing portable storage device |
US6986045B2 (en) * | 2001-08-17 | 2006-01-10 | Pitney Bowes Inc. | Single algorithm cipher suite for messaging |
JP3886964B2 (ja) * | 2001-09-14 | 2007-02-28 | 株式会社Yozan | 認証端末装置、認証サーバ及び認証システム |
US6996714B1 (en) * | 2001-12-14 | 2006-02-07 | Cisco Technology, Inc. | Wireless authentication protocol |
-
2003
- 2003-06-27 KR KR1020030042611A patent/KR100581590B1/ko not_active IP Right Cessation
-
2004
- 2004-06-28 JP JP2006516955A patent/JP4847322B2/ja not_active Expired - Fee Related
- 2004-06-28 CN CN2004800244373A patent/CN1846397B/zh not_active Expired - Fee Related
- 2004-06-28 WO PCT/KR2004/001569 patent/WO2005002131A1/en active Application Filing
- 2004-06-28 US US10/562,605 patent/US8352739B2/en not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002521962A (ja) * | 1998-07-31 | 2002-07-16 | サンマイクロシステムズ インコーポレーテッド | 認証トークンを使用して共有秘密を確立する方法及びシステム |
JP2001060947A (ja) * | 1999-07-13 | 2001-03-06 | Lucent Technol Inc | 相互ネットワーク認証方法 |
JP2001313634A (ja) * | 2000-03-17 | 2001-11-09 | Lucent Technol Inc | 通信方法 |
US20030093680A1 (en) * | 2001-11-13 | 2003-05-15 | International Business Machines Corporation | Methods, apparatus and computer programs performing a mutual challenge-response authentication protocol using operating system capabilities |
Also Published As
Publication number | Publication date |
---|---|
WO2005002131A1 (en) | 2005-01-06 |
US8352739B2 (en) | 2013-01-08 |
CN1846397A (zh) | 2006-10-11 |
US20100325435A1 (en) | 2010-12-23 |
KR20050000481A (ko) | 2005-01-05 |
KR100581590B1 (ko) | 2006-05-22 |
JP2007520909A (ja) | 2007-07-26 |
CN1846397B (zh) | 2012-05-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4847322B2 (ja) | 二重要素認証されたキー交換方法及びこれを利用した認証方法とその方法を含むプログラムが貯蔵された記録媒体 | |
Aiello et al. | Just fast keying: Key agreement in a hostile internet | |
US7788480B2 (en) | Protected dynamic provisioning of credentials | |
JP4944886B2 (ja) | 展性攻撃に対して改良された安全性を有する技術(これに限定されない)を含む非ワンタイムパッド暗号で暗号化した署名鍵を用いた、暗号認証、及び/又は共有暗号鍵の設定 | |
US7930542B2 (en) | MashSSL: a novel multi party authentication and key exchange mechanism based on SSL | |
EP1933498A1 (en) | Method, system and device for negotiating about cipher key shared by ue and external equipment | |
CN110087240B (zh) | 基于wpa2-psk模式的无线网络安全数据传输方法及系统 | |
WO2005088892A1 (en) | A method of virtual challenge response authentication | |
Di Pietro et al. | A two-factor mobile authentication scheme for secure financial transactions | |
Prakash et al. | Authentication protocols and techniques: a survey | |
Park et al. | Two factor authenticated key exchange (TAKE) protocol in public wireless LANs | |
Sun et al. | Password-based authentication and key distribution protocols with perfect forward secrecy | |
Dey et al. | An efficient dynamic key based eap authentication framework for future ieee 802.1 x wireless lans | |
CN114666114A (zh) | 一种基于生物特征的移动云数据安全认证方法 | |
Simon et al. | IEEE 802.11 security and 802.1 X | |
Liu et al. | Extensible authentication protocols for IEEE standards 802.11 and 802.16 | |
Yeh et al. | Password authenticated key exchange protocols among diverse network domains | |
He et al. | An asymmetric authentication protocol for M-Commerce applications | |
Wan et al. | Anonymous dos-resistant access control protocol using passwords for wireless networks | |
Wan et al. | Access control protocols with two-layer architecture for wireless networks | |
Kbar et al. | Challenge Token-based Authentication–CTA | |
Pervaiz et al. | Security in wireless local area networks | |
Yoon et al. | An optimized two factor authenticated key exchange protocol in PWLANs | |
Madhusudhan | Design of Robust Authentication Protocols for Roaming Service in Glomonet and Mitigation of XSS Attacks in Web Applications | |
Garg et al. | Design of secure authentication protocol in SOCKS V5 for VPN using mobile phone |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070509 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100817 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101117 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110412 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110812 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20110817 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110913 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111013 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141021 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4847322 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |