JP5132222B2 - クライアント装置、サーバ装置及びプログラム - Google Patents
クライアント装置、サーバ装置及びプログラム Download PDFInfo
- Publication number
- JP5132222B2 JP5132222B2 JP2007210904A JP2007210904A JP5132222B2 JP 5132222 B2 JP5132222 B2 JP 5132222B2 JP 2007210904 A JP2007210904 A JP 2007210904A JP 2007210904 A JP2007210904 A JP 2007210904A JP 5132222 B2 JP5132222 B2 JP 5132222B2
- Authority
- JP
- Japan
- Prior art keywords
- biometric authentication
- biometric
- certificate
- random number
- authentication method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2151—Time stamp
Description
第1乃至第4の各発明においては、証明書認証を含む合意処理中に、生体認証をも実行する構成により、2回のハンドシェイクに伴う不要なパスを存在させずに、エンティティ認証及び生体認証に基づくセキュアセッションを確立することができる。また、生体認証に失敗した場合でも、従来に比べ、無駄になる処理を低減することができる。
図1は本発明の第1の実施形態に係る認証システムの構成を示す模式図である。この認証システムは、インターネット等のネットワークを介して互いに通信可能なクライアント装置100及びサーバ装置200から構成される。
クライアント装置100においては、ハンドシェイクの拡張処理がある旨を通知するため、従来のハロー(Hello)メッセージを拡張したクライアントハローメッセージMCHを制御部102が通信部101によりサーバ装置200に送信する。
サーバ装置200においては、クライアントハローメッセージMCHを通信部201により制御部202が受信する。制御部202は、ハンドシェイクの拡張処理について了解した旨を通知するため、拡張したサーバハロー(ServerHello)メッセージMSHを通信部201によりクライアント装置100に送信する。
サーバ装置200においては、サーバ認証を行うため、及びクライアント装置100との鍵交換に必要なデータを送信するため、鍵保存部204内のサーバ証明書を含むサーバ証明書(ServerCertificate)メッセージを制御部202が通信部201によりクライアント装置100に送信する。またサーバ証明書にクライアント装置100との鍵交換に必要なデータが含まれていない場合、制御部202は、通信部201により、サーバ証明書メッセージに続けてサーバ鍵交換(ServerKeyExchange)メッセージをクライアント装置100に送信する。
サーバ装置200においては、オプションで選択されていれば制御部202が通信部201により、クライアント証明書を要求する証明書要求(CertificateRequest)メッセージをクライアント装置100に送信する。
サーバ装置200においては、制御部202が通信部201により、ハローメッセージの一連の処理が終了した旨のサーバハロー終了(ServerHelloDone)メッセージをクライアント装置100に送信する。
クライアント装置100においては、クライアント装置100で実行可能な生体認証方式のリストをサーバに通知するため、制御部102が通信部101により、クライアント生体認証交渉(ClientBiometricNegotiation)メッセージMCBNをサーバ装置200に送信する。
サーバ装置200においては、クライアント生体認証交渉メッセージを制御部202が通信部201により受信すると、制御部202がクライアント生体認証交渉メッセージ内の生体認証方式リストの生体認証方式情報がセキュリティポリシー保存部203内の生体認証方式情報のいずれかに一致するか否かを判定する。
クライアント装置100においては、サーバ生体認証交渉メッセージを制御部102が通信部101により受信すると、制御部102が、サーバ生体認証交渉メッセージ内の生体認証方式情報に基づいて、生体認証処理制御部105を起動する。生体認証処理制御部105は、各部106〜108を制御してユーザの生体認証処理を実行し、得られた生体認証の結果を認証コンテキスト生成部109に送出する。
サーバ装置200においては、生体認証処理メッセージMBPを制御部202が通信部201により受信すると、制御部202が生体認証処理メッセージMBP内の認証コンテキストを認証コンテキスト検証部205に送出する。
クライアント装置100は、生体認証検証メッセージMBVを制御部102が通信部101により受信する。しかる後、制御部102は、サーバがクライアントの証明書を要求している場合には、鍵保存部104内のクライアント証明書を含むクライアント証明書(ClientCertificate)メッセージを通信部101によりサーバ装置200に送信する。
クライアント装置100においては、プリマスターシークレット(premaster_secret)をサーバに通知するため、制御部102がクライアント鍵交換(ClientKeyExchange)メッセージを通信部101によりサーバ装置200に送信する。
クライアント装置100においては、ステップST6でクライアント証明書を送信した場合、クライアント証明書の検証のため、制御部102は、暗号化部111により、現在までのメッセージに対して鍵保存部内104の秘密鍵に基づいてデジタル署名を生成する。しかる後、制御部102は、現在までのメッセージとデジタル署名とを含むクライアント検証(ClientVerify)メッセージを通信部101によりサーバ装置200に送信する。
クライアント装置100においては、制御部102が通信部101により、双方で合意した暗号化アルゴリズムで秘匿通信を行うことを宣言する暗号化仕様変更(ChangeCipherSpec)メッセージをサーバ装置200に送信する。
クライアント装置100においては、制御部102が通信部101により、サーバとのやり取りが正常に終了し、セッション確立のために必要なデータが揃った旨の終了(Finished)メッセージをサーバ装置200に送信する。
サーバ装置200においては、制御部202が通信部201により、双方で合意した暗号化アルゴリズムで秘匿通信を行うことを宣言する暗号化仕様変更メッセージをクライアント装置100に送信する。
サーバ装置200においては、制御部202が通信部201により、クライアントとのやり取りが正常に終了し、セッション確立のために必要なデータが揃った旨の終了メッセージをクライアント装置100に送信する。
ステップST12の完了後、クライアント装置及びサーバ装置は、秘匿通信を実行可能な鍵を共有でき、その後のセッションにおいてクライアント装置−サーバ装置間でセキュアセッションを確立することができる。
図15は本発明の第2の実施形態に係る認証システムの構成を示す模式図であり、図1とほぼ同一部分には同一符号を付してその詳しい説明を省略し、ここでは異なる部分について主に述べる。なお、以下の各実施形態も同様にして重複した説明を省略する。
ステップST1〜ST−SBNまでは第1の実施形態と同じであるので説明を省略する。また、ステップST−SBNの後に、前述したステップST6〜ST8を実行しなければならない。
クライアント装置100aにおいては、サーバ装置200aから通知された生体認証方式情報を含むサーバ生体認証交渉メッセージを制御部102aが通信部101により受信する。制御部102aは、サーバ生体認証交渉メッセージ内の生体認証方式情報に基づいて、生体認証処理制御部105aを起動する。生体認証処理制御部105aは、生体情報取得部107を制御してユーザの生体情報を取得し、得られた生体情報を制御部102aに送出する。
サーバ装置200aにおいては、この生体認証処理メッセージMBPを制御部202aが通信部201により受信する。
(ステップST9〜ST13)
ステップST9〜ST13は第1の実施形態と同じであるので説明を省略する。
以上から、生体情報をサーバ装置200aに安全に送り、サーバ装置200aにおける照合結果に基づいてセキュアセッションを確立するためのメッセージを送る装置を構成できるとともに、及び生体認証の結果に基づいてセキュアセッションを確立するためのメッセージの作成を実現することができる。
図17は本発明の第3の実施形態に係る認証システムの構成を示す模式図である。
第3の実施形態は、第1の実施形態の変形例であり、クライアント装置100b側で生体認証を行い、生体認証の結果に基づいて取得したクライアント証明書をサーバ装置200bに送信してクライアント認証を行う実施形態である。
クライアント装置100bは、ハンドシェイクの拡張処理があることを通知するため、拡張したクライアントハローメッセージMCHを制御部102bが通信部101によりサーバ装置200bに送信する。
サーバ装置200bにおいては、クライアントハローメッセージMCHを通信部201により制御部202bが受信する。制御部202bは、ハンドシェイクの拡張処理について了解した旨を通知するため、拡張したサーバハローメッセージMSHを通信部201によりクライアント装置100bに送信する。
ステップST3〜ST5までは第1の実施形態と同じであるので説明を省略する。
(ステップST−BP1)
クライアント装置100bにおいては、ステップST5のサーバハロー終了(ServerHelloDone)メッセージを制御部102bが通信部101により受信すると、制御部102bが生体認証処理制御部105を起動する。生体認証処理制御部105は、各部106〜108を制御してユーザの生体認証処理を実行し、得られた生体認証の結果を制御部102bに送出する。
クライアント装置100bにおいては、制御部102bが、鍵保存部104内のクライアント証明書を含むクライアント証明書(ClientCertificate)メッセージを通信部101によりサーバ装置200に送信する。
ステップST7及びST8は第1の実施形態と同じであるので説明を省略する。
(ステップST−BP2)
制御部102bは、暗号化部111により、サーバハロー(ServerHello)メッセージMSHに含まれる乱数データを鍵保存部104内の秘密鍵に基づいて暗号化し、暗号化乱数を生成する。この暗号化乱数は、制御部102bから認証コンテキスト生成部109bに送出される。また、制御部102bは、ステップST6で取得した生体認証の結果も認証コンテキスト生成部109bに送出する。
サーバ装置200bにおいては、生体認証処理メッセージMBPを制御部202bが通信部201により受信すると、制御部202bが生体認証処理メッセージMBP内の認証コンテキストを認証コンテキスト検証部205bに送出する。
ステップST9〜ST13は第1の実施形態と同じであるので説明を省略する。
図20は本発明の第4の実施形態に係る認証システムの構成を示す模式図である。
第4の実施形態は、第1の実施形態の変形例であり、合意処理の前に、予め認証コンテキストにタイムスタンプを作成しておく実施形態である。なお、タイムスタンプは、例えば、RFC3161に準拠したタイムスタンプサービス(例えば、非特許文献5参照。)を利用して作成してもよい。
次に、以上のように構成された認証システムの動作を図21のシーケンス図を用いて説明する。
クライアント装置100cは、ユーザの生体認証を予め実行し、その生体認証の結果を含む認証コンテキストを生成し、認証コンテキストに対して既存の技術を用いてタイムスタンプを付与する。
クライアント装置100cは、ハンドシェイクの拡張処理があることを通知するため、拡張したクライアントハローメッセージMCHを制御部102cが通信部101により送信する。
サーバ装置200cは、クライアントハローメッセージMCHを通信部201により制御部202cが受信する。制御部202cは、ハンドシェイクの拡張処理について了解したことを通知するため、拡張したサーバハローメッセージMSHを通信部201によりクライアント装置100cに送信する。
ステップST3〜ST5までは第1の実施形態と同じであるので説明を省略する。
クライアント装置100cにおいては、クライアント装置100cで予め実行した生体認証の生体認証方式をサーバに通知するため、制御部102が通信部101により、生体認証方式情報を含むクライアント生体認証交渉(ClientBiometricNegotiation)メッセージMCBNを送信する。
サーバ装置200cにおいては、クライアント生体認証交渉メッセージを制御部202cが通信部201により受信すると、制御部202cがクライアント生体認証交渉メッセージ内の生体認証方式リストの生体認証方式情報がセキュリティポリシー保存部203内の生体認証方式情報のいずれかに一致するか否かを判定する。
クライアント装置100cにおいては、サーバ生体認証交渉メッセージを制御部102が通信部101により受信すると、制御部102が、サーバ生体認証交渉メッセージ内の生体認証方式情報に基づいて、該当する認証コンテキストを含む生体認証処理(BiometricProcess)メッセージMBPを通信部101によりサーバ装置200に送信する。
サーバ装置200cは、生体認証処理メッセージMBPを制御部202cが通信部201により受信すると、制御部202cが生体認証処理メッセージMBP内のタイムスタンプが付与された認証コンテキストのうち、タイムスタンプをタイムスタンプ検証部213に送出すると共に、認証コンテキストを認証コンテキスト検証部205cに送出する。
ステップST6〜ST13は第1の実施形態と同じ動作をするので説明を省略する。
Claims (16)
- ユーザの操作によってサーバ装置との間でネットワークを介して秘匿通信をする前に、前記サーバ装置との間で互いの証明書認証を含む合意処理を実行し、前記証明書認証の結果が正当のとき、前記秘匿通信をするためのセッションを確立可能なクライアント装置であって、
前記ユーザを生体認証するための生体認証手段と、
公開鍵を含むクライアント証明書が記憶された証明書記憶手段と、
前記公開鍵に対応する秘密鍵が記憶された秘密鍵記憶手段と、
前記生体認証手段の生体認証方式を示す生体認証方式情報が記憶された生体認証方式記憶手段と、
前記合意処理中に、前記サーバ装置から乱数を含むメッセージを受信する手段と、
前記メッセージの受信後、前記生体認証方式情報を含む生体認証交渉メッセージを作成し、この生体認証交渉メッセージを前記サーバ装置に送信する手段と、
前記生体認証交渉メッセージの送信後、前記サーバ装置から通知された生体認証方式情報に基づいて、前記生体認証手段を起動する手段と、
前記乱数を前記秘密鍵に基づいて暗号化し、暗号化乱数を生成する手段と、
前記生体認証手段による生体認証の結果およびその処理の正当性を保証する情報と前記生体認証方式情報と前記暗号化乱数と前記クライアント証明書とから前記秘密鍵に基づいて、認証子を生成する手段と、
前記生体認証の結果およびその処理の正当性を保証する情報と前記生体認証方式情報と前記暗号化乱数と前記クライアント証明書と前記認証子とを含む認証コンテキストを前記サーバ装置に送信することにより、前記合意処理を継続する手段と、
を備えたことを特徴とするクライアント装置。 - ユーザに操作されるクライアント装置との間でネットワークを介して秘匿通信をする前に、前記クライアント装置との間で互いの証明書認証を含む合意処理を実行し、前記証明書認証の結果が正当のとき、前記秘匿通信をするためのセッションを確立可能なサーバ装置であって、
受け入れ可能な前記ユーザの生体認証方式を示す複数の生体認証方式情報が記憶された生体認証方式記憶手段と、
前記合意処理中に、乱数を含むメッセージを前記クライアント装置に送信する手段と、
前記メッセージの送信後、前記クライアント装置の生体認証方式を示す生体認証方式情報を含む生体認証交渉メッセージを前記クライアント装置から受信する手段と、
前記生体認証交渉メッセージ内の生体認証方式情報が前記生体認証方式記憶手段内の各生体認証方式情報のいずれかに一致するか否かを判定する手段と、
前記判定の結果が一致を示すとき、当該生体認証方式情報を前記クライアント装置に通知する手段と、
前記通知の後、前記生体認証方式情報に基づく生体認証の結果およびその処理の正当性を保証する情報と前記生体認証方式情報と暗号化乱数とクライアント証明書と認証子とを含む認証コンテキストを前記クライアント装置から受信する手段と、
前記認証コンテキスト内の生体認証の結果が不正を示すとき、前記合意処理を中断する手段と、
前記認証コンテキスト内の生体認証方式情報と前記通知した生体認証方式情報とが互いに異なるとき、前記合意処理を中断する手段と、
前記認証コンテキスト内の暗号化乱数を前記クライアント証明書内の公開鍵に基づいて復号し、得られた乱数が前記メッセージ内の乱数と異なるとき、前記合意処理を中断する手段と、
前記クライアント証明書内の公開鍵に基づいて前記認証子を検証し、検証結果が不正を示すとき、前記合意処理を中断する手段と、
を備えたことを特徴とするサーバ装置。 - ユーザの操作によってサーバ装置との間でネットワークを介して秘匿通信をする前に、前記サーバ装置との間で互いの証明書認証を含む合意処理を実行し、前記証明書認証の結果が正当のとき、前記秘匿通信をするためのセッションを確立可能なクライアント装置であって、
前記合意処理中に、前記ユーザから生体情報を取得するための生体情報取得手段と、
前記生体情報取得手段の生体認証方式を示す生体認証方式情報が記憶された生体認証方式記憶手段と、
第1乱数を生成するための乱数生成手段と、
前記合意処理中に、前記第1乱数と、使用可能な暗号アルゴリズムのリストとを含む第1メッセージを作成し、この第1メッセージを前記サーバ装置に送信する手段と、
前記第1メッセージの送信後、前記サーバ装置から第2乱数と、前記リスト内で使用する暗号アルゴリズムの指定とを含む第2メッセージを受信する手段と、
前記生体認証方式情報を含む生体認証交渉メッセージを作成し、この生体認証交渉メッセージを前記サーバ装置に送信する手段と、
前記生体認証交渉メッセージの送信後、前記サーバ装置から通知された生体認証方式情報に基づいて、前記生体情報取得手段を起動する手段と、
前記指定された暗号アルゴリズムを使用して、プリマスターシークレットデータを生成して、当該プリマスターシークレットデータを暗号化し、当該暗号化したプリマスターシークレットデータを含む第3メッセージを前記サーバ装置に送信する手段と、
前記第1乱数、前記第2乱数及び前記プリマスターシークレットデータに基づいて、ハッシュアルゴリズムにより暗号化用パラメータを生成する手段と、
前記生体情報取得手段により取得した生体情報を前記暗号化用パラメータに基づいて暗号化し、得られた暗号化生体情報を前記サーバ装置に通知することにより、前記合意処理を継続する手段と、
を備えたことを特徴とするクライアント装置。 - ユーザに操作されるクライアント装置との間でネットワークを介して秘匿通信をする前に、前記クライアント装置との間で互いの証明書認証を含む合意処理を実行し、前記証明書認証の結果が正当のとき、前記秘匿通信をするためのセッションを確立可能なサーバ装置であって、
受け入れ可能な前記ユーザの生体認証方式を示す複数の生体認証方式情報が記憶された生体認証方式記憶手段と、
前記ユーザの生体参照情報が記憶された生体参照情報記憶手段と、
前記合意処理中に、前記クライアント装置から第1乱数と、使用可能な暗号アルゴリズムのリストとを含む第1メッセージを受信する手段と、
前記第1メッセージの受信後、第2乱数と、前記リスト内で使用する暗号アルゴリズムの指定とを含む第2メッセージを前記クライアント装置に送信する手段と、
前記クライアント装置の生体認証方式を示す生体認証方式情報を含む生体認証交渉メッセージを前記クライアント装置から受信する手段と、
前記生体認証交渉メッセージ内の生体認証方式情報が前記生体認証方式記憶手段内の各生体認証方式情報のいずれかに一致するか否かを判定する手段と、
前記判定の結果が一致を示すとき、当該生体認証方式情報を前記クライアント装置に通知する手段と、
前記指定した暗号アルゴリズムを使用して暗号化されたプリマスターシークレットデータを含む第3メッセージを前記クライアント装置から受信する手段と、
前記通知の後、前記生体認証方式情報に従って取得された前記ユーザの生体情報が前記第1乱数、前記第2乱数及び前記プリマスターシークレットデータに基づいて暗号化されてなる暗号化生体情報を前記クライアント装置から受信する手段と、
前記第3メッセージ内の前記暗号化されたプリマスターシークレットデータを、前記指定した暗号アルゴリズムを使用して復号する手段と、
前記第1メッセージ内の第1乱数、前記第2メッセージ内の第2乱数及び前記復号したプリマスターシークレットデータに基づいて、ハッシュアルゴリズムにより暗号化用パラメータを生成する手段と、
前記暗号化生体情報を前記暗号化用パラメータに基づいて復号する手段と、
前記復号により得られた生体情報を、前記生体参照情報記憶手段内の生体参照情報に基づいて生体認証する生体認証手段と、
前記生体認証の結果が不正を示すとき、前記合意処理を中断する手段と、
を備えたことを特徴とするサーバ装置。 - ユーザの操作によってサーバ装置との間でネットワークを介して秘匿通信をする前に、前記サーバ装置との間で互いの証明書認証を含む合意処理を実行し、前記証明書認証の結果が正当のとき、前記秘匿通信をするためのセッションを確立可能なクライアント装置であって、
前記ユーザを生体認証するための生体認証手段と、
公開鍵を含むクライアント証明書が記憶された証明書記憶手段と、
前記公開鍵に対応する秘密鍵が記憶された秘密鍵記憶手段と、
前記合意処理中に、前記ユーザの生体認証の結果に基づいてクライアント証明書を取得する旨を含む第1メッセージを前記サーバ装置に送信する手段と、
前記第1メッセージの送信後、前記サーバ装置から乱数を含む第2メッセージを受信する手段と、
前記第2メッセージの受信後、前記生体認証手段を起動する手段と、
前記乱数を前記秘密鍵に基づいて暗号化し、暗号化乱数を生成する手段と、
前記生体認証手段による生体認証の結果が正当のとき、前記証明書記憶手段内のクライアント証明書を前記サーバ装置に送信する手段と、
前記生体認証の結果およびその処理の正当性を保証する情報及び前記暗号化乱数から前記秘密鍵に基づいて、認証子を生成する手段と、
前記生体認証の結果およびその処理の正当性を保証する情報及び前記暗号化乱数と前記認証子とを含む認証コンテキストを前記サーバ装置に送信することにより、前記合意処理を継続する手段と、
を備えたことを特徴とするクライアント装置。 - ユーザに操作されるクライアント装置との間でネットワークを介して秘匿通信をする前に、前記クライアント装置との間で互いの証明書認証を含む合意処理を実行し、前記証明書認証の結果が正当のとき、前記秘匿通信をするためのセッションを確立可能なサーバ装置であって、
前記合意処理中に、前記ユーザの生体認証の結果に基づいてクライアント証明書を取得する旨を含む第1メッセージを前記クライアント装置から受信する手段と、
前記第1メッセージの受信後、乱数を含む第2メッセージを前記クライアント装置に送信する手段と、
前記第2メッセージの送信後、前記クライアント装置からクライアント証明書を受信する手段と、
前記第2メッセージの送信後、前記ユーザの生体認証の結果およびその処理の正当性を保証する情報と暗号化乱数と認証子とを含む認証コンテキストを前記クライアント装置から受信する手段と、
前記受信したクライアント証明書及び認証コンテキストを記憶する記憶手段と、
前記記憶手段に記憶された認証コンテキスト内の生体認証の結果が不正を示すとき、前記合意処理を中断する手段と、
前記記憶手段に記憶された認証コンテキスト内の暗号化乱数を前記クライアント証明書内の公開鍵に基づいて復号し、得られた乱数が前記第2メッセージ内の乱数と異なるとき、前記合意処理を中断する手段と、
前記記憶手段に記憶されたクライアント証明書内の公開鍵に基づいて前記認証子を検証し、検証結果が不正を示すとき、前記合意処理を中断する手段と、
を備えたことを特徴とするサーバ装置。 - ユーザの操作によってサーバ装置との間でネットワークを介して秘匿通信をする前に、前記サーバ装置との間で互いの証明書認証を含む合意処理を実行し、前記証明書認証の結果が正当のとき、前記秘匿通信をするためのセッションを確立可能なクライアント装置であって、
公開鍵を含むクライアント証明書が記憶された証明書記憶手段と、
前記公開鍵に対応する秘密鍵が記憶された秘密鍵記憶手段と、
前記合意処理の前に、前記ユーザを生体認証するための生体認証手段と、
前記生体認証手段の生体認証方式を示す生体認証方式情報が記憶された生体認証方式記憶手段と、
前記生体認証の結果およびその処理の正当性を保証する情報と前記生体認証方式情報と前記クライアント証明書とから前記秘密鍵に基づいて、認証子を生成する手段と、
前記合意処理の前に、前記生体認証の結果およびその処理の正当性を保証する情報と前記生体認証方式情報と前記クライアント証明書と前記認証子とを含む認証コンテキストを生成する手段と、
前記合意処理の前に、前記認証コンテキストをタイムスタンプ提供装置に送信する手段と、
前記送信した認証コンテキスト及び前記タイムスタンプ提供装置における日時情報に対して、当該タイムスタンプ提供装置の秘密鍵に基づいて生成されたタイムスタンプが付与されることにより、前記タイムスタンプが付与された認証コンテキストを前記タイムスタンプ提供装置から受信する手段と、
前記合意処理中に、前記生体認証方式情報を含む生体認証交渉メッセージを作成し、この生体認証交渉メッセージを前記サーバ装置に送信する手段と、
前記生体認証交渉メッセージの送信後、前記サーバ装置から通知された生体認証方式情報に基づいて、前記タイムスタンプが付与された認証コンテキストを前記サーバ装置に送信することにより、前記合意処理を継続する手段と、
を備えたことを特徴とするクライアント装置。 - ユーザに操作されるクライアント装置との間でネットワークを介して秘匿通信をする前に、前記クライアント装置との間で互いの証明書認証を含む合意処理を実行し、前記証明書認証の結果が正当のとき、前記秘匿通信をするためのセッションを確立可能なサーバ装置であって、
受け入れ可能な前記ユーザの生体認証方式を示す複数の生体認証方式情報が記憶された生体認証方式記憶手段と、
前記合意処理中に、前記クライアント装置の生体認証方式を示す生体認証方式情報を含む生体認証交渉メッセージを前記クライアント装置から受信する手段と、
前記生体認証交渉メッセージ内の生体認証方式情報が前記生体認証方式記憶手段内の各生体認証方式情報のいずれかに一致するか否かを判定する手段と、
前記判定の結果が一致を示すとき、当該生体認証方式情報を前記クライアント装置に通知する手段と、
前記通知の後、タイムスタンプ提供装置の秘密鍵によるタイムスタンプが付与され且つ前記ユーザの生体認証の結果、生体認証方式情報、クライアント証明書及び認証子を含む認証コンテキストを前記クライアント装置から受信する手段と、
前記認証コンテキスト内の生体認証の結果が不正を示すとき、前記合意処理を中断する手段と、
前記認証コンテキスト内の生体認証方式情報が前記通知した生体認証方式とは異なるとき、前記合意処理を中断する手段と、
前記クライアント証明書内の公開鍵に基づいて前記認証子を検証し、検証結果が不正を示すとき、前記合意処理を中断する手段と、
前記タイムスタンプ提供装置の秘密鍵に対応する公開鍵に基づいて前記タイムスタンプを復号し、得られた日時情報と現在の日時情報との差分が予め定めた値よりも大きいとき、前記合意処理を中断する手段と、
を備えたことを特徴とするサーバ装置。 - ユーザの操作によってサーバ装置との間でネットワークを介して秘匿通信をする前に、前記サーバ装置との間で互いの証明書認証を含む合意処理を実行し、前記証明書認証の結果が正当のとき、前記秘匿通信をするためのセッションを確立可能なクライアント装置のプログラムであって、
前記クライアント装置のコンピュータを、
前記ユーザを生体認証するための生体認証手段、
公開鍵を含むクライアント証明書を証明書記憶手段に書き込む手段、
前記公開鍵に対応する秘密鍵を秘密鍵記憶手段に書き込む手段、
前記生体認証手段の生体認証方式を示す生体認証方式情報を生体認証方式記憶手段に書き込む手段、
前記合意処理中に、前記サーバ装置から乱数を含むメッセージを受信する手段、
前記メッセージの受信後、前記生体認証方式情報を含む生体認証交渉メッセージを作成し、この生体認証交渉メッセージを前記サーバ装置に送信する手段、
前記生体認証交渉メッセージの送信後、前記サーバ装置から通知された生体認証方式情報に基づいて、前記生体認証手段を起動する手段、
前記乱数を前記秘密鍵に基づいて暗号化し、暗号化乱数を生成する手段、
前記生体認証手段による生体認証の結果およびその処理の正当性を保証する情報と前記生体認証方式情報と前記暗号化乱数と前記クライアント証明書とから前記秘密鍵に基づいて、認証子を生成する手段、
前記生体認証の結果およびその処理の正当性を保証する情報と前記生体認証方式情報と前記暗号化乱数と前記クライアント証明書と前記認証子とを含む認証コンテキストを前記サーバ装置に送信することにより、前記合意処理を継続する手段、
として機能させるためのプログラム。 - ユーザに操作されるクライアント装置との間でネットワークを介して秘匿通信をする前に、前記クライアント装置との間で互いの証明書認証を含む合意処理を実行し、前記証明書認証の結果が正当のとき、前記秘匿通信をするためのセッションを確立可能なサーバ装置のプログラムであって、
前記サーバ装置のコンピュータを、
受け入れ可能な前記ユーザの生体認証方式を示す複数の生体認証方式情報を生体認証方式記憶手段に書き込む手段、
前記合意処理中に、乱数を含むメッセージを前記クライアント装置に送信する手段、
前記メッセージの送信後、前記クライアント装置の生体認証方式を示す生体認証方式情報を含む生体認証交渉メッセージを前記クライアント装置から受信する手段、
前記生体認証交渉メッセージ内の生体認証方式情報が前記生体認証方式記憶手段内の各生体認証方式情報のいずれかに一致するか否かを判定する手段、
前記判定の結果が一致を示すとき、当該生体認証方式情報を前記クライアント装置に通知する手段、
前記通知の後、前記生体認証方式情報に基づく生体認証の結果およびその処理の正当性を保証する情報と前記生体認証方式情報と暗号化乱数とクライアント証明書と認証子とを含む認証コンテキストを前記クライアント装置から受信する手段、
前記認証コンテキスト内の生体認証の結果が不正を示すとき、前記合意処理を中断する手段、
前記認証コンテキスト内の生体認証方式情報と前記通知した生体認証方式情報とが互いに異なるとき、前記合意処理を中断する手段、
前記認証コンテキスト内の暗号化乱数を前記クライアント証明書内の公開鍵に基づいて復号し、得られた乱数が前記メッセージ内の乱数と異なるとき、前記合意処理を中断する手段、
前記クライアント証明書内の公開鍵に基づいて前記認証子を検証し、検証結果が不正を示すとき、前記合意処理を中断する手段、
として機能させるためのプログラム。 - ユーザの操作によってサーバ装置との間でネットワークを介して秘匿通信をする前に、前記サーバ装置との間で互いの証明書認証を含む合意処理を実行し、前記証明書認証の結果が正当のとき、前記秘匿通信をするためのセッションを確立可能なクライアント装置のプログラムであって、
前記クライアント装置のコンピュータを、
前記合意処理中に、前記ユーザから生体情報を取得するための生体情報取得手段、
前記生体情報取得手段の生体認証方式を示す生体認証方式情報を生体認証方式記憶手段に書き込む手段、
第1乱数を生成するための乱数生成手段、
前記合意処理中に、前記第1乱数と、使用可能な暗号アルゴリズムのリストとを含む第1メッセージを作成し、この第1メッセージを前記サーバ装置に送信する手段、
前記第1メッセージの送信後、前記サーバ装置から第2乱数と、前記リスト内で使用する暗号アルゴリズムの指定とを含む第2メッセージを受信する手段、
前記生体認証方式情報を含む生体認証交渉メッセージを作成し、この生体認証交渉メッセージを前記サーバ装置に送信する手段、
前記生体認証交渉メッセージの送信後、前記サーバ装置から通知された生体認証方式情報に基づいて、前記生体情報取得手段を起動する手段、
前記指定された暗号アルゴリズムを使用して、プリマスターシークレットデータを生成して、当該プリマスターシークレットデータを暗号化し、当該暗号化したプリマスターシークレットデータを含む第3メッセージを前記サーバ装置に送信する手段、
前記第1乱数、前記第2乱数及び前記プリマスターシークレットデータに基づいて、ハッシュアルゴリズムにより暗号化用パラメータを生成する手段、
前記生体情報取得手段により取得した生体情報を前記暗号化用パラメータに基づいて暗号化し、得られた暗号化生体情報を前記サーバ装置に通知することにより、前記合意処理を継続する手段、
として機能させるためのプログラム。 - ユーザに操作されるクライアント装置との間でネットワークを介して秘匿通信をする前に、前記クライアント装置との間で互いの証明書認証を含む合意処理を実行し、前記証明書認証の結果が正当のとき、前記秘匿通信をするためのセッションを確立可能なサーバ装置のプログラムであって、
前記サーバ装置のコンピュータを、
受け入れ可能な前記ユーザの生体認証方式を示す複数の生体認証方式情報を生体認証方式記憶手段に書き込む手段、
前記ユーザの生体参照情報を生体参照情報記憶手段に書き込む手段、
前記合意処理中に、前記クライアント装置から第1乱数と、使用可能な暗号アルゴリズムのリストとを含む第1メッセージを受信する手段、
前記第1メッセージの受信後、第2乱数と、前記リスト内で使用する暗号アルゴリズムの指定とを含む第2メッセージを前記クライアント装置に送信する手段、
前記クライアント装置の生体認証方式を示す生体認証方式情報を含む生体認証交渉メッセージを前記クライアント装置から受信する手段、
前記生体認証交渉メッセージ内の生体認証方式情報が前記生体認証方式記憶手段内の各生体認証方式情報のいずれかに一致するか否かを判定する手段、
前記判定の結果が一致を示すとき、当該生体認証方式情報を前記クライアント装置に通知する手段、
前記指定した暗号アルゴリズムを使用して暗号化されたプリマスターシークレットデータを含む第3メッセージを前記クライアント装置から受信する手段、
前記通知の後、前記生体認証方式情報に従って取得された前記ユーザの生体情報が前記第1乱数、前記第2乱数及び前記プリマスターシークレットデータに基づいて暗号化されてなる暗号化生体情報を前記クライアント装置から受信する手段、
前記第3メッセージ内の前記暗号化されたプリマスターシークレットデータを、前記指定した暗号アルゴリズムを使用して復号する手段、
前記第1メッセージ内の第1乱数、前記第2メッセージ内の第2乱数及び前記復号したプリマスターシークレットデータに基づいて、ハッシュアルゴリズムにより暗号化用パラメータを生成する手段、
前記暗号化生体情報を前記暗号化用パラメータに基づいて復号する手段、
前記復号により得られた生体情報を、前記生体参照情報記憶手段内の生体参照情報に基づいて生体認証する生体認証手段、
前記生体認証の結果が不正を示すとき、前記合意処理を中断する手段、
として機能させるためのプログラム。 - ユーザの操作によってサーバ装置との間でネットワークを介して秘匿通信をする前に、前記サーバ装置との間で互いの証明書認証を含む合意処理を実行し、前記証明書認証の結果が正当のとき、前記秘匿通信をするためのセッションを確立可能なクライアント装置のプログラムであって、
前記クライアント装置のコンピュータを、
前記ユーザを生体認証するための生体認証手段、
公開鍵を含むクライアント証明書を証明書記憶手段に書き込む手段、
前記公開鍵に対応する秘密鍵を秘密鍵記憶手段に書き込む手段、
前記合意処理中に、前記ユーザの生体認証の結果に基づいてクライアント証明書を取得する旨を含む第1メッセージを前記サーバ装置に送信する手段、
前記第1メッセージの送信後、前記サーバ装置から乱数を含む第2メッセージを受信する手段、
前記第2メッセージの受信後、前記生体認証手段を起動する手段、
前記乱数を前記秘密鍵に基づいて暗号化し、暗号化乱数を生成する手段、
前記生体認証手段による生体認証の結果が正当のとき、前記証明書記憶手段内のクライアント証明書を前記サーバ装置に送信する手段、
前記生体認証の結果およびその処理の正当性を保証する情報及び前記暗号化乱数から前記秘密鍵に基づいて、認証子を生成する手段、
前記生体認証の結果およびその処理の正当性を保証する情報及び前記暗号化乱数と前記認証子とを含む認証コンテキストを前記サーバ装置に送信することにより、前記合意処理を継続する手段、
として機能させるためのプログラム。 - ユーザに操作されるクライアント装置との間でネットワークを介して秘匿通信をする前に、前記クライアント装置との間で互いの証明書認証を含む合意処理を実行し、前記証明書認証の結果が正当のとき、前記秘匿通信をするためのセッションを確立可能なサーバ装置のプログラムであって、
前記サーバ装置のコンピュータを、
前記合意処理中に、前記ユーザの生体認証の結果に基づいてクライアント証明書を取得する旨を含む第1メッセージを前記クライアント装置から受信する手段、
前記第1メッセージの受信後、乱数を含む第2メッセージを前記クライアント装置に送信する手段、
前記第2メッセージの送信後、前記クライアント装置からクライアント証明書を受信する手段、
前記第2メッセージの送信後、前記ユーザの生体認証の結果と暗号化乱数と認証子とを含む認証コンテキストを前記クライアント装置から受信する手段、
前記受信したクライアント証明書及び認証コンテキストを記憶手段に書き込む手段、
前記記憶手段に記憶された認証コンテキスト内の生体認証の結果が不正を示すとき、前記合意処理を中断する手段、
前記記憶手段に記憶された認証コンテキスト内の暗号化乱数を前記クライアント証明書内の公開鍵に基づいて復号し、得られた乱数が前記第2メッセージ内の乱数と異なるとき、前記合意処理を中断する手段、
前記記憶手段に記憶されたクライアント証明書内の公開鍵に基づいて前記認証子を検証し、検証結果が不正を示すとき、前記合意処理を中断する手段、
として機能させるためのプログラム。 - ユーザの操作によってサーバ装置との間でネットワークを介して秘匿通信をする前に、前記サーバ装置との間で互いの証明書認証を含む合意処理を実行し、前記証明書認証の結果が正当のとき、前記秘匿通信をするためのセッションを確立可能なクライアント装置のプログラムであって、
前記クライアント装置のコンピュータを、
公開鍵を含むクライアント証明書を証明書記憶手段に書き込む手段、
前記公開鍵に対応する秘密鍵を秘密鍵記憶手段に書き込む手段、
前記合意処理の前に、前記ユーザを生体認証するための生体認証手段、
前記生体認証手段の生体認証方式を示す生体認証方式情報を生体認証方式記憶手段に書き込む手段、
前記生体認証の結果およびその処理の正当性を保証する情報と前記生体認証方式情報と前記クライアント証明書とから前記秘密鍵に基づいて、認証子を生成する手段、
前記合意処理の前に、前記生体認証の結果およびその処理の正当性を保証する情報と前記生体認証方式情報と前記クライアント証明書と前記認証子とを含む認証コンテキストを生成する手段、
前記合意処理の前に、前記認証コンテキストをタイムスタンプ提供装置に送信する手段、
前記送信した認証コンテキスト及び前記タイムスタンプ提供装置における日時情報に対して、当該タイムスタンプ提供装置の秘密鍵に基づいて生成されたタイムスタンプが付与されることにより、前記タイムスタンプが付与された認証コンテキストを前記タイムスタンプ提供装置から受信する手段、
前記合意処理中に、前記生体認証方式情報を含む生体認証交渉メッセージを作成し、この生体認証交渉メッセージを前記サーバ装置に送信する手段、
前記生体認証交渉メッセージの送信後、前記サーバ装置から通知された生体認証方式情報に基づいて、前記タイムスタンプが付与された認証コンテキストを前記サーバ装置に送信することにより、前記合意処理を継続する手段、
として機能させるためのプログラム。 - ユーザに操作されるクライアント装置との間でネットワークを介して秘匿通信をする前に、前記クライアント装置との間で互いの証明書認証を含む合意処理を実行し、前記証明書認証の結果が正当のとき、前記秘匿通信をするためのセッションを確立可能なサーバ装置のプログラムであって、
前記サーバ装置のコンピュータを、
受け入れ可能な前記ユーザの生体認証方式を示す複数の生体認証方式情報を生体認証方式記憶手段に書き込む手段、
前記合意処理中に、前記クライアント装置の生体認証方式を示す生体認証方式情報を含む生体認証交渉メッセージを前記クライアント装置から受信する手段、
前記生体認証交渉メッセージ内の生体認証方式情報が前記生体認証方式記憶手段内の各生体認証方式情報のいずれかに一致するか否かを判定する手段、
前記判定の結果が一致を示すとき、当該生体認証方式情報を前記クライアント装置に通知する手段、
前記通知の後、タイムスタンプ提供装置の秘密鍵によるタイムスタンプが付与され且つ前記ユーザの生体認証の結果およびその処理の正当性を保証する情報、生体認証方式情報、クライアント証明書及び認証子を含む認証コンテキストを前記クライアント装置から受信する手段、
前記認証コンテキスト内の生体認証の結果が不正を示すとき、前記合意処理を中断する手段、
前記認証コンテキスト内の生体認証方式情報が前記通知した生体認証方式とは異なるとき、前記合意処理を中断する手段、
前記クライアント証明書内の公開鍵に基づいて前記認証子を検証し、検証結果が不正を示すとき、前記合意処理を中断する手段、
前記タイムスタンプ提供装置の秘密鍵に対応する公開鍵に基づいて前記タイムスタンプを復号し、得られた日時情報と現在の日時情報との差分が予め定めた値よりも大きいとき、前記合意処理を中断する手段、
として機能させるためのプログラム。
Priority Applications (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007210904A JP5132222B2 (ja) | 2007-08-13 | 2007-08-13 | クライアント装置、サーバ装置及びプログラム |
PCT/JP2008/063911 WO2009022560A1 (ja) | 2007-08-13 | 2008-08-01 | クライアント装置、サーバ装置及びプログラム |
KR20097027298A KR101190431B1 (ko) | 2007-08-13 | 2008-08-01 | 클라이언트 장치, 서버 장치 및 기억 매체 |
EP08827219.0A EP2180633A4 (en) | 2007-08-13 | 2008-08-01 | CLIENT DEVICE, SERVER DEVICE, AND PROGRAM |
CN2008800228627A CN101720540B (zh) | 2007-08-13 | 2008-08-01 | 客户端装置、服务器装置和确立安全会话的方法 |
US12/705,323 US8732461B2 (en) | 2007-08-13 | 2010-02-12 | Client apparatus, server apparatus, and program using entity authentication and biometric authentication |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007210904A JP5132222B2 (ja) | 2007-08-13 | 2007-08-13 | クライアント装置、サーバ装置及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009049464A JP2009049464A (ja) | 2009-03-05 |
JP5132222B2 true JP5132222B2 (ja) | 2013-01-30 |
Family
ID=40350615
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007210904A Active JP5132222B2 (ja) | 2007-08-13 | 2007-08-13 | クライアント装置、サーバ装置及びプログラム |
Country Status (6)
Country | Link |
---|---|
US (1) | US8732461B2 (ja) |
EP (1) | EP2180633A4 (ja) |
JP (1) | JP5132222B2 (ja) |
KR (1) | KR101190431B1 (ja) |
CN (1) | CN101720540B (ja) |
WO (1) | WO2009022560A1 (ja) |
Families Citing this family (48)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8892887B2 (en) * | 2006-10-10 | 2014-11-18 | Qualcomm Incorporated | Method and apparatus for mutual authentication |
JP5132222B2 (ja) | 2007-08-13 | 2013-01-30 | 株式会社東芝 | クライアント装置、サーバ装置及びプログラム |
GB2475237B (en) * | 2009-11-09 | 2016-01-06 | Skype | Apparatus and method for controlling communication signalling and media |
GB2475236A (en) * | 2009-11-09 | 2011-05-18 | Skype Ltd | Authentication arrangement for a packet-based communication system covering public and private networks |
US8881257B2 (en) | 2010-01-22 | 2014-11-04 | Interdigital Patent Holdings, Inc. | Method and apparatus for trusted federated identity management and data access authorization |
US8533803B2 (en) * | 2010-02-09 | 2013-09-10 | Interdigital Patent Holdings, Inc. | Method and apparatus for trusted federated identity |
US9183683B2 (en) * | 2010-09-28 | 2015-11-10 | Sony Computer Entertainment Inc. | Method and system for access to secure resources |
FR2970612B1 (fr) * | 2011-01-19 | 2013-01-04 | Natural Security | Procede d'authentification d'un premier equipement de communication par un second equipement de communication |
US9015469B2 (en) | 2011-07-28 | 2015-04-21 | Cloudflare, Inc. | Supporting secure sessions in a cloud-based proxy service |
SG11201405287YA (en) * | 2012-04-01 | 2014-09-26 | Authentify Inc | Secure authentication in a multi-party system |
CN102752298B (zh) * | 2012-06-29 | 2015-04-29 | 华为技术有限公司 | 安全通信方法、终端、服务器及系统 |
CN110569633B (zh) * | 2012-10-25 | 2023-04-18 | 英特尔公司 | 固件中的防盗 |
US8959583B2 (en) * | 2013-02-05 | 2015-02-17 | Ca, Inc. | Access to vaulted credentials using login computer and mobile computing device |
US8997195B1 (en) | 2013-02-05 | 2015-03-31 | Ca, Inc. | Access to vaulted credentials using login computer, mobile computing device, and manager computing device |
US8782774B1 (en) | 2013-03-07 | 2014-07-15 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
US9038130B2 (en) * | 2013-05-14 | 2015-05-19 | Dell Products, L.P. | Sensor aware security policies with embedded controller hardened enforcement |
US9948614B1 (en) * | 2013-05-23 | 2018-04-17 | Rockwell Collins, Inc. | Remote device initialization using asymmetric cryptography |
DE102013222503A1 (de) * | 2013-11-06 | 2015-05-07 | Siemens Aktiengesellschaft | Client-Einrichtung und Verfahren zum Prägen einer Client-Einrichtung auf mindestens eine Server-Einrichtung |
JP6187251B2 (ja) * | 2013-12-27 | 2017-08-30 | 富士通株式会社 | データ通信方法、およびデータ通信装置 |
US9754097B2 (en) | 2014-02-21 | 2017-09-05 | Liveensure, Inc. | Method for peer to peer mobile context authentication |
CN104954327B (zh) * | 2014-03-27 | 2019-02-22 | 东华软件股份公司 | 用于终端连接控制的服务器及方法、终端及方法、和系统 |
CN104954130B (zh) * | 2014-03-31 | 2019-08-20 | 西安西电捷通无线网络通信股份有限公司 | 一种实体鉴别方法及装置 |
US8966267B1 (en) | 2014-04-08 | 2015-02-24 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
US8996873B1 (en) | 2014-04-08 | 2015-03-31 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
US9184911B2 (en) * | 2014-04-08 | 2015-11-10 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
US9977881B2 (en) * | 2014-10-15 | 2018-05-22 | Mastercard International Incorporated | Methods, apparatus and systems for securely authenticating a person depending on context |
CN104660614A (zh) * | 2015-03-16 | 2015-05-27 | 联想(北京)有限公司 | 认证方法、电子设备以及服务器 |
ES2791956T3 (es) * | 2015-06-11 | 2020-11-06 | Siemens Ag | Aparato y procedimiento de autorización para una emisión autorizada de un token de autenticación para un dispositivo |
US10484372B1 (en) * | 2015-12-14 | 2019-11-19 | Amazon Technologies, Inc. | Automatic replacement of passwords with secure claims |
JP6717108B2 (ja) | 2016-08-10 | 2020-07-01 | 富士通株式会社 | 情報処理装置、情報処理システム、プログラム及び情報処理方法 |
JP2018074205A (ja) | 2016-10-24 | 2018-05-10 | 富士通株式会社 | プログラム、情報処理装置、情報処理システム、及び情報処理方法 |
US11218319B2 (en) * | 2017-02-22 | 2022-01-04 | Fingerprint Cards Anacatum Ip Ab | Biometrics-based remote login |
US10333717B2 (en) * | 2017-03-09 | 2019-06-25 | Microsoft Technology Licensing, Llc | Timestamped license data structure |
US10484373B2 (en) | 2017-04-11 | 2019-11-19 | Mastercard International Incorporated | Systems and methods for biometric authentication of certificate signing request processing |
WO2018219462A1 (en) * | 2017-06-01 | 2018-12-06 | Nokia Solutions And Networks Oy | User authentication in wireless access network |
CN109309565B (zh) * | 2017-07-28 | 2021-08-10 | 中国移动通信有限公司研究院 | 一种安全认证的方法及装置 |
JP6866803B2 (ja) * | 2017-08-10 | 2021-04-28 | 富士通株式会社 | 認証システムおよび認証方法 |
CN110389538A (zh) * | 2018-04-20 | 2019-10-29 | 比亚迪股份有限公司 | 车辆及其基于开放平台的车辆安全控制方法、系统 |
WO2019226115A1 (en) * | 2018-05-23 | 2019-11-28 | Sixscape Communications Pte Ltd | Method and apparatus for user authentication |
CN110581829A (zh) * | 2018-06-08 | 2019-12-17 | 中国移动通信集团有限公司 | 通信方法及装置 |
CN109359470B (zh) | 2018-08-14 | 2020-09-01 | 阿里巴巴集团控股有限公司 | 多方安全计算方法及装置、电子设备 |
CN110839240B (zh) * | 2018-08-17 | 2022-07-05 | 阿里巴巴集团控股有限公司 | 一种建立连接的方法及装置 |
EP3674934A1 (en) * | 2018-12-26 | 2020-07-01 | Thales Dis France SA | Biometric acquisition system and method |
US20200280582A1 (en) * | 2019-02-08 | 2020-09-03 | Interbit Data Inc. | Systems, methods and machine readable programs for isolation of data |
CN113726526A (zh) * | 2019-07-05 | 2021-11-30 | 创新先进技术有限公司 | 人脸数据采集、验证的方法、设备及系统 |
US10892901B1 (en) * | 2019-07-05 | 2021-01-12 | Advanced New Technologies Co., Ltd. | Facial data collection and verification |
KR20210045676A (ko) * | 2019-10-17 | 2021-04-27 | 현대자동차주식회사 | 차량용 통신 시스템 및 그를 위한 보안 통신 방법 |
US10903990B1 (en) | 2020-03-11 | 2021-01-26 | Cloudflare, Inc. | Establishing a cryptographic tunnel between a first tunnel endpoint and a second tunnel endpoint where a private key used during the tunnel establishment is remotely located from the second tunnel endpoint |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000003323A (ja) * | 1998-06-15 | 2000-01-07 | Toshiba Corp | 通信速度等が自動設定されるデータ通信装置とこのデータ通信方法 |
JP2003044436A (ja) | 2001-08-02 | 2003-02-14 | Sony Corp | 認証処理方法、および情報処理装置、並びにコンピュータ・プログラム |
US20030115154A1 (en) * | 2001-12-18 | 2003-06-19 | Anderson Anne H. | System and method for facilitating operator authentication |
JP2003224562A (ja) | 2002-01-28 | 2003-08-08 | Toshiba Corp | 個人認証システム及びプログラム |
JP4374904B2 (ja) * | 2003-05-21 | 2009-12-02 | 株式会社日立製作所 | 本人認証システム |
US20040250073A1 (en) * | 2003-06-03 | 2004-12-09 | Cukier Johnas I. | Protocol for hybrid authenticated key establishment |
US7694335B1 (en) * | 2004-03-09 | 2010-04-06 | Cisco Technology, Inc. | Server preventing attacks by generating a challenge having a computational request and a secure cookie for processing by a client |
JP2006011768A (ja) * | 2004-06-25 | 2006-01-12 | Toshiba Corp | 認証システム及び装置 |
JP2007149066A (ja) * | 2005-10-25 | 2007-06-14 | Toshiba Corp | 認証システム、装置及びプログラム |
JP4956096B2 (ja) * | 2006-08-30 | 2012-06-20 | 株式会社東芝 | 認証システム及び装置 |
JP2008171027A (ja) * | 2007-01-05 | 2008-07-24 | Toshiba Corp | 認証システム、装置及びプログラム |
JP5132222B2 (ja) * | 2007-08-13 | 2013-01-30 | 株式会社東芝 | クライアント装置、サーバ装置及びプログラム |
-
2007
- 2007-08-13 JP JP2007210904A patent/JP5132222B2/ja active Active
-
2008
- 2008-08-01 CN CN2008800228627A patent/CN101720540B/zh active Active
- 2008-08-01 KR KR20097027298A patent/KR101190431B1/ko active IP Right Grant
- 2008-08-01 EP EP08827219.0A patent/EP2180633A4/en not_active Withdrawn
- 2008-08-01 WO PCT/JP2008/063911 patent/WO2009022560A1/ja active Application Filing
-
2010
- 2010-02-12 US US12/705,323 patent/US8732461B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2009049464A (ja) | 2009-03-05 |
EP2180633A1 (en) | 2010-04-28 |
CN101720540A (zh) | 2010-06-02 |
KR101190431B1 (ko) | 2012-10-16 |
KR20100023918A (ko) | 2010-03-04 |
WO2009022560A1 (ja) | 2009-02-19 |
CN101720540B (zh) | 2012-08-22 |
US20100191967A1 (en) | 2010-07-29 |
EP2180633A4 (en) | 2015-06-24 |
US8732461B2 (en) | 2014-05-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5132222B2 (ja) | クライアント装置、サーバ装置及びプログラム | |
CA2663241C (en) | System, apparatus, method, and program product for authenticating communication partner using electonic certificate containing personal information | |
US9819666B2 (en) | Pass-thru for client authentication | |
US8438628B2 (en) | Method and apparatus for split-terminating a secure network connection, with client authentication | |
US7797544B2 (en) | Attesting to establish trust between computer entities | |
US20100250951A1 (en) | Common key setting method, relay apparatus, and program | |
JP2002344438A (ja) | 鍵共有システム及び装置並びにプログラム | |
TW200402981A (en) | Methods for remotely changing a communications password | |
JP2015115893A (ja) | 通信方法、通信プログラム、および中継装置 | |
JP2012137975A (ja) | 中継処理装置、及びその制御方法、プログラム | |
US20210392004A1 (en) | Apparatus and method for authenticating device based on certificate using physical unclonable function | |
JP2003124926A (ja) | 暗号化通信システムにおける認証処理方法及びそのシステム | |
JP2012100206A (ja) | 暗号通信中継システム、暗号通信中継方法および暗号通信中継用プログラム | |
CN105471896B (zh) | 基于ssl的代理方法、装置及系统 | |
JP2009199147A (ja) | 通信制御方法および通信制御プログラム | |
JP2004274480A (ja) | 秘匿通信仕様合意システム、装置及びプログラム | |
JP2003224562A (ja) | 個人認証システム及びプログラム | |
JP2009104509A (ja) | 端末認証システム、端末認証方法 | |
JP2004147252A (ja) | 電子証明書およびその作成方法ならびに電子証明書による認証システム | |
JP4071474B2 (ja) | 失効確認装置及び方法 | |
CN114531235B (zh) | 一种端对端加密的通信方法及系统 | |
CN116015906A (zh) | 用于隐私计算的节点授权方法、节点通信方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100319 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20120529 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120703 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120831 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121009 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121106 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151116 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5132222 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |