JP4851767B2 - ポータブルセキュリティトークン使用型認証機関間相互認証方法及びコンピュータシステム - Google Patents

ポータブルセキュリティトークン使用型認証機関間相互認証方法及びコンピュータシステム Download PDF

Info

Publication number
JP4851767B2
JP4851767B2 JP2005295832A JP2005295832A JP4851767B2 JP 4851767 B2 JP4851767 B2 JP 4851767B2 JP 2005295832 A JP2005295832 A JP 2005295832A JP 2005295832 A JP2005295832 A JP 2005295832A JP 4851767 B2 JP4851767 B2 JP 4851767B2
Authority
JP
Japan
Prior art keywords
pst
certificate
pki
domain
mutual
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005295832A
Other languages
English (en)
Other versions
JP2006115502A5 (ja
JP2006115502A (ja
Inventor
バルファン ダーク
イー ダーフィー グレン
ケイ スミッターズ ダイアナ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Palo Alto Research Center Inc
Original Assignee
Palo Alto Research Center Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Palo Alto Research Center Inc filed Critical Palo Alto Research Center Inc
Publication of JP2006115502A publication Critical patent/JP2006115502A/ja
Publication of JP2006115502A5 publication Critical patent/JP2006115502A5/ja
Application granted granted Critical
Publication of JP4851767B2 publication Critical patent/JP4851767B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/02Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • G06Q20/40975Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1016Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • H04L9/007Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models involving hierarchical structures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • General Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Finance (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)

Description

本発明は、ネットワークに接続されたコンピューティングシステムに対しセキュリティを提供する仕組みに関する。本発明は、より詳細には、別々のPKI(public-key infrastructure:公開鍵基盤)ドメインに係るCA(certification authority:認証機関)間での相互認証用にPST(portable security token:ポータブルセキュリティトークン)を使用する方法及び装置に関する。
公開鍵暗号方式はデータを暗号化しディジタル署名を認証できる強力なツールとして使用されている。しかしながら、公開鍵暗号方式が広く使用されるにいたった現状においては、公開鍵(public key)とその所有者との対応付けをどのように行えば信頼性及び認証性を保てるか、という問題について、答えを見いだすことが現実的課題となってきている。
この問題に対してはPKIを構築するというやり方で以て応えることができる。PKIは信頼できる周知の公開鍵をまとめてサポートする仕組みであり、その構造は階層構造とすることができる。PKIにおいては、通常、信頼できる鍵の所有者をCAと呼んでいる。CAは、信頼されている自分の公開鍵に対応する秘密鍵(private key)を用い、同じPKIに属する他のメンバー(ユーザやデバイス)の鍵にそのメンバーに代わって署名することによって、そのメンバーの鍵を認証しディジタル証明書を発行する。このディジタル証明書は認証する公開鍵をある種の情報にリンクさせる。ディジタル証明書によりその公開鍵にリンクされる情報は、通常は、誰がその鍵を所有しているのかを示すアイデンティティ(同一性)情報や、或いは何についてその鍵を使用することが認められているかを示す属性情報であるが、少なくとも、認証する公開鍵に対応する秘密鍵の保持者/伝達者がそのPKI若しくは信頼できる他のシステムの正当なメンバーであることを示す情報でなければならない。このようなPKIを構築すれば、信頼できるネットワークの全メンバー間で鍵を交換し合う必要がなくなるため、鍵をどのように管理するかという問題を単純化できる。反面、PKIにおいては信頼できる公開鍵しか公表しないようにする必要がある。
当初想定されていたのは、最終的には単一のグローバルPKIが構築されることであった。この想定通り単一のグローバルPKIが構築されていれば、インターネット上のどのようなデバイスでも、インターネット上の他のあらゆるデバイスに対し自分の身元を証明できることとなっていたであろう。残念なことに、そのようなグローバルPKIは未だ構築されておらず、現存しているのは多くの個別PKIドメインである。それら個別PKIドメインは、例えば、各会社又は政府系組織毎にその内部のコンピューティングデバイス用に設けられることがしばしばである。単一のグローバルPKIが存在していない現状では、インターネット上のデバイスがインターネット上の他のデバイスと信頼関係を築くことは難しい。
別々のPKIドメインに属するデバイス同士を連係動作させられるようにする方式としては、多様な方式が開発されている。なかでも相互認証として知られる手法によれば、2個の別々のPKIドメインを単一のPKIドメイン集団に統合することができる。例えば、ここに2個のPKIドメインがあり、そのうち第1PKIドメインには第1ルートCAが、第2PKIドメインには第2ルートCAが、それぞれ属しているとする。相互認証手順においては、まず第2ルートCAが第1ルートCA宛に相互認証状を発行し、次にこの相互認証状が第1PKIドメイン内デバイスに頒布される。これによって、第1PKIドメイン内デバイスが第2PKIドメイン内デバイスに対し自分の身元を証明できるようになる。加えて、この相互認証を逆方向に実行し、第1ルートCAも第2ルートCA宛に相互認証状を発行するようにすれば、双方向相互認証が可能になる。
残念なことに、相互認証には複雑で時間が掛かるという問題がある。即ち、ドメインとドメインの間で相互認証を行うには、普通、それらドメインのアドミニストレータ同士がミーティングを行う必要があり、またそれらドメインのルートCA間で何らかのやり方により安全に認証情報をやりとりする必要がある。注記すべきことに、この段階ではまだ相互認証が完了しておらず、従ってインターネット等の公衆網を介しルートCA間で安全な通信を行うことができないため、認証情報の交換は別の通信手段でやらねばならない。例えば、交換すべき認証情報が書き込まれているディスクをCAからCAへと手渡しするといったやり方である。
このように、個別PKIドメイン間相互認証を簡略実行する方法及び装置が、必要とされている。
本発明の一実施形態に係るシステムはPSTを用い第1CAと第2CAの間で相互認証を行うシステムである。第1CAは対応する加入者デバイスと共に第1PKIドメインを、また第2CAも対応する加入者デバイスと共に第2PKIドメインを形成しているものとする。動作時には、本システムでは、まず第1及び第2CAと場所限定型通信チャネルを介して通信するPSTを用い第1CAと第2CAの間で認証情報をやりとりし、次に、第2CAにより署名された第1CA宛の相互認証状を認証情報を用いて発行し、そしてこの相互認証状を第1CAから第1PKIドメイン内加入者デバイスに頒布する。これによって、第1PKIドメイン内加入者デバイスは第2PKIドメイン内デバイスに対し自分の身元を証明できることとなる。
本システムは、更に、第1CAにより署名された第2CA宛の相互認証状を認証情報を用いて発行し、この相互認証状を第2CAから第2PKIドメイン内加入者デバイスに頒布することによって、第2PKIドメイン内加入者デバイスが第1PKIドメイン内デバイスに対し自分の身元を証明できるようにしたシステムとしても、実施できる。
本システムは、更に、第1CA宛に発行された相互認証状によって、第2PKIドメイン内デバイスとのやりとりの間第1PKIドメイン内デバイスに対し制限付きアクセス権を与えるようにしたシステムとしても、実施できる。
本システムは、更に、PSTを用い第1CAと第2CAの間で認証情報をやりとりする動作が、PST上に第1CAの公開鍵をインストールする動作、PSTを第2CAに物理的に近づける動作、並びに第1CAの公開鍵を場所限定型通信チャネルを介し第2CAに送る動作を含み、また第1CA宛の相互認証状を認証情報を用いて発行する動作が、自分の秘密鍵を用い第1CAの公開鍵に署名することによって第2CAにて相互認証状を作成する動作、並びにこの相互認証状を第2CAから第1CAに送る動作を含むシステムとしても、実施できる。
本システムは、更に、PSTを用い第1CAと第2CAの間で認証情報をやりとりする動作が、PST上に第2CAの秘密鍵をインストールする動作、並びにPSTを第1CAに物理的に近づける動作を含み、第1CA宛の相互認証状を認証情報を用いて発行する動作が、場所限定型通信チャネルを介しPSTにて第1CAの公開鍵を受け取る動作、第2CAの秘密鍵を用い第1CAの公開鍵に署名することによってPSTにて相互認証状を作成する動作、並びにこの相互認証状をPSTから第1CAに送る動作を含むシステムとしても、実施できる。
本システムは、更に、PSTを用い第1CAと第2CAの間で認証情報をやりとりする動作が、共通鍵(secret key)に関し第2CAとPSTの間に合意を形成する動作、並びにPSTを第1CAに物理的に近づける動作を含み、第1CA宛の相互認証状を認証情報を用いて発行する動作が、場所限定型通信チャネルを介しPSTにて第1CA用認証子を受け取る動作、PSTと第2CAとの間で先に合意済の共通鍵を用い第1CA用認証子に署名することによりチケットを作成する動作、並びにそのチケットをPSTから第1CAに送る動作を含むシステムとしても、実施できる。第1CAは、PSTから送られたチケットを第2CAに示すことによって、自分が第2CAから相互認証状を受け取る権限を有していることを証明できることとなる。
本システムにおいては、更に、第1CA宛の相互認証状を発行する際に、第2CA用ルート証明書を第1CAに送ることもできる。
本システムは、更に、第1CAがCRL(certificate revocation list:証明書失効リスト)を第2PKIドメイン内デバイスからアクセス可能に保持するシステムとしても、実施できる。これによって、第1CAは第1PKIドメイン内デバイス用の証明書又は認証状を無効化可能になり、また第2PKIドメイン内デバイスはこの無効化を察知可能になる。
以下詳細に説明するデータ構造及びコードは、通常はコンピュータ可読記憶媒体上に格納されるものである。そのための媒体としては、コンピュータシステムにて使用できるようコードやデータを格納可能なデバイス乃至媒体であれば、どのような媒体も使用できる。例えば、これに限られるものではないが、ディスクドライブ等の形態を採る磁気又は光学記憶装置や、磁気テープ、CD(compact disk:コンパクトディスク)、DVD(digital versatile(video) disk:ディジタル万能(ビデオ)ディスク)等の記録媒体や、コンピュータ指令信号(この信号により搬送波を変調しているか否かを問わない)を伝送する通信ネットワーク例えばインターネットといった媒体等である。
図1に、本発明の実施形態に係る相互認証動作即ちPST130を介した相互認証動作を実行する2個の個別PKIドメイン110及び120を示す。
PKIドメイン110及び120はそれぞれCA及び対応する加入者デバイスを有している。より詳細には、第1PKIドメイン110は第1CA102及び対応する加入者デバイス104〜107を、第2PKIドメイン120第2CA112及び対応する加入者デバイス114〜117を、それぞれ包含している。
CA102及び112は、対応するローカルネットワーク上のデバイスを対象として認証機関機能を果たせるコンピューティングデバイス等から、構成されている。注記すべきことに、これらのローカルネットワーク又はそれに包含されるネットワークは、有線及び無線の何れでもよくまたどのような種類のものでもよい。少なくとも、対応するCAと個別的に通信できる加入者デバイスがそのネットワーク上に存在しているものとする。
加入者デバイス104〜107及び114〜117は任意のコンピューティングデバイス、応用機器等により実現・構成できる。これらの中には、ネットワークを介し他のデバイスとやりとりを行うときに証明書又は認証状を使用するものが含まれているものとする。
第1PKIドメイン110内デバイスはネットワーク101を介し第2PKIドメイン120内デバイスと通信できる。このネットワーク101は、一般に、有線チャネルか無線チャネルかまたどのような種類のチャネルかを問わずコンピューティングノード間を接続可能な通信チャネルを含むものであり、これに限られるものではないが、ローカルエリアネットワーク、ワイドエリアネットワーク、複数個のネットワークを統合したネットワーク等の形態を採り得る。本発明を実施する際には、ネットワーク101を、インターネット部分を含むネットワークとすることができる。
相互認証プロセス実行時には、PST130を用いて、第1PKIドメイン110内の第1CA102と、第2PKIドメイン120内の第2CA112との間で、認証情報のやりとりを行う。
このPST130は、場所限定型通信チャネルを介しネットワーク上のデバイスと通信可能な可搬装置である限り又はそのような可搬装置部分を有している限りどのような種類の装置でもよい。例えば、これに限られるものではないが、セルラーホン、スマートカード、PDA(personal digital assistant:携帯情報端末)、ラップトップコンピュータ、携帯型遠隔制御装置等を、PST130として使用しまたそれによりPST130を構成することが可能である。
PST130が使用する場所限定型通信チャネルは、可視若しくは不可視電磁輻射利用型通信チャネル例えば赤外線通信チャネル、短区間配線によるチャネル、可聴若しくは不可聴音響通信チャネル、実体的電気接触、短距離RF(radio frequency:無線周波数)チャネル、近接電磁界通信チャネル、有形データ搬送体利用型通信チャネル等の通信チャネルによって、構成・実現することができる。有形データ搬送体利用型通信チャネルとは、リムーバブルディスク、USB(universal serial bus:ユニバーサルシリアルバス)ストレージデバイス、フラッシュメモリペンその他、実体を有するコンピュータ可読媒体(有形データ搬送体)を介しデバイスからデバイスへと情報を受け渡す、という動作形態を有する通信チャネルである。
場所限定型通信チャネルとして理想的なものは明示的識別プロパティを有するものである。明示的識別プロパティとは、そのチャネルを介しどのデバイスが相互通信しているのかを人間であるオペレータが認識できる、という性質である。明示的識別プロパティがあれば、そのチャネル上で行われている攻撃を人間オペレータが容易に察知することができる。
場所限定型通信チャネルとして理想的なものはまた認証性プロパティも有している。認証性プロパティとは、正当な通信関係者により察知されることなく攻撃者がそのチャネルにより送信を行うことやそのチャネル上のメッセージを改竄することが不可能又は困難である、という性質である。注記すべきことに、これは機密性を有するチャネルに限られる話ではない。従って、攻撃者でも察知されずにそのチャネル上での伝送を監視できるが攻撃者がそのチャネルによる送信を行ったら察知されてしまう、といった状況もあり得る。
注記すべきことに、場所限定型というこのチャネルの性質からして、攻撃者が察知されずにこのチャネルによる送信を行うことだけでなく、攻撃者が察知されずにこのチャネルを監視することも困難である。また、人間である参加者は、このチャネルを介する通信に参加している人数又はデバイス個数を調べるだけで、攻撃者の存在を察知することができる。
本発明の一実施形態におけるPST130の機能は、テレビジョン用赤外線リモートコントローラの如き機能である。そのような実施形態においては、人間であるオペレータが標的デバイスの近くに寄りPST130でその標的デバイスを狙い、ボタンを押すことによってPST130とその標的デバイスとの通信を開始させる。
以下、PST130、第1CA102及び第2CA112の間のやりとりについて、図2〜図4Cを参照してより詳細に説明する。
図2に、本発明の一実施形態に係るPKIドメイン間相互認証手順、特にPSTを用いて公開鍵を転送する手順の流れを示す。このシステム的な手順は、図1中の第1CA102に係る第1PKIドメイン110と、第2CA112に係る第2PKIドメイン120との間で、開始される。
この相互認証プロセスを実行するときには、PST130を用い第1CA102の公開鍵が第2CA112に搬送される(ステップ202)。このステップは、例えば、PST130を第1CA102に物理的に近づけ、場所限定型通信チャネルを介し第1CA102からPST130にその公開鍵を送り、PST130を第2CA112に物理的に近づけ、そして場所限定型通信チャネルを介しPST130から第2CA112に第1CA102の公開鍵を送る、という手順を含んでいる。
次に、第2CA112が、自分の秘密鍵を用いて第1CA102の公開鍵に署名することにより、相互認証状を作成する(ステップ204)。
そうして作成された相互認証状は、第2CA112用ルート証明書と共に、第1CA102に返送される(ステップ206)。この返送は、例えば、返送する情報を蓄えたPST130を第1CA102のところまで持ち帰ることでPST130によって行ってもよいし、公衆網101を介した通信によって行ってもよい。
これら相互認証状及び第2CA112用ルート証明書が第1CA102にインストールされたら、次に、それら相互認証状及びルート証明書が第1PKIドメイン110内加入者デバイス104〜107に頒布される(ステップ208)。この相互認証状によって、第1PKIドメイン110内加入者デバイス104〜107は第2PKIドメイン120内デバイスに対し自分の身元を証明できることとなる。
この種の相互認証、即ち一方のPKIドメインが他方のPKIドメインの信頼性を確かめるがその逆は行わないという相互認証を、単方向性相互認証と呼ぶ。注記すべきことに、全面的な双方向性相互認証を実現するには、上述したプロセスをその向きを反転して再び実行し、第2PKIドメイン120内加入者デバイス114〜117が第1PKIドメイン110内デバイスに対して自分の身元を証明できるようにすればよい。更に注記すべきことに、以下に述べる手法の幾分かを組み合わせて用いれば、PSTをPKIドメイン110及び120間で片道移動させることで、全面的な双方向性相互認証を実現することができる。
図3に、本発明の他の実施形態に係るPKIドメイン間相互認証手順、特にPSTを用いて秘密鍵を搬送する手順の流れを示す。
この相互認証プロセスを実行するときには、PST130を用い何れも第2CA112用の秘密鍵及びルート証明書が第1CA102の近くに運び込まれる(ステップ302)。このステップは、例えば、PST130を第2CA112に物理的に近づけ、場所限定型通信チャネルを介し第2CA112からPST130にその秘密鍵(及びルート証明書)を送り、PST130を第1CA102に物理的に近づける、という手順を含んでいる。
次に、PST130が場所限定型通信チャネルを介し第1CA102の公開鍵を受け取り、第2CA112の秘密鍵を用いて第1CA102の公開鍵に署名することにより相互認証状を作成する(ステップ304)。
更に次に、相互認証状及び第2CA112用ルート証明書が第1CA102に返送される(ステップ306)。この返送は、場所限定型通信チャネルを介して、或いは公衆網を介して、行うことができる。
そして、これら相互認証状及び第2CA112用ルート証明書が第1CA102にインストールされたら、それら相互認証状及びルート証明書が第1PKIドメイン110内加入者デバイス104〜107に頒布される(ステップ308)。この相互認証状によって、第1PKIドメイン110内加入者デバイス104〜107は、第2PKIドメイン120内デバイスに対し自分の身元を証明できることとなる。注記すべきことに、全面的な双方向性相互認証を実現するには、上述したプロセスをその向きを反転して再び実行し、第2PKIドメイン120内加入者デバイス114〜117が第1PKIドメイン110内デバイスに対し自分の身元を証明できるようにすればよい。
図4Aに、本発明の更に他の実施形態に係る相互認証手順、特にPSTを用いチケットを作成する手順の流れを示す。この手順においては、まず、PST130及び第2CA112が相互通信を開始する(ステップ402)。この相互通信は様々なやり方で実行できる。例えば、PST130及び第2CA112を互いに物理的に近づけ、場所限定型通信チャネルを介しそれらが通信を行えるようにすればよい。或いは、PST130及び第2CA112を直に有線接続して通信させてもよいし、PST130が公衆網を介し第2CA112と通信するようにしてもよい。
更に、以後の動作を実行する前にPST130及び第2CA112が相互認証する(こととしてもよい)。次に、PST130がそれ以後ネットワークデバイス用チケットを認証するのに使用することとなる鍵について、第2CA112及びPST130が合意を形成する(ステップ404)。この鍵は、例えば、第2CA112及びPST130だけが知っている共通鍵即ち対称鍵(symmetric key)とする。或いは、第2CA112により発行されたディジタル証明書をPST130が受け取り、PST130がこのディジタル証明書に関連付けられている自分の秘密鍵を用いてチケットに署名するようにしてもよい。
更に、第2CA112は、自分の公開鍵又はその断片(ステップ406)更には自分用のルート証明書及びアドレス情報をPST130に送る(ステップ408)。アドレス情報としては自分のIP(Internet Protocol)アドレスを送ればよい。
この時点で、PST130はチケットを発行できる状態になる。
図4Bに、図4Aに示した流れに続く手順の流れを示す。上述したステップ408の実行後は、まずPST130を第1CA102に近づける(ステップ422)ことによって、PST130が場所限定型通信チャネルを介し第1CA102と通信を行えるようにする。
この通信に当たっては、まずPST130が第1CA102に初期要求を送る(ステップ424)。この初期要求には(或いは更に引き続くメッセージにも)、第1CA102が引き続いて第2CA112と通信を行い第2CA112を認証することができるよう、例えば、第2CA112の公開鍵又はその断片及び第2CA112用アドレス情報が含まれている。
第1CA102はこの初期要求に応じPST130に認証子を返送する(ステップ426)。この認証子は、第1CA102と第2CA112との間で引き続いて実行されるプロトコルにて、その認証子が第1CA102から発せられたことを立証するのに使用できる暗号トークンである。この認証子としては、例えば、第1CA102の公開鍵、その断片、又は第1CA102のみが知っている秘密情報の断片を、用い得る。
次に、PST130が認証子にディジタル署名することによりチケットを作成する(ステップ428)。注記すべきことに、このチケットには、認証子だけでなく第2CA112用識別子、PST130用識別子並びにチケット用途指示子を含めることができる。更に、この認証手順においては、先にPST130と第2CAとの間で合意済の鍵を用いる。
更に次に、チケット及び第2CA112用ルート証明書が第1CA102に送られる(ステップ430)。この通信は場所限定型通信チャネルを介して行う。
これ以後、第1CA102は、チケットを第2CA112に示すことによって、自分は第2CA112から相互認証状を受け取る権限を有している、と証明することができる(ステップ432)。相互認証状取得手順については後に図4Cを参照してより詳細に説明する。
その手順の実行後、相互認証状及び第2CA112用ルート証明書が第1CA102にインストールされると、それら相互認証状及びルート証明書が第1PKIドメイン110内加入者デバイス104〜107に頒布される(ステップ434)。この相互認証状によって、第1PKIドメイン110内加入者デバイス104〜107は第2PKIドメイン120内デバイスに対し自分の身元を証明できることとなる。注記すべきことに、全面的な双方向性相互認証を実現するには、上述したプロセスをその向きを反転して再び実行し、第2PKIドメイン120内加入者デバイス114〜117が第1PKIドメイン110内デバイスに対し自分の身元を証明できるようにすればよい。
図4Cに、図4Bに示した手順中、チケットを用いた相互認証状取得手順の流れを示す。この手順の開始時には、第1CA102及び第2CA112が数ある通信チャネルのうち何れか一つを介した相互通信を開始する(ステップ442)。例えば、PST130から取得した第2CA112用アドレス情報を用いることにより、第1CA102は、公衆網101を介した第2CA112との通信を開始できる。
次に、第1CA102が、先にPST130から取得済の第2CA112の公開鍵又はその断片を用いて、第2CA112を認証する(ステップ444)。この認証は周知の認証手法を用いて実行することができる。例えば、自分(第2CA112)の秘密鍵によってある種の情報断片に署名するよう第1CA102が第2CA112に求め、返ってきた情報に第2CA112の秘密鍵による署名がされていることを第2CA112の公開鍵を用い第1CA102が確認する、といった手順を使用できる。注記すべきことに、もし第1CA102が第2CA112の公開鍵の断片しか有していないのなら、第1CA102はまず第2CA112の公開鍵を第2CA112から取得する必要がある。
第2CA112を認証できた第1CA102は、チケットに加え、このチケットを確認するのに必要なあらゆる情報を、第2CA112に送る(ステップ446)。チケットを確認するのに必要なのは、例えば、(もしあれば)認証子のプリイメージ等の情報である。その認証子が第1CA102の公開鍵の断片である場合は、例えば第1CA102の公開鍵(但し断片化されていない状態のもの)を、認証子のプリイメージとして用いることができる。
同様に、その認証子が第1CA102のみが知っている秘密情報Sの断片H(S)である場合は、その秘密情報Sをプリイメージとして用いることができる。その場合、セキュリティが確保された暗号化トンネル例えばSSL(Secure Socket Layer)接続を第1CA102と第2CA112との間に確立し、このトンネルを介しCAに秘密情報Sを送るのが理想的である。
次に、第2CA112が、チケット、(もしあれば)認証子のプリイメージ、並びに先に合意済の鍵を用いて、第1CA102を認証しようと試みる(ステップ448)。この手順においては、チケットが先に合意済の鍵により署名されていることを確認する処理、並びに(もしあれば)認証子のプリイメージが認証子と一致していることを確認する処理を、実行する。
そして、第1CA102を成功裏に認証できた第2CA112は、相互認証状を作成して第1CA102に送る(ステップ450)。
本発明によれば、PKIをベースにしているため、有益なことにデバイス単位での無効化を実行できる。例えば、第1PKIドメイン110内デバイスが紛失し又は盗難に遭った場合でも、そのデバイスに対して発行した証明書又は認証状を個別的に無効化することによって、第2PKIドメイン120内デバイスに対する無権限アクセスを防ぐことができる。これを可能にするには、第2PKIドメイン120から、第1CA102により保持されている最新のCRL情報にアクセスしなければならない。これを実現するには、例えば、PST130を介した第1CA102との通信又は第1CA102との直接通信によって、CRLのアドレスを第2PKIドメイン120内にプッシュすればよい。更に、第2CA112とこれに関連する加入者デバイス114〜117との間の交換に使用される証明書内に、CRLのありかを含めてもよい。
本発明を実施するに当たっては、第1CA102宛に発行された相互認証状によって、第2PKI120ドメイン内デバイスとのやりとりの間、第1PKIドメイン110内デバイスに対し制限付きアクセス権を与えるようにしてもよい。例えば、第1CA102がホームセキュリティ/施錠システム内デバイスに統合されている場合、ユーザは、自分のPST130を用い、自宅に対する制限付きアクセス権を他人に付与することができる。より具体的には、自宅の流し台を修理させるため4時間限定で水道業者に自宅開扉権能を与える、自宅内に入り飼い猫に給餌する権能及びインターネットを介しホームビデオシステムにアクセスし飼い猫の様子を離れた場所から見守る権能を自分が雇ったキャットシッターに与える、といった具合に、この制限付きアクセスを利用できる。また、ひとたび(PST130を物理的に近づける手順を経て)自分が制限付きアクセス用証明書を与えたキャットシッターについては、その第1CA102はそのキャットシッターの公開鍵を覚えておくことができる。そのため、休暇準備用アプリケーションを起動させトゥドゥリストから「いつものキャットシッターは許可する(allow usual cat sitter)」を選ぶのみで、ユーザは、これから始まる休暇期間中にそのキャットシッターがアクセスすることを許可することができる。こういった制限付きアクセス権付与機能は、例えば年配親近者の具合を遠隔地から知る等の用途で、長期間ベースで利用することができる。
以上、専ら例示説明のため本発明の各種実施形態を示した。以上の説明は、開示した実施形態以外の構成を本発明の技術的範囲から除外することや、本発明の技術的範囲を開示した実施形態に限定することを意図したものではなく、本件技術分野にて習熟を積んだ者(いわゆる当業者)であれば、以上説明した実施形態に様々な変形及び変更を施し得ることを明瞭に理解できるであろう。更に、以上の説明には限定的意図はなく、本発明の技術的範囲は別紙特許請求の範囲によって定義されるものである。
本発明の実施形態に係るPST介在型相互認証動作を実行する2個の個別PKIドメインを示す図である。 本発明の一実施形態に係るPKIドメイン間相互認証手順、特にPSTを用いて公開鍵を搬送する手順を示すフローチャートである。 本発明の他の実施形態に係るPKIドメイン間相互認証手順、特にPSTを用いて秘密鍵を搬送する手順を示すフローチャートである。 本発明の更に他の実施形態に係るPKIドメイン間相互認証手順、特にPSTを用いチケットを作成する手順を示すフローチャートである。 図4Aに示した手順の続きを示すフローチャートである。 図4Bに示した手順の一部をより詳細に示すフローチャートである。
符号の説明
101 ネットワーク(インターネット)、102,112 CA、104〜107,114〜117 加入者デバイス、110,120 PKIドメイン、130 PST。

Claims (8)

  1. 対応する加入者デバイスと共に第1PKI(public-key infrastructure)ドメインを形成している第1CA(certification authority)と、対応する加入者デバイスと共に第2PKIドメインを形成している第2CAとの間で、第1及び第2CAと場所限定型通信チャネルを介して通信するPST(portable security token)を用い、認証情報をやりとりするステップと、
    第2CAにより署名された第1CA宛の相互認証状を認証情報を用いて発行するステップと、
    第1PKIドメイン内加入者デバイスが第2PKIドメイン内デバイスに対し自分の身元を証明できることとなるよう、この相互認証状を第1CAから第1PKIドメイン内加入者デバイスに頒布するステップと、
    を有し、PSTを用い第1CAと第2CAの間で相互認証を行う方法。
  2. 請求項1記載の方法において、更に、
    第1CAにより署名された第2CA宛の相互認証状を認証情報を用いて発行するステップと、
    第2PKIドメイン内加入者デバイスが第1PKIドメイン内デバイスに対し自分の身元を証明できることとなるよう、この相互認証状を第2CAから第2PKIドメイン内加入者デバイスに頒布するステップと、
    を有する方法。
  3. 請求項1記載の方法において、第1CA宛に発行された相互認証状によって、第2PKIドメイン内デバイスとのやりとりの間、第1PKIドメイン内デバイスに対し制限付きアクセス権が与えられる方法。
  4. 対応する加入者デバイスと共に第1PKI(public-key infrastructure)ドメインを形成している第1CA(certification authority)と、対応する加入者デバイスと共に第2PKIドメインを形成している第2CAとの間で認証情報をやりとりできるよう、第1及び第2CAと場所限定型通信チャネルを介して通信するPST(portable security token)と、
    第2CAにより署名された第1CA宛の相互認証状を認証情報を用いて発行する認証状発行機構と、
    第1PKIドメイン内加入者デバイスが第2PKIドメイン内デバイスに対し自分の身元を証明できることとなるよう、この相互認証状を第1CAから第1PKIドメイン内加入者デバイスに頒布する第1PKIドメイン内頒布機構と、
    を備え、PSTを用い第1CAと第2CAの間で相互認証を行うコンピュータシステム
  5. 請求項4記載のコンピュータシステムにおいて、
    PSTを、共通鍵に関し第2CAと合意を形成し、場所限定型通信チャネルを介して第1CA用認証子を受け取るよう構成し、
    認証状発行機構を、PSTと第2CAとの間で合意済の共通鍵を用い第1CA用認証子に署名することによりチケットを作成し、そのチケットをPSTから第1CAに送るよう構成することによって、
    PSTから送られたチケットを第2CAに示すことで第1CAが自分は第2CAから相互認証状を受け取る権限を有していると証明できるようにしたコンピュータシステム
  6. 請求項4記載のコンピュータシステムにおいて、
    PSTを、第2CAにより発行されたディジタル証明書を受け取り、場所限定型通信チャネルを介して第1CA用認証子を受け取るよう構成し、
    認証状発行機構を、PSTの鍵であってこのディジタル証明書に関連付けられている秘密鍵を用い第1CA用認証子に署名することによりチケットを作成し、そのチケットをPSTから第1CAに送るよう構成することによって、
    PSTから送られたチケットを第2CAに示すことで第1CAが自分は第2CAから相互認証状を受け取る権限を有していると証明できるようにしたコンピュータシステム
  7. 請求項4記載のコンピュータシステムにおいて、認証状発行機構が更に、第2CA用ルート証明書を第1CAに送るよう構成されたコンピュータシステム
  8. 請求項4記載のコンピュータシステムにおいて、
    第1CAは、発行された証明書又は認証状が無効化された第1PKIドメイン内デバイスを識別する情報が登録されたCRL(certification revocation list)と、
    CRLのアドレスを第2CAに通知する手段と、
    を有し、
    第2CAは、通知されたアドレスを参照してCRLにアクセスすることで、無効化された第1PKIドメイン内デバイスを認識する手段を有するコンピュータシステム
JP2005295832A 2004-10-14 2005-10-11 ポータブルセキュリティトークン使用型認証機関間相互認証方法及びコンピュータシステム Expired - Fee Related JP4851767B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/966,749 US7130998B2 (en) 2004-10-14 2004-10-14 Using a portable security token to facilitate cross-certification between certification authorities
US10/966,749 2004-10-14

Publications (3)

Publication Number Publication Date
JP2006115502A JP2006115502A (ja) 2006-04-27
JP2006115502A5 JP2006115502A5 (ja) 2008-11-20
JP4851767B2 true JP4851767B2 (ja) 2012-01-11

Family

ID=35892360

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005295832A Expired - Fee Related JP4851767B2 (ja) 2004-10-14 2005-10-11 ポータブルセキュリティトークン使用型認証機関間相互認証方法及びコンピュータシステム

Country Status (3)

Country Link
US (1) US7130998B2 (ja)
EP (1) EP1653656A3 (ja)
JP (1) JP4851767B2 (ja)

Families Citing this family (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002536706A (ja) 1999-02-12 2002-10-29 マック ヒックス 証明書関連その他のサービスを提供するシステム及び方法
US20020029200A1 (en) 1999-09-10 2002-03-07 Charles Dulin System and method for providing certificate validation and other services
WO2001024082A1 (en) 1999-09-24 2001-04-05 Mary Mckenney System and method for providing payment services in electronic commerce
US7000105B2 (en) 2000-09-08 2006-02-14 Identrus, Llc System and method for transparently providing certificate validation and other services within an electronic transaction
US7072870B2 (en) 2000-09-08 2006-07-04 Identrus, Llc System and method for providing authorization and other services
US7443807B2 (en) * 2003-06-16 2008-10-28 Microsoft Corporation System and process for discovery of network-connected devices
GB0428596D0 (en) * 2004-12-24 2005-08-10 Qinetiq Ltd Public key infrastructures
US8046579B2 (en) * 2005-10-04 2011-10-25 Neopost Technologies Secure gateway with redundent servers
US8117453B2 (en) * 2005-11-23 2012-02-14 Proton World International N.V. Customization of an electronic circuit
EP1801720A1 (en) * 2005-12-22 2007-06-27 Microsoft Corporation Authorisation and authentication
EP1826695A1 (en) * 2006-02-28 2007-08-29 Microsoft Corporation Secure content descriptions
JP4800377B2 (ja) * 2006-02-28 2011-10-26 パナソニック株式会社 認証システム、ce機器、携帯端末、鍵証明発行局および鍵証明取得方法
KR100853448B1 (ko) 2007-02-06 2008-08-21 성균관대학교산학협력단 도메인 기반 이동에이전트 인증 시스템 및 그 인증 방법
CA2712242C (en) 2008-01-18 2017-03-28 Identrust, Inc. Binding a digital certificate to multiple trust domains
JP2009177262A (ja) * 2008-01-22 2009-08-06 Softbank Mobile Corp 携帯情報処理装置、携帯情報処理方法及び携帯情報処理プログラム
WO2010053790A1 (en) * 2008-10-29 2010-05-14 Dolby Laboratories Licensing Corporation Internetworking domain and key system
US8904169B2 (en) * 2009-09-15 2014-12-02 Symantec Corporation Just in time trust establishment and propagation
EP2638665A4 (en) * 2010-11-09 2016-04-20 Zaplox Ab METHOD AND SYSTEM FOR REMOTE CONTROL OF A PLANT
EP2668737A4 (en) * 2011-01-28 2016-01-06 Royal Canadian Mint Monnaie Royale Canadienne TAXED SECURITY DOMAINS
US8990557B2 (en) * 2011-02-17 2015-03-24 Ebay Inc. Identity assertion framework
US9491620B2 (en) 2012-02-10 2016-11-08 Qualcomm Incorporated Enabling secure access to a discovered location server for a mobile device
US20130268755A1 (en) * 2012-04-06 2013-10-10 Microsoft Corporation Cross-provider cross-certification content protection
US9173085B2 (en) * 2012-07-06 2015-10-27 Blackberry Limited Methods and apparatus for use in transferring an assignment of a secure chip subscription managers
US20140136838A1 (en) * 2012-11-09 2014-05-15 Timothy Mossbarger Entity network translation (ent)
DE102014201234A1 (de) * 2014-01-23 2015-07-23 Siemens Aktiengesellschaft Verfahren, Verwaltungsvorrichtung und Gerät zur Zertifikat-basierten Authentifizierung von Kommunikationspartnern in einem Gerät
US10205598B2 (en) * 2015-05-03 2019-02-12 Ronald Francis Sulpizio, JR. Temporal key generation and PKI gateway
US10057067B2 (en) * 2015-05-27 2018-08-21 International Business Machines Corporation Automatic root key rollover during digital signature verification
ES2687717A1 (es) * 2017-04-26 2018-10-26 Universidad Carlos Iii De Madrid Método y dispositivo móvil para emitir certificados digitales a dispositivos electrónicos
WO2019050527A1 (en) 2017-09-07 2019-03-14 Visa International Service Association SYSTEM AND METHOD FOR GENERATING TRUSTED TOKENS
US11102005B2 (en) 2020-01-23 2021-08-24 Bank Of America Corporation Intelligent decryption based on user and data profiling
US11483147B2 (en) 2020-01-23 2022-10-25 Bank Of America Corporation Intelligent encryption based on user and data properties
US11425143B2 (en) 2020-01-23 2022-08-23 Bank Of America Corporation Sleeper keys
CN111934870B (zh) * 2020-09-22 2020-12-29 腾讯科技(深圳)有限公司 区块链网络中的根证书更新方法、装置、设备以及介质
CN114218558A (zh) * 2021-12-21 2022-03-22 联想(北京)有限公司 安全多方计算中的跨域身份验证方法及服务器

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2774120B1 (fr) * 1998-01-29 2000-04-07 Siemens Automotive Sa Systeme de verrouillage pour vehicule automobile a code evolutif et identification
EP1024626A1 (en) * 1999-01-27 2000-08-02 International Business Machines Corporation Method, apparatus, and communication system for exchange of information in pervasive environments
US6928295B2 (en) * 2001-01-30 2005-08-09 Broadcom Corporation Wireless device authentication at mutual reduced transmit power
JP2002288569A (ja) * 2001-03-28 2002-10-04 Ntt Leasing Co Ltd 取引遂行装置、方法、プログラムおよび該プログラムを記録した記録媒体
US20030093663A1 (en) * 2001-11-09 2003-05-15 Walker Jesse R. Technique to bootstrap cryptographic keys between devices
JP3915481B2 (ja) * 2001-11-14 2007-05-16 セイコーエプソン株式会社 無線通信装置
KR20050033628A (ko) * 2002-07-29 2005-04-12 코닌클리케 필립스 일렉트로닉스 엔.브이. 네트워크 내 장치들을 위한 보안 시스템

Also Published As

Publication number Publication date
EP1653656A2 (en) 2006-05-03
US20060085633A1 (en) 2006-04-20
US7130998B2 (en) 2006-10-31
JP2006115502A (ja) 2006-04-27
EP1653656A3 (en) 2006-05-10

Similar Documents

Publication Publication Date Title
JP4851767B2 (ja) ポータブルセキュリティトークン使用型認証機関間相互認証方法及びコンピュータシステム
EP1610202B1 (en) Using a portable security token to facilitate public key certification for devices in a network
KR100860404B1 (ko) 다중 도메인 홈네트워크 환경에서의 디바이스 인증 방법 및장치
US10764040B2 (en) Dynamic domain key exchange for authenticated device to device communications
EP1395019B1 (en) Apparatus and method for providing authentication information for a secure group communication
TWI295030B (en) Method for bootstrapping applications and services at different layers in a communications stack, apparatus that provides a device introduction framework, method for an introduction process, method for introducing two devices, method for establishing tru
US7386722B2 (en) Certificate management system and method
US7793105B2 (en) Method and apparatus for local domain management using device with local authority module
US9800554B2 (en) Method for establishing secure communication between nodes in a network, network node, key manager, installation device and computer program product
US20060126848A1 (en) Key authentication/service system and method using one-time authentication code
US8831225B2 (en) Security mechanism for wireless video area networks
WO2008002081A1 (en) Method and apparatus for authenticating device in multi domain home network environment
KR101495722B1 (ko) 홈 네트워크에서의 통신 보안성을 보장하는 방법 및 이를위한 장치
KR100979205B1 (ko) 디바이스 인증방법 및 그 시스템
JP4718257B2 (ja) 分散認証アクセス制御システム
JP4499575B2 (ja) ネットワークセキュリティ方法およびネットワークセキュリティシステム
JP3914193B2 (ja) 認証を得て暗号通信を行う方法、認証システムおよび方法
KR101165350B1 (ko) 유비쿼터스 컴퓨팅 네트워크 환경에서 커뮤니티 컴퓨팅을 위한 디바이스 멤버 인증방법
KR102416562B1 (ko) 블록체인을 기반으로 한 IoT 디바이스의 인증 및 해지 방법
JP4071474B2 (ja) 失効確認装置及び方法
WO2010024287A1 (ja) 端末認証システム、無線端末、認証装置および端末認証方法
JP2008146351A (ja) ゲートウェイシステム

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081007

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081007

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110531

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110825

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110927

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111021

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141028

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees