JP4896537B2 - 非対称キーセキュリティのための方法およびシステム - Google Patents

非対称キーセキュリティのための方法およびシステム Download PDF

Info

Publication number
JP4896537B2
JP4896537B2 JP2006030252A JP2006030252A JP4896537B2 JP 4896537 B2 JP4896537 B2 JP 4896537B2 JP 2006030252 A JP2006030252 A JP 2006030252A JP 2006030252 A JP2006030252 A JP 2006030252A JP 4896537 B2 JP4896537 B2 JP 4896537B2
Authority
JP
Japan
Prior art keywords
key
server
asymmetric
client
public key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006030252A
Other languages
English (en)
Other versions
JP2006254423A (ja
JP2006254423A5 (ja
Inventor
ボルツ アンドリュー
ケー.ナンダ アルン
アール.シモン ダニエル
ピー.シューチュク ジョン
ディー.ベナロー ジョシュ
キャメロン キム
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2006254423A publication Critical patent/JP2006254423A/ja
Publication of JP2006254423A5 publication Critical patent/JP2006254423A5/ja
Application granted granted Critical
Publication of JP4896537B2 publication Critical patent/JP4896537B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • AHUMAN NECESSITIES
    • A45HAND OR TRAVELLING ARTICLES
    • A45DHAIRDRESSING OR SHAVING EQUIPMENT; EQUIPMENT FOR COSMETICS OR COSMETIC TREATMENTS, e.g. FOR MANICURING OR PEDICURING
    • A45D29/00Manicuring or pedicuring implements
    • A45D29/11Polishing devices for nails
    • A45D29/12Polishing devices for nails manually operated
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、一般に、コンピュータおよびネットワークのセキュリティなど、電子セキュリティの分野に関する。より詳細には、本発明は、コンピュータシステムおよびユーザのID(identity)を認証することに関する。
典型的な電子セキュリティは、インターネットなどのネットワークを介してリソースにアクセスする当事者を認証するために、公開キー/秘密キーのシステムを利用することができる。これらの公開キー/秘密キーのシステムは、不変であり、ウェブサイトなどの多くの異なるリソースのために利用される1つの公開キーと、リソースにアクセスするクライアントコンピュータなどのオリジネータのみによってアクセス可能な1つの秘密キーと共に動作する。
この電子セキュリティキーシステムには、著しい不都合があり、これには、オリジネータを識別する固定のキーがオリジネータに関する多くの情報、およびオリジネータの習性、照会などを得るために、多くの異なるウェブサイトによって利用される可能性があることが含まれる。これは、さまざまなウェブサイトの運営者が、公開キーをマッチさせ、そのマッチした公開キーに対応する情報を交換することによって行うことができる。さらに、ウェブサイトの運営者は、いったん公開キーがマッチすれば、オリジネータに関する情報を自由にオンゴーイングのベースで交換して、ユーザの習性などに関してより多くの情報を得ることができる。
本明細書で開示される例示的な実施形態は、前述ならびにその他の不都合を軽減するための方法およびシステムを含むことができる。本明細書で開示される例示的な実施形態は、マスターキーを生成することと、サーバからIDキーを受け取ることと、IDキー、マスターキー、および(1つまたは複数の)定数(constant)の暗号化またはハッシング関数を利用することによってシードを作成することと、キーまたはキーのペアを作成するプロセスへの入力としてこのシードを使用することとを備える(1つまたは複数の)非対称キーのペアを作成するための方法およびシステムを伴う。本明細書で開示される例示的な一実施形態では、このシードを使用して非対称キーのペアを生成し、結果として得られる非対称公開キーをサーバに格納する。
他の実施形態は、クライアントコンピュータ上で非対称公開キーを生成することと、その非対称公開キーがサーバ上で利用可能な対応する非対称キーにマッチするかどうかを判定することと、その非対称キーがマッチする場合にサーバおよび/またはクライアントを認証することとを備えるウェブサイトおよび/またはサーバあるいはユーザシステムを認証するためのシステムおよび方法を伴う。
さらに他の実施形態は、マスターキーを生成することと、サーバからIDキーを受け取ることと、IDキー、マスターキー、および(1つまたは複数の)定数の暗号化関数を利用することによってシードを作成することと、安全な対称キーを作成するプロセスへの入力としてこのシードを使用することと、サーバとクライアントの間で対称的な認証プロセスを開始することによって、その対称キーがサーバ上で利用可能な対応する対称キーにマッチするかどうかを判定することとを備えるウェブサイトおよび/またはサーバあるいはユーザシステムを認証するためのシステムおよび方法を伴う。
本明細書で開示される例示的な実施形態は、コンピュータプロセスやコンピューティングシステムとして、またはコンピュータプログラム製品などの製品として実装することができる。このコンピュータプログラム製品は、コンピュータプロセスを実行するための命令のコンピュータプログラムを符号化したコンピュータシステムによって読み取り可能なコンピュータストレージメディアとすることができる。このコンピュータプログラム製品は、コンピュータプロセスを実行するための命令のコンピュータプログラムを符号化したコンピューティングシステムによって読み取り可能な搬送波上で伝搬される信号とすることもできる。
本開示およびその改良形態についてのより完全な理解は、以降で簡単に説明されている添付の図面と、以下の本発明の現在の好ましい実施形態に関する詳細な説明と、添付の特許請求の範囲とを参照することによって得ることができる。
図1は、全体的に100において、例示的な一実施形態に従って(1つまたは複数の)非対称キーのペアを作成し、IDを認証するために利用できるシステムのブロック図である。この実施形態では、システム100は、クライアント102、104を有する。クライアント102、104は、ネットワーク112に接続され、これは次に、サーバ1 106、サーバ2 108、およびサーバ3 110に接続されている。ネットワーク112は、インターネット、またはその他の通信チャネルとすることができ、これを利用して、クライアント102および104と、サーバ106、108、110との間で通信を行うことができる。システム100は、クライアントおよびサーバとの例示的な通信システムであるにすぎず、多くの異なる代替的な構成を利用できることを当業者は理解するであろう。
この実施形態では、クライアント102および104は、それぞれキー作成モジュール114および115を有する。キー作成モジュール114および115は、(1つまたは複数の)対称キーおよび/または(1つまたは複数の)非対称キーのペアを作成することができる。
非対称キーを伴う例示的な一実施形態では、(1つまたは複数の)非対称キーのペアは、既知の入力に基づいて計算される一意の値であり、そのためそれらの値は、同じ入力値を用いて同じ関数を繰り返すことによって再現することができる。そしてサーバの固定のIDキーおよび/またはクライアント上のキー作成モジュールによって生成された公開キーを使用して、相互認証を行う。すなわち、クライアントはサーバを認証することができ、サーバもクライアントを認証することができる。
クライアント102および104は、サーバ106、108、110に対して情報の要求および送信を行う。同様にサーバ106、108、110は、情報についての要求を受信し、応答を試みる。さらに、サーバは、自らクライアントからの情報を要求することができる。時には、機密の情報がサーバに送信される。サーバおよびクライアントを保護するために、システム100は、対称キーまたは非対称キーのセキュリティを組み込んでいる。これらのセキュリティ機能を使用して、クライアントシステムは、情報を盗もうと試みる不正なサーバ技術からかなり保護される。
クライアント102は、サーバ1 106に関連付けられているIDキー116を要求することができる。そしてクライアント102は、キー作成モジュール114を利用して、マスターキーを作成し、IDキー116、マスターキー、および(1つまたは複数の)定数を利用して、非対称公開キー(APK)1 120を含む非対称キーのペアを作成することができる。次いで非対称公開キー1 120をサーバ1 106上に格納することができ、対応する非対称秘密キーをクライアント102に格納することができ、これによって、クライアント102がサーバ1 106を再び訪問するとき、および/またはクライアント102のユーザがサーバ1 106を再び訪問するとき、非対称公開キー1 120について知っていることの証明を要求することができ、これによって、以前にサーバ1 106にアクセスしたことがあるかどうかを判定することができる。この実施形態を利用して、非対称公開キー1 120を介してサーバ1 106および/または関連付けられているウェブサイトの認証性を判定することもできる。さらに、クライアント102は、非対称秘密キーを破棄し、後で再びサーバにアクセスするときに非対称キーのペアを再作成し、非対称公開キーを提示して、サーバに対して継続中のデジタル関係(on going digital relationship)が存在することをサーバに対して証明することができる。
クライアント102は、サーバ1 106に再びアクセスするときに再作成した非対称公開キーを提示して、サーバ1 106に対してクライアント102を検証することができる。クライアント102とサーバ1 106は双方とも、他方からのさらなる保証を要求してIDを認証することができる。これらのさらなる保証は、ペアの公開キーまたは秘密キーのいずれかの所有者のみが復号、理解でき、および/または応答できるような形態とすることができる。
非対称キーのメカニズムを使用する場合、クライアント102は、それぞれのサーバ106、108、および110ごとに異なるキーのペアを生成し、暗号化されたチャネルを使用して公開キーを通信するため、IDを認証するには、非対称公開キーについて知っていることの証明を提示するだけで十分かもしれない。これは非対称公開キーが都合に応じて対称キーとして機能することができることを意味する。他の場合、サーバは、関連付けられている秘密キーを所有している旨の証明を要求することを選択することができる。
同様に別のクライアント104も、サーバ1 106にアクセスし、サーバ1のIDキー116を要求することができる。サーバ1のIDキー116は、サードパーティーからの証明書またはセキュリティ証明書を要求し、その証明書をパースしてIDキーまたはその他のID情報を得ることによって入手することもできる。本明細書で開示されているコンセプトから逸脱することなくIDキーおよび/またはセキュリティ証明書を得るためのその他の方法およびシステムを利用することもできることが理解されるであろう。同様に、クライアント104も、IDキー116、異なるマスターキー、および任意選択で(1つまたは複数の)定数を利用して、非対称公開キー(APK)2 122を作成することができる。そしてクライアント2 104は、非対称公開キー2 122をサーバ1 106に関連付けることができる。次いでクライアント104は、対応する非対称秘密キーを保存するか、またはそれを破棄し、その後にサーバにアクセスするときにキーのペアを再作成することができる。
非対称公開キー2 122は、クライアント104に関連付けられているキー作成モジュール114によって作成することができる。前述の方法と同様に、クライアント104がその後にサーバ1 106にアクセスするとき、以前にサーバ1 106にアクセスしたことがあるかどうか、および/または何らかのID情報をサーバ1 106に提供したことがあるかどうかを判定することができるように非対称公開キー2 122について知っていることの証明を要求することができる。同様に、クライアント104は、非対称公開キー2 122について知っていることの証明を再作成し、サーバ1 106に実証して、クライアント104のIDを認証することができ、あるいは関連付けられている秘密キーを所有していることの証明を要求することができる。
さらに、クライアント1 102は、サーバ2 108にアクセスし、サーバ2のIDキー118を要求することができる。IDキー118を受け取った後、クライアント102は次に、IDキー118、および別のまたは同じマスターキー、ならびに(1つまたは複数の)定数を利用して、対称キー3(SK)124を作成することができる(この場合、非対称キーのペアではなく対称キーを作成するモジュールにシードが提供される)。この対称キーは次いで、暗号化されたチャネルを使用してサーバ2 108に伝達される。
クライアント102は次に、サーバ2 108に再びアクセスするときに対称キー3 124について知っていることの証明を要求することができる。同様に、サーバは、クライアントによるそのキーについて知っていることの証明を要求することができる。そのユーザのみが、対称キーを作成するために使用されたマスターキーなどを有しているであろう。クライアント102は、訪問したあらゆるウェブサイトおよび/またはサーバごとに異なる対称キーを格納することができ、それらのキーについて知っていることの証明を要求して、サーバが以前にアクセスされたことがあるかどうかを判定できるかもしれない。さらに、対称キーを利用して、サーバ、クライアント、および/またはウェブサイトを認証することができる。これは、その対称キーをサーバに格納した特定のクライアントまたはユーザのみが、要求された相互認証を渡すことができるであろうためである。
同様に、クライアント104も、サーバ3 110にアクセスし、サーバ3のIDキー120を要求することができる。クライアント104は次いで、キー作成モジュール114を利用してランダムなマスターキーを作成することができ、このマスターキーをサーバ3のIDキー120および任意選択で定数と共に利用して非対称公開キー(APK)4 126を作成し、これをサーバ3 110に格納するか、またはサーバ3 110に関連付けることができる。次いでクライアント104は、マスターキー、サーバ3のIDキー、および何らかの定数から得られたものなどの対称キーの下で非対称キーのペアを暗号化することもでき、非対称キーのペアをシード(SKAK)127として利用して作成されたこの対称キーを、非対称公開キーAPK4 126およびサーバの関連付けられているIDと関連付けてサーバ3上に格納する。非対称キー127を利用する対称キーが暗号化されるので、クライアント104のみがそれを復号することができるか、またはその情報を利用して非対称キーのペアを取り出すことができるであろう。それゆえ、非対称キー127を利用する対称キーがクライアント104によって利用されて、クライアント104が以前にサーバ3 110にアクセスしたことがあるかどうかを判定することができる。さらに、この構成を利用してウェブサイトおよび/またはサーバを認証することができる。これは、以前に訪問したサーバのみが、特定のクライアントからの非対称キーを利用する、関連付けられている対称キーを有するであろうためである。またさらに、サーバを訪問するときに非対称キーを利用する対称キーを復号できるクライアントは、非対称公開キーを利用してサーバに対して自分自身のIDを認証することができる。
前述のように、不正な人間が、クライアントおよび/またはクライアントのユーザをだまして個人情報を提供させようと試みることがある。正体不明の不正人物130が、正当なサーバおよび/またはウェブサイトを模造するか、またはそれになりすまして、クライアント102、104からのIDおよび/またはその他の情報を入手しようと試みることがある。本明細書で開示される例示的な実施形態では、クライアントがIDキーを要求するとき、正体不明の不正人物のIDキー132がそのクライアントに提供されることになり、したがってそのクライアントは、それが以前に訪問したサーバではないことを見分けることができる。さらに、クライアントが非対称公開キーを要求する場合、クライアントおよび/またはユーザは以前にその正体不明の不正人物のウェブサイトにアクセスしたことがないので、その正体不明の不正人物は(1つまたは複数の)非対称公開キー(APK)134を有していないことになる。これらのシナリオのいずれによっても、クライアント102、104のユーザは、そのウェブサイトおよび/またはサーバが信頼されるべきではなく、IDまたはその他の情報を開示するにあたって警戒すべきであることを警告されることになる。
同様に、正体不明の不正人物130は、サーバのいずれかにアクセスしてクライアントのID情報を入手しようと試みる場合、クライアントまたはサーバとして装うのに必要とされる対称キーまたは非対称キーについて知っていることを実証できないことになる。
この例示的な実施形態では、サーバ、ユーザ、および/またはクライアントは、正体不明の不正人物がウェブサイトになりすますことによって個人情報を入手することを禁止できる別の1つまたは2つのレベルのセキュリティを有することができる。さらに、これは、「マン・イン・ザ・ミドル(man in the middle)」による情報の傍受を禁止して、さらなるセキュリティを提供することもできる。
サイトに固有の非対称公開キーまたは対称キーがサーバおよび/またはウェブサイトに格納されるので、ユーザは、自分のマスターキーを多くの異なるクライアントに用い、ウェブサイトにアクセスし、それでもなおそれらが真正なウェブサイトとやり取りしているという点でいくらか安全であることができる。この場合もやはり、それらは、自分の(1つまたは複数の)マスターキーおよび(1つまたは複数の)定数と共にサーバのIDキーを利用して、サイトの対称または非対称公開キーについて知っていることの証明を要求することができ、あるいはウェブサイトに保存されているかまたは関連付けられている隠されたキーブロブ(opaque key blob)を要求および復号して、以前にそのサーバおよび/またはウェブサイトを訪問したことがあるかどうかを判定することもできる。これはまた、家庭、職場、図書館などで複数のマシンを使用するユーザにとってウェブサイトとやり取りする際により大きな安心を持つことができるという点で魅力的かもしれない。ある時点でマスターキーを新しいデバイスまたはコンピュータに移すだけでよいという点が、このシステムの特筆すべき中心的な特徴である。そのマスターキーから、継続中のデジタル関係のすべてのサイトに固有のキーおよび証明を演繹することができる。これによって、オンゴーイングの再同期が不要となる。
これは、不正行為について懸念を抱いている可能性のあるサーバおよびウェブサイトの運営者にとって魅力的かもしれない。これは、正体不明のユーザが機密情報を入手するのを禁止することができる特別なレベルのユーザ生成のセキュリティを提供する。
図2は、本発明の実施形態を実装できる適切なコンピューティングシステム環境の一例を示している。このシステム200は、前述のようにクライアントおよび/またはサーバとして機能するために使用できるシステムの代表である。その最も基本的な構成において、システム200は通常、少なくとも1つの処理装置202およびメモリ204を含む。コンピューティングデバイスの厳密な構成およびタイプに応じて、メモリ204は、(RAMなどの)揮発性、(ROM、フラッシュメモリなどの)不揮発性、またはこれら2つの何らかの組合せとすることができる。この最も基本的な構成が、破線206によって図2に示されている。さらに、システム200は、追加の特徴/機能を有することもできる。たとえば、デバイス200は、磁気ディスク、光ディスク、テープなどの追加のストレージ(リムーバブルおよび/または非リムーバブル)を含むこともできるが、これらには限定されない。このような追加のストレージは、リムーバブルストレージ208および非リムーバブルストレージ210として図2に示されている。コンピュータストレージメディアは、コンピュータ可読命令、データ構造、プログラムモジュール、その他のデータなどの情報を記憶するための任意の方法または技術において実装される揮発性および不揮発性メディア、ならびにリムーバブルおよび非リムーバブルメディアを含む。メモリ204、リムーバブルストレージ208、および非リムーバブルストレージ210は、すべてコンピュータストレージメディアの例である。コンピュータストレージメディアは、RAM、ROM、EEPROM、フラッシュメモリもしくはその他のメモリ技術、CD−ROM、デジタル多用途ディスク(DVD)もしくはその他の光ストレージ、磁気カセット、磁気テープ、磁気ディスクストレージもしくはその他の磁気ストレージデバイス、または希望の情報を記憶するために使用でき、システム200によってアクセスできるその他の任意のメディアを含むが、これらには限定されない。任意のこのようなコンピュータストレージメディアは、システム200の一部とすることができる。
システム200は、システムがその他のデバイスと通信することができるようにする(1つまたは複数の)通信接続212を含むこともできる。(1つまたは複数の)通信接続212は、通信メディアの一例である。通信メディアは通常、搬送波やその他のトランスポートメカニズムなどの変調されたデータ信号にコンピュータ可読命令、データ構造、プログラムモジュール、その他のデータを具現し、任意の情報伝達メディアを含む。「変調されたデータ信号」という用語は、情報をその信号に符号化するような方法でその特性の1つまたは複数を設定または変更した信号を意味する。例として、限定ではなく、通信メディアは、有線ネットワークや直接配線接続などの有線メディアと、音響メディア、RFメディア、赤外線メディア、その他の無線メディアなどの無線メディアとを含む。本明細書で使用するコンピュータ可読メディアという用語は、ストレージメディアおよび通信メディアの両方を含む。
システム200は、キーボード、マウス、ペン、音声入力デバイス、タッチ入力デバイスなどの(1つまたは複数の)入力デバイス214を有することもできる。ディスプレイ、スピーカ、プリンタなどの(1つまたは複数の)出力デバイス216を含むこともできる。これらのデバイスはすべて、当技術分野でよく知られており、本明細書で詳細に論じる必要はない。
システム200など、コンピューティングデバイスは通常、少なくとも何らかの形態のコンピュータ可読メディアを含む。コンピュータ可読メディアは、システム200によってアクセスすることができる任意の利用可能なメディアとすることができる。例として、限定ではなく、コンピュータ可読メディアは、コンピュータストレージメディアおよび通信メディアを備えることができる。
図3は、全体的に300において、例示的な一実施形態に従って非対称セキュリティキーの交換のためのシステムを概念的なレベルで示している。この例は、ネットワーク314またはその他のチャネルを介して接続されているクライアント301およびサーバ306を含むシステム300を例示している。明らかになるであろうが、ほとんどのデバイスは、その時々に応じてクライアント301およびサーバ306のどちらとしても機能することができる。しかし、説明を簡単にするために、ここではこれらの機能を別々に示している。さらに、ネットワーク314は、インターネットを含むほぼいかなるタイプのネットワークとすることもでき、あるいはクライアント301とサーバ306の間で通信を確立するのに適したその他の何らかのタイプのチャネルとすることができる。
クライアント301は、インターネットを介してウェブサイトまたはサーバ306にアクセスするパーソナルPCなどのクライアントとすることができる。しかし、本明細書で開示されているコンセプトから逸脱することなくその他のデバイスおよび構成を利用できることが理解されるであろう。同様に、サーバ306は、ウェブサイト、デバイス、またはその他のシステム、あるいはその他の構成のホストとすることができる。
サーバ306は、関連付けられているIDキー307を有する。IDキー307は、数ある情報の中でもサーバに関する情報を有する。一実施形態では、それらの情報は、URLのコンポーネント、システムを所有または運営しているプリンシパルの名前、および/またはその他の「ID」情報に関係する。サーバ306にアクセスするとき、クライアント301は、IDキー307を要求することができ、および/またはIDキー307は、サーバまたはその他のエンティティによってクライアント301に提供することができる。IDキー307は、ここではサーバ306に属するかまたは由来するものとして示されているが、IDキー307は、これには限定されないが、数ある中でも検証エンティティを含む別のソースに属するかまたは由来することもできることが理解されるであろう。
別の例示的な実施形態では、クライアント301は、サーバ306に関する情報を収容する証明書を受け取る。この証明書内に収容された情報は、IDキー307またはその他のID情報を含む。クライアント301は、この証明書をパースしてIDキー307にアクセスする。前述のように、この証明書は、サーバ、検証エンティティ、および/またはその他のエンティティに由来することができる。
次いで、ID情報はクライアントによって使用されて一意の非対称公開キー(または対称キー)309を作成し、これはサーバに格納される。このキー309は、サーバのID情報、クライアントによって生成されたマスターキー、および任意選択で(1つまたは複数の)定数の関数である。この関数は、その関数を作成するために利用されるコンポーネントが最終製品から識別可能とすることができないように(すなわち暗号化されるように)することができる。
クライアント301は、以前にマスターキー302を作成したことがあるかもしれない。マスターキー302は、ランダムに生成された数、および/またはこれらには限定されないが、タイムスタンプ、ID情報など、もしくはその他の情報、あるいはそれらの組合せを含むさまざまな異なるタイプの情報とすることができる。クライアント301は次に、マスターキー302、およびIDキー307、ならびに(1つまたは複数の)定数の組合せの暗号化関数を利用して、秘密キー308および公開キー309を含む非対称キーのペアを生成するために使用される1つまたは複数のシードを作成することができる。このようにして、非対称キー308および309は、訪問されたそれぞれのサーバ306および/またはウェブサイトごとに作成することができる。あるいは、1つまたは複数のシードを使用して、暗号化されたチャネルを介して伝達できる対称キーを作成することができ、これも309として示されている。
キー309は次いで、サーバ306上に格納することができる。非対称の場合、非対称秘密キーをクライアント301に格納するか、またはこれを破棄し、その後にサーバにアクセスするときにキーを再作成することができる。クライアント301は、サーバ306に再びアクセスするとき、サーバ306によってキー309について知っていることの証明を要求および/または受信し、それを自分自身のシステム上で再作成されたキーと比較して、クライアント301が以前にサーバ306にアクセスしたことがあるかどうかを判定することができる。サーバ306も、この方法を利用して、クライアント301が以前にサーバ306にアクセスしたことがあるかどうかを判定することができ、あるいは非対称の場合は、秘密キー308について知っていることの証明を示すようクライアントに要求することもできる。
この情報を利用してサーバ306の認証性を判定することもでき、これによってクライアント301、およびそのクライアント301を使用するプリンシパルは、サーバ306および/または関連付けられているウェブサイトが真正および/または正当なものであることをさらに確信することができる。これによって不正行為を低減することができ、ユーザがID情報またはその他の情報をサーバ306に開示する前にユーザの確信だけでなく、その他の多くの利点を増大することができる。
知っていることの証明は、秘密を用いた何らかの情報に対するデジタル署名をサブミットすることを含むことができ、これは、その秘密を知っているエンティティおよび/または(1つまたは複数の)シードおよびキーを有するエンティティによって検証および/または理解することができる。以前にサーバに格納されたキーについて知っていることの証明を要求することによって、ユーザはサーバ/ウェブサイトを識別することができ、そしてサーバに情報を開示するときにより確信することができる。例示的な実施形態は、正体不明のシステム312が、以前にアクセスしサーバ306になりすますことによってクライアント301からID情報を入手しようと試みる可能性を低減することができる。さらに、サーバ306は、非対称秘密キー308を利用して、サーバ306へのアクセスを試みるおよび/または特定のクライアントに関する情報を変更または入手するクライアント301の認証性を判定することもできる。
非対称公開キーまたは対称キーは、作成されると、ウェブサーバ上に格納されるか、またはそのキーが作成されたウェブサイトに関連付けて格納される。その結果、ユーザは、そのサイトに再び訪問し、サイトの問いかけを介してそのサイトを迅速に検証/認識してキーを知っていることを実証することができる。さらに、訪問されたそれぞれのシステムには一意のペアワイズ(pair−wise)のキーが与えられ得るので、異なるシステムの運営者がキーを比較して、クライアントまたはユーザに関する情報を共有することはできない。
知っていることの証明のために使用される暗号化は、状況に応じて、AES256関数とすることもでき、あるいはRSAなどの公開キーアルゴリズムに基づくこともできる。しかし、本明細書で開示されているコンセプトから逸脱することなくその他の暗号化アルゴリズム、関数、および構成を利用することもできることが理解されるであろう。
この情報を利用してサーバ306の認証性を判定することもでき、これによってクライアント301、およびそのクライアント301のユーザは、サーバ306および/または関連付けられているウェブサイトおよびシステムが真正および/または正当なものであることをさらに確信することができる。これによって、数ある利点の中でも、不正行為を低減することができ、ユーザがID情報またはその他の機密情報をサーバ306に開示する前にユーザの確信を増大することができる。この認証は、継続中のデジタル関係の首尾一貫した認識を提供することができる。
クライアント301が、キー309を所有していることの予期される証明以外の何かを受け取った場合、これは、クライアント301が以前にこのサーバ306にアクセスしたことがないことを示している可能性がある。これはまた、数あるシナリオの中でも、正当なサイトが偽造されているか、またはサーバ306がそのキーを失ったことを示しているかもしれない。これは、クライアント301のユーザに対して、サーバ306が信頼できないこと、およびユーザはサーバ306との接続を解除すべきであること、もしくは注意して進むか、および/またはいかなる機密情報、秘密情報、および/またはID情報も明かすべきではないことを示しているかもしれない。
図3に示されている実施形態のさらなる利点は、ユーザが、オリジナルのマスターキーで多くの異なるクライアントからウェブサイトおよび/またはサーバ306にアクセスすることができ、なおそのウェブサイトが正当なものであるというあるレベルの保証を有することができることである。
図4は、全体的に400において、例示的な一実施形態に従ってペアワイズのセキュリティキーを作成する方法の例示的な一実施形態を例示するフローチャートである。方法400は、受信オペレーション402を含む。受信オペレーション402は、サーバまたはその他のエンティティからIDキーを受け取ることを含む。IDキーは、サーバに関するID情報を含むことができ、これには、一意のURL、システムを所有しているプリンシパル、および/またはその他のID情報などが含まれるが、これらには限定されない。さらに、IDキーは、サーバに関連付けられているセキュリティ証明書やその他の証明書などの証明書の一部とすることができる。IDキーは、証明書からパースすることができる。そして制御は、生成オペレーション404に渡る。
生成オペレーション404は、マスターキーを生成することを含むことができる。マスターキーは、乱数、ID情報、もしくはその他の一意の情報、および/またはそれらの組合せとすることができる。マスターキーは、以前に生成され、別のアプリケーションに再利用されていたかもしれない。マスターキーは、無許可の人間またはエンティティが侵入し、情報を見ることおよび/または盗むことができないであろう非常に安全な場所に格納すべきであることが理解されるであろう。そして制御は、取得オペレーション406に渡る。
取得オペレーション406は、(1つまたは複数の)定数を取得することを含む。この(1つまたは複数の)定数は、ランダムに作成された数、もしくはその他の情報、および/またはそれらの組合せとすることができる。この(1つまたは複数の)定数は、必要なときに後で再生できるように、その定数を作成するユーザに知られるだけでよい。そして制御は、作成関数408に渡る。
作成オペレーション408は、IDキー、マスターキー、および(1つまたは複数の)定数の関数としてシードを作成することを含むことができる。本明細書で開示されているコンセプトから逸脱することなくその他の情報および/または情報の組合せを利用することができることが理解されるであろう。この関数は、元の情報は、結果として得られるシードから判定できないように上記の情報を一方向の暗号化とすることができる。この関数は、AES暗号化関数、あるいはその他の暗号化関数もしくはアルゴリズム、および/またはそれらの組合せとすることができる。ある範囲のシードを生成する必要がある場合は、制御を取得関数406に戻して、異なる定数を利用して別のシードを作成する際に利用することになる別の定数を取得することができる。そしてこの(1つまたは複数の)シードは、(1つまたは複数の)非対称キーのペアを作成するための非対称キーペアジェネレータによって、または対称キーを作成するための対称キー作成/認証関数によって利用することができる。
図5は、全体的に500において、例示的な一実施形態に従って(1つまたは複数の)非対称キーのペアを作成し、継続中のデジタル関係を認識することを伴うさらなるオペレーション上の特徴を示す流れ図である。
方法500は、502において受信関数を含む。受信オペレーション502は、以前に作成された(1つまたは複数の)シードを受け取ることを含む。(1つまたは複数の)シードは、上述のように作成される。そして制御は、作成関数504に渡る。
作成関数504は、受信した(1つまたは複数の)シードを利用して非対称キーのペアを作成することを含む。1つまたは複数のシードは、非対称キーのペアの作成において利用することができる。使用されるシードの数は、使用する非対称キーペアジェネレータの特定のタイプに依存することができる。そして制御は、格納関数506に渡る。
格納オペレーション506は、非対称公開キーをサーバに格納すること、および/またはその非対称公開キーをサーバもしくはウェブサイトに関連付けることを含むことができる。この非対称公開キーは、クライアントがサーバに再びアクセスするときにこのクライアントによってアクセスすることができるようにサーバに関連付けられる。さらに、この非対称公開キーは、ユーザが多くの異なるデバイスまたはシステムからシステムまたはウェブサイトを認証または認識することができるように別のシステムからのユーザによってアクセスすることができる。クライアントは、非対称公開キーを再作成し、その後にサーバに再びアクセスするときに提示して、そのクライアントのIDを検証することもできる。このようにして、クライアントは、以前にそのサーバにアクセスしたことがあるかどうかを判定することができる。さらに、この情報を利用して、サーバおよび/またはクライアントの認証性および/または正当性を判定することができる。
図6は、全体的に600において、例示的な一実施形態に従ってサーバ、クライアント、システム、またはウェブサイトの認証性を判定する方法を示すフローチャートである。方法600の態様によれば、生成オペレーション602で処理が始まる。生成オペレーション602は、ユーザ/クライアントが、ユーザ/クライアントのIDを検証するためにサーバに対して非対称公開キーについて知っていることの証明を生成することを含むことができる。クライアントおよび/またはサーバによる非対称公開キーについて知っていることの証明の生成により、継続中の関係の証明を構成することができる。これは、クライアントおよびサーバが以前に情報を交換したことがあるということである。クライアントは、対応する非対称秘密キーを利用して、サーバとの以前の訪問および/または情報の交換を示すこともできる。さらに、クライアントは、キーのペアを格納しておくことによって、または最初に非対称公開キーを作成するために使用した情報を利用して非対称キーのペアを再作成することによって、非対称公開キーを知っていることを実証することができる。そして制御は、クエリーオペレーション604に渡る。
クエリーオペレーション604は、生成された非対称公開キーが、クライアントによって保存されている、および/または再作成された、および/または復号された、および/または以前に格納された非対称公開キーにマッチするかどうかを判定することを含む。クライアントは、対応する非対称公開キーを保存していたかもしれないので、その非対称公開キーを比較して、サーバが以前にアクセスされたことがあるかどうかを判定することができる。さらに、クライアントは、数ある情報の中でもIDキーおよびオリジナルのマスターキーを利用して、サーバが以前にアクセスされたことがあるかどうかを判定するために非対称公開キーを再作成することができる。
非対称公開キーがマッチした場合、制御は、認証されたシステム606に渡る。これは、そのクライアントが以前にそのサーバにアクセスしたことがあり、非対称公開キーを保存し、および/またはそのサーバに関連付けていたことを示している。認証されるシステムは、サーバおよび/またはクライアントとすることができる。クライアントおよび/またはサーバは、他方のIDを認証する前に、任意選択で他方のIDのさらなる保証を要求することができる。これは、正体不明の不正人物がキーを捕捉したかどうかを判定するためにすることができる。このさらなる保証は、対応するキー、または数ある情報の中でも以前に開示された情報を利用しなければ復号および/または回答できないメッセージまたは問いかけを他方に送信することを含むことができる。
非対称公開キーがマッチしない場合、または非対称公開キーが生成されていない場合、制御は要求関数610に渡る。要求関数610は、サーバからIDキーを要求すること、またはサーバによってクライアントからより多くの情報を要求することを含むことができる。クライアントが以前にサーバ、またはウェブサイト、にアクセスしたことがあり、この関数が開始される場合、ユーザおよび/またはサーバは、ウェブサイトが真正なものではないこと、またはクライアントと称しているものが実はそうではないことの何らかの表示を有することができる。これは、ユーザまたはサーバに対して、別のエンティティがそのプリンシパルからID情報を入手しようと試みていることを示しているかもしれない。これは、サーバまたはクライアントが非対称公開キーまたは非対称秘密キーを失ったか、あるいはサーバまたはクライアントが不正行為を被ったことを示しているかもしれない。これらのシナリオのいずれにおいても、クライアントのユーザまたはサーバは、このシステムは信頼できないものであり、相手方に何らかの情報を開示するときに警戒すべきであることの表示を有することができる。
例示的な実施形態のさまざまな具体化の論理オペレーションは、(1)コンピュータで実施されたアクトのシーケンスや、コンピューティングシステム上で稼働するプログラムモジュールとして、および/または(2)コンピューティングシステム内で相互に接続されたマシンロジック回路または回路モジュールとして実装することができる。この実装は、本発明を実装するコンピューティングシステムのパフォーマンス要件に応じた選択の問題である。したがって、本明細書に記載の例示的な実施形態の具体化を構成する論理オペレーションは、オペレーション、構造的なデバイス、アクト、あるいはモジュールなど、さまざまに呼ばれる。これらのオペレーション、構造的なデバイス、アクト、およびモジュールは、本明細書に添付されている特許請求の範囲内に記載された本開示の趣旨および範囲から逸脱することなく、ソフトウェア、ファームウェア、専用のデジタルロジック、および/またはそれらの任意の組合せにおいて実装できることが当業者によって認識されるであろう。
例示的な実施形態について、コンピュータの構造的な特徴、方法論的なアクト、およびコンピュータ可読メディアに特有の言葉で説明したが、添付の特許請求の範囲において定義される例示的な実施形態は、説明した特定の構造、アクト、またはメディアに必ずしも限定されるものではないことを理解されたい。一例として、XML以外の異なるフォーマットを使用して、ID情報を符号化することができる。それゆえ、それらの特定の構造的な特徴、アクト、およびメディアは、特許請求されている本発明を実装する例示的な実施形態として開示されている。
上述のさまざまな実施形態は、例示としてのみ提供され、本開示を限定するものとして解釈すべきではない。本明細書で例示および説明されている例示的な実施形態および用途に従うことなく、また添付の特許請求の範囲に示された本開示の真の趣旨および範囲から逸脱することなく、本開示に対して行うことができるさまざまな修正および変更について当業者は容易に認識するであろう。
例示的な一実施形態に従って(1つまたは複数の)非対称キーのペアを作成し、継続中のデジタル関係を認識するためのシステムを示すブロック図である。 例示的な実施形態を実装できる適切なコンピューティングシステム環境の一例を示す図である。 例示的な一実施形態に従って(1つまたは複数の)非対称キーのペアを作成し、システムを認証するためのシステムを示すブロック図である。 例示的な一実施形態に従って(1つまたは複数の)非対称キーのペアを作成し、継続中のデジタル関係を認識することに伴うオペレーション上の特徴を例示する流れ図である。 例示的な一実施形態に従って(1つまたは複数の)非対称キーのペアを作成し、継続中のデジタル関係を認識することに伴うさらなるオペレーション上の特徴を例示する流れ図である。 例示的な一実施形態に従ってシステムを認証することに伴うオペレーション上の特徴を例示する流れ図である。

Claims (18)

  1. 複数のサーバの各々との、クライアントの先の相互作用を認証する非対称セキュリティキーを作成する方法において
    前記クライアントが、
    前記複数のサーバの第1のサーバに関連付けられている第1のIDキーを受け取るステップと、
    前記第1のサーバに対応している第1のマスターキーを生成するステップと、
    前記第1のIDキーおよび前記第1のマスターキーの暗号化関数を利用することによって1つ以上のシードを作成するステップと、
    前記1つ以上のシードを利用して、前記第1のサーバに対応している、非対称公開キーおよび非対称秘密キーのペアを作成するステップと、
    前記非対称公開キーを格納するよう前記第1のサーバに要求するステップと
    前記クライアントで、前記非対称秘密キーを格納するステップと
    前記第1のサーバとの先の相互作用を認証するステップであって、
    前記先の相互作用の結果として前記非対称公開キーを知っていることの証明が前記第1のサーバによって要求されたとき、前記非対称公開キーを知っていることの前記証明を前記第1のサーバに提示し、および、前記非対称秘密キーを送信することなく、前記第1のサーバにアクセスすること、ならびに、
    前記非対称公開キーを知っていることの前記証明に加えて、前記非対称秘密キーの保有の証明が、前記第1のサーバによって要求されたとき、前記非対称秘密キーの保有の証明を前記第1のサーバに提示し、および、前記第1のサーバにアクセスすることを含む、認証するステップ
    を備えることを特徴とする方法。
  2. 前記1つ以上のシードを作成するステップは、1つ以上の定数を利用することをさらに含むことを特徴とする請求項1に記載の方法。
  3. 前記クライアントが、前記非対称公開キーを利用して、前記クライアントが以前に前記第1のサーバにアクセスしたことがあるかどうかを判定するステップをさらに備えることを特徴とする請求項1に記載の方法。
  4. 前記クライアントが以前に前記第1のサーバにアクセスしたことがあると判定したことに応答して、前記第1のサーバにアクセスするステップをさらに備えることを特徴とする請求項1に記載の方法。
  5. 前記クライアントが、前記非対称公開キーを利用して、前記第1のサーバを認証するステップをさらに備えることを特徴とする請求項1に記載の方法。
  6. 前記第1のマスターキーを生成するステップは、乱数を生成することを含むことを特徴とする請求項1に記載の方法。
  7. 前記1つ以上のシードを作成するステップは、前記第1のIDキー、前記第1のマスターキー、および定数のハッシュ関数を利用することを含むことを特徴とする請求項1に記載の方法。
  8. 前記第1のサーバは、ウェブサーバを含むことを特徴とする請求項1に記載の方法。
  9. 前記クライアントが、前記非対称キーのペアをシードとして利用して対称キーを作成するステップをさらに備えることを特徴とする請求項1に記載の方法。
  10. 前記非対称公開キーは、前記第1のIDキーに少なくとも部分的に基づくことを特徴とする請求項1に記載の方法。
  11. 前記第1のIDキーを受け取るステップは、前記第1のサーバによって提供されるウェブサイトに関連付けられている証明書を受け取ることを含むことを特徴とする請求項1に記載の方法。
  12. 非対称キーのペアを利用する、通信チャネルを経由した1つ以上のサーバとの先の相互作用を認証するシステムにおいて
    プロセッサと、
    前記プロセッサに結合され、前記プロセッサによって読み取り可能なメモリを含むクライアントとを備え、
    前記メモリは、前記プロセッサによって実行されると、前記プロセッサに
    第1のサーバに関連付けられている第1のIDキーを受け取るステップと、
    第1のマスターキーを生成するステップと、
    前記第1のIDキーおよび前記第1のマスターキーの暗号化関数を利用することによってシードを作成するステップと、
    前記シードを利用して非対称秘密キーおよび非対称公開キーのペアを作成するステップと、
    前記第1のサーバに、前記非対称公開キーを格納するよう要求するステップと、
    クライアントで、前記非対称秘密キーを格納するステップと
    前記第1のサーバとの先の相互作用を認証するステップであって
    前記第1のサーバから、前記先の相互作用の結果として前記非対称公開キーを知っていることの証明を要求し、
    前記非対称公開キーを知っていることの前記証明の要求を受けたときに、前記第1のサーバにアクセスする、認証するステップと
    を行なわせる一連の命令を収容していること
    を特徴とするシステム。
  13. 第1のマスターキーを生成するステップは、乱数を生成することを含むことを特徴とする請求項12に記載のシステム。
  14. シードを作成するステップは、前記第1のIDキー、前記第1のマスターキー、および1つ以上の定数のハッシュ関数を利用することを含むことを特徴とする請求項12に記載のシステム。
  15. 前記非対称公開キーに少なくとも部分的に基づいて、前記第1のサーバから、認証に対する要求を受信するステップをさらに含むことを特徴とする請求項12に記載のシステム。
  16. 1つ以上のサーバとの先の相互作用を認証する、コンピュータに実装される方法を実行するための命令のコンピュータプログラムを格納したコンピュータ読取り可能記憶媒体であって、前記コンピュータは、少なくとも中央処理装置(CPU)、メモリ、および前記1つ以上のサーバと通信する手段を有し、クライアントとして動作可能であって、前記方法は、
    クライアントが、
    第1のサーバに関連付けられている第1のIDキーを受け取るステップと、
    第1のマスターキーを生成するステップと、
    前記第1のIDキー前記第1のマスターキーおよび1つ以上の定数の暗号化関数を利用することによって1つ以上のシードを作成するステップと、
    前記1つ以上のシードを利用して非対称秘密キーおよび非対称公開キーのペアを作成するステップと、
    前記第1のサーバに、前記非対称公開キーを格納するよう要求するステップと、
    前記クライアントで、前記非対称秘密キーを格納するステップと
    前記第1のサーバとの先の相互作用を認証するステップであって
    前記先の相互作用の結果として前記非対称公開キーを知っていることの証明を前記第1のサーバに提示し、
    前記第1のサーバから、前記非対称秘密キーの保有の証明に対する要求を受信し、
    前記非対称秘密キーの保有の証明を前記第1のサーバに提示し、および、
    前記クライアントが認証され、および、アクセスが許可されることの表示を、前記第1のサーバから受信することを含む、認証するステップと
    を含むことを特徴とするコンピュータ読取り可能記憶媒体
  17. 前記非対称キーのペアをシードとして利用して対称キーが作成されることを特徴とする請求項1に記載のコンピュータ読取り可能記憶媒体
  18. 前記暗号化関数は、前記第1のIDキー、前記第1のマスターキー、および1つ以上の定数のハッシュ関数であることを特徴とする請求項1に記載のコンピュータ読取り可能記憶媒体
JP2006030252A 2005-03-07 2006-02-07 非対称キーセキュリティのための方法およびシステム Expired - Fee Related JP4896537B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/074,885 US7822200B2 (en) 2005-03-07 2005-03-07 Method and system for asymmetric key security
US11/074,885 2005-03-07

Publications (3)

Publication Number Publication Date
JP2006254423A JP2006254423A (ja) 2006-09-21
JP2006254423A5 JP2006254423A5 (ja) 2009-04-30
JP4896537B2 true JP4896537B2 (ja) 2012-03-14

Family

ID=36587037

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006030252A Expired - Fee Related JP4896537B2 (ja) 2005-03-07 2006-02-07 非対称キーセキュリティのための方法およびシステム

Country Status (5)

Country Link
US (1) US7822200B2 (ja)
EP (1) EP1701283B8 (ja)
JP (1) JP4896537B2 (ja)
KR (1) KR101169100B1 (ja)
CN (1) CN1832394B (ja)

Families Citing this family (54)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7739500B2 (en) * 2005-03-07 2010-06-15 Microsoft Corporation Method and system for consistent recognition of ongoing digital relationships
CN100578522C (zh) * 2005-06-01 2010-01-06 松下电器产业株式会社 电子设备、用于电子设备的更新方法和集成电路
US7747540B2 (en) * 2006-02-24 2010-06-29 Microsoft Corporation Account linking with privacy keys
US8495380B2 (en) * 2006-06-06 2013-07-23 Red Hat, Inc. Methods and systems for server-side key generation
US7930759B2 (en) * 2006-11-09 2011-04-19 Kabushiki Kaisha Toshiba Backup system for image forming apparatus and backup method for image forming apparatus
US8352738B2 (en) * 2006-12-01 2013-01-08 Carnegie Mellon University Method and apparatus for secure online transactions
US8291227B2 (en) * 2007-02-02 2012-10-16 Red Hat, Inc. Method and apparatus for secure communication
US8694787B2 (en) * 2007-08-07 2014-04-08 Christophe Niglio Apparatus and method for securing digital data with a security token
JP4995667B2 (ja) * 2007-08-28 2012-08-08 富士通株式会社 情報処理装置、サーバ装置、情報処理プログラム及び方法
JP2009130882A (ja) * 2007-11-28 2009-06-11 Oki Electric Ind Co Ltd チェックバリュー確認方法及び装置
US8321682B1 (en) 2008-01-24 2012-11-27 Jpmorgan Chase Bank, N.A. System and method for generating and managing administrator passwords
US8108777B2 (en) 2008-08-11 2012-01-31 Microsoft Corporation Sections of a presentation having user-definable properties
US9230109B2 (en) * 2008-10-07 2016-01-05 Microsoft Technology Licensing, Llc Trusted platform module security
US8452963B2 (en) * 2009-01-27 2013-05-28 Cisco Technology, Inc. Generating protected access credentials
US9608988B2 (en) 2009-02-03 2017-03-28 Inbay Technologies Inc. Method and system for authorizing secure electronic transactions using a security device having a quick response code scanner
US9548978B2 (en) 2009-02-03 2017-01-17 Inbay Technologies Inc. Method and system for authorizing secure electronic transactions using a security device
US9485254B2 (en) * 2009-02-03 2016-11-01 Inbay Technologies Inc. Method and system for authenticating a security device
US9521142B2 (en) 2009-02-03 2016-12-13 Inbay Technologies Inc. System and method for generating passwords using key inputs and contextual inputs
US9736149B2 (en) 2009-02-03 2017-08-15 Inbay Technologies Inc. Method and system for establishing trusted communication using a security device
US8352741B2 (en) 2009-06-11 2013-01-08 Microsoft Corporation Discovery of secure network enclaves
US9742560B2 (en) * 2009-06-11 2017-08-22 Microsoft Technology Licensing, Llc Key management in secure network enclaves
US9100171B1 (en) * 2009-12-17 2015-08-04 Secure Forward, LLC Computer-implemented forum for enabling secure exchange of information
KR101727130B1 (ko) * 2010-01-20 2017-04-14 인트린직 아이디 비브이 암호화 키를 획득하기 위한 디바이스 및 방법
CN102271330A (zh) * 2010-06-04 2011-12-07 希姆通信息技术(上海)有限公司 终端、网络服务器及终端与网络服务器间的通讯方法
CN101917710A (zh) * 2010-08-27 2010-12-15 中兴通讯股份有限公司 移动互联网加密通讯的方法、系统及相关装置
CN102467711A (zh) * 2010-11-19 2012-05-23 阿奇八八科技股份有限公司 数字版权管理交易系统
US8972746B2 (en) * 2010-12-17 2015-03-03 Intel Corporation Technique for supporting multiple secure enclaves
US20120166792A1 (en) * 2010-12-22 2012-06-28 Tat Kin Tan Efficient nemo security with ibe
DE102011051498A1 (de) * 2011-06-06 2012-12-06 Kobil Systems Gmbh Gesicherter Zugriff auf Daten in einem Gerät
CN103166757B (zh) * 2011-12-19 2016-01-20 卓望数码技术(深圳)有限公司 一种动态保护用户隐私数据的方法及系统
US9124432B2 (en) * 2012-05-25 2015-09-01 Kabushiki Kaisha Toshiba Host device and authentication method for host device
US20160125416A1 (en) * 2013-05-08 2016-05-05 Acuity Systems, Inc. Authentication system
US9531537B2 (en) 2014-01-31 2016-12-27 Cryptometry Limited System and method for performing secure communications
WO2015139072A1 (en) * 2014-03-16 2015-09-24 Richardson Ric B Persistent authentication system incorporating one time pass codes
WO2015179020A2 (en) * 2014-03-27 2015-11-26 Ent Technologies, Inc. Generalized entity network translation (gent)
KR101544722B1 (ko) 2014-11-13 2015-08-18 주식회사 엘지씨엔에스 부인 방지 방법, 이를 위한 결제 관리 서버 및 사용자 단말기
US10454676B2 (en) * 2015-02-13 2019-10-22 International Business Machines Corporation Automatic key management using enterprise user identity management
US10348727B2 (en) 2015-02-13 2019-07-09 International Business Machines Corporation Automatic key management using enterprise user identity management
US10205598B2 (en) * 2015-05-03 2019-02-12 Ronald Francis Sulpizio, JR. Temporal key generation and PKI gateway
US11265165B2 (en) * 2015-05-22 2022-03-01 Antique Books, Inc. Initial provisioning through shared proofs of knowledge and crowdsourced identification
CN106332061B (zh) * 2015-06-23 2019-11-05 南京中兴软件有限责任公司 空口引导设置处理方法及终端设备
RU2018103183A (ru) * 2015-06-30 2019-07-31 Виза Интернэшнл Сервис Ассосиэйшн Взаимная аутентификация конфиденциальной связи
US9967244B2 (en) * 2015-10-14 2018-05-08 Microsoft Technology Licensing, Llc Multi-factor user authentication framework using asymmetric key
US20190073646A1 (en) * 2016-02-23 2019-03-07 nChain Holdings Limited Consolidated blockchain-based data transfer control method and system
CN105681036B (zh) * 2016-03-10 2018-12-04 上汽通用汽车有限公司 一种获取密钥的方法和装置
US10644875B2 (en) * 2016-04-28 2020-05-05 International Business Machines Corporation Pre-authorization of public key infrastructure
JP6801448B2 (ja) * 2016-12-27 2020-12-16 大日本印刷株式会社 電子情報記憶媒体、認証システム、認証方法、及び認証アプリケーションプログラム
CN112868211A (zh) * 2018-08-10 2021-05-28 迈德罗斯特网站公司 加密消息传递系统
AU2019381522A1 (en) * 2018-11-13 2021-07-01 Bluepopcon Inc. Encryption system and method employing permutation group-based encryption technology
WO2020101325A1 (ko) * 2018-11-13 2020-05-22 (주)블루팝콘 순열그룹 기반의 암호화 기술을 적용한 암호화시스템 및 방법
CN109462481B (zh) * 2018-11-23 2022-04-26 上海扈民区块链科技有限公司 一种基于非对称双线性对的匿签密方法
CN110247762A (zh) * 2019-06-20 2019-09-17 江西金格科技股份有限公司 一种基于sm9算法的可信网站搭建方法
CN113127814B (zh) * 2019-12-31 2023-03-14 杭州海康威视数字技术股份有限公司 软件防抄方法、装置、电子设备及可读存储介质
CN111865592A (zh) * 2020-09-21 2020-10-30 四川科锐得电力通信技术有限公司 物联网设备快速接入方法、装置、物联网平台及存储介质

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6853988B1 (en) * 1999-09-20 2005-02-08 Security First Corporation Cryptographic server with provisions for interoperability between cryptographic systems
JP2005500740A (ja) * 2001-08-13 2005-01-06 ザ ボード オブ トラスティーズ オブ ザ リーランド スタンフォード ジュニア ユニバーシティ Idベース暗号化および関連する暗号手法のシステムおよび方法
JP2005521142A (ja) 2002-03-20 2005-07-14 リサーチ イン モーション リミテッド 証明情報記憶装置および証明情報記憶方法
EP1586054A4 (en) 2002-12-13 2010-12-08 Symantec Corp METHOD, SYSTEM, AND SECURING COMPUTER PROGRAM WITHIN A GLOBAL COMPUTER NETWORK
AU2004201807A1 (en) * 2003-05-09 2004-11-25 Nor Azman Bin Abu Method and apparatus for the generation of public key based on a user-defined ID in a cryptosystem
AU2004100268B9 (en) 2004-04-09 2004-07-15 Lockstep Consulting Pty Ltd Means and method of using cryptographic devices to combat online institution identity theft
US7373505B2 (en) 2004-04-15 2008-05-13 Microsoft Corporation Displaying a security element with a browser window
US7555784B2 (en) 2005-03-04 2009-06-30 Microsoft Corporation Method and system for safely disclosing identity over the internet
US7739500B2 (en) 2005-03-07 2010-06-15 Microsoft Corporation Method and system for consistent recognition of ongoing digital relationships

Also Published As

Publication number Publication date
JP2006254423A (ja) 2006-09-21
US20060198517A1 (en) 2006-09-07
CN1832394B (zh) 2011-06-29
CN1832394A (zh) 2006-09-13
EP1701283B8 (en) 2017-08-30
US7822200B2 (en) 2010-10-26
KR20060097583A (ko) 2006-09-14
EP1701283B1 (en) 2017-04-19
EP1701283A1 (en) 2006-09-13
KR101169100B1 (ko) 2012-07-26

Similar Documents

Publication Publication Date Title
JP4896537B2 (ja) 非対称キーセキュリティのための方法およびシステム
US11496310B2 (en) Methods and systems for universal storage and access to user-owned credentials for trans-institutional digital authentication
US11563567B2 (en) Secure shared key establishment for peer to peer communications
KR101292975B1 (ko) 패스워드 보호
US9646161B2 (en) Relational database fingerprinting method and system
JP5562687B2 (ja) 第1のユーザによって第2のユーザに送信される通信の安全化
KR102219277B1 (ko) 인증된 컨텐츠 전달 제어를 위한 시스템 및 방법
US7877604B2 (en) Proof of execution using random function
Kaur et al. A Secure Two‐Factor Authentication Framework in Cloud Computing
JP2009529832A (ja) 発見不可能、即ち、ブラック・データを使用するセキュアなデータ通信
Darwish et al. Decentralizing privacy implementation at cloud storage using blockchain-based hybrid algorithm
Bouchaala et al. Enhancing security and efficiency in cloud computing authentication and key agreement scheme based on smart card
US7739500B2 (en) Method and system for consistent recognition of ongoing digital relationships
JP2022534677A (ja) ブロックチェーンを使用するオンラインアプリケーションおよびウェブページの保護
CN113641975A (zh) 身份标识注册方法、身份标识验证方法、装置及系统
CN114244508A (zh) 数据加密方法、装置、设备及存储介质
CN114629713B (zh) 身份验证方法、装置及系统
CN114389810B (zh) 证明生成方法及装置、电子设备、存储介质
CN110188545B (zh) 一种基于链式数据库的数据加密方法及装置
Resende et al. PUF-based mutual multifactor entity and transaction authentication for secure banking
Sadqi et al. A cryptographic mutual authentication scheme for web applications
Tripti et al. Secure data sharing using Merkle hash digest based blockchain identity management
CN114005190B (zh) 用于课堂考勤系统的人脸识别方法
Goel et al. Cryptanalysis of an Authentication Scheme for WSN within an IoT Environment
Hussain et al. Research Article An Improved Authentication Scheme for Digital Rights Management System

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090128

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090128

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090317

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110809

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111031

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111213

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111221

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150106

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees