JP5179471B2 - データを安全に伝送するための装置および方法 - Google Patents
データを安全に伝送するための装置および方法 Download PDFInfo
- Publication number
- JP5179471B2 JP5179471B2 JP2009505310A JP2009505310A JP5179471B2 JP 5179471 B2 JP5179471 B2 JP 5179471B2 JP 2009505310 A JP2009505310 A JP 2009505310A JP 2009505310 A JP2009505310 A JP 2009505310A JP 5179471 B2 JP5179471 B2 JP 5179471B2
- Authority
- JP
- Japan
- Prior art keywords
- client
- key
- puk
- digital certificate
- public key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/067—Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Communication Control (AREA)
- Storage Device Security (AREA)
Description
本発明は、通信路に沿って伝送され、安全にしなければならないデータを暗号化/解読し、可能な場合にはこのデータにデジタル署名するために秘密鍵を使用する、データ伝送を保護するための技術分野に関する。
マサチューセッツ工科大学は「ケルベロス(Kerberos)」として知られるネットワーク認証プロトコルを開発した。このケルベロスは、オープンソースソフトウェアとして入手できるが、市販のソフトウェア製品としても入手できる。ケルベロスは、秘密鍵暗号技術を使用するものであり、ケルベロスサーバーはこれら通信ユニットが自らケルベロスサーバーに対して認証した後に、通信ユニットに対してチケットを配布するようになっている。
中央政府機構により実行されるときに、更に10〜15年以上かかるPKIのフルスケールの実施を待たなくても、通信における高レベルのセキュリティを提供するためのニーズがマーケット内に存在する。
1.はしがき
インターネットを通して提供される膨大なサービスはウェブに基づくアプリケーションであり、これらアプリケーションは、安全でかつ信頼できる通信に依存している。インターネットはリンガフランカとして主にPCT−IPを使用している。IPの強みは容易かつフレキシブルにルーティングされるパッケージにある。これらパッケージは、主要な弱点でもある。IPがこれらパッケージをルーティングする方法は、セキュリティの危険性に対してIPネットワークを脆弱なものにしている。本明細書は、かかる弱点を低減するための解決案を開示するものである。
最近の何十年間の間で、多くの従来からのサービスは、デジタルおよびeビジネスサービスに転換した。今日、何百万人もの人は、供給者と個人的にコンタクトすることなく、オンラインで製品およびサービスを注文している。ウェブショップ、e−チケット、支払い、トラックアンドトレース、製品コンフィギュレーションおよびその他の多くのサービスは完全にデジタル化されている。オンラインビジネスに関係する金額が増加するにつれ、自らの利益のためにインターネットを使用する犯罪者組織の関心も高まっている。このような状況により、安全な通信および/または強力な認証が必要となっている。換言すれば、我々は誰と話をしているのか、会話を誰も聞いたり操作したりしていないことをどのように確認するか、という問題がある。
この問題に対する解決方法は存在する。この目的のために使用される2つの技術として、署名と暗号化がある。ここで、公開鍵と秘密鍵の鍵ペアを含むデジタル証明書の基本について検討する。デジタル証明書は署名と暗号化の双方を行うように設計されている。デジタル証明書は、仮に正しく使用され、かつ正しく使用された場合にしか、この目的を極めて良好に果せない。このことは、正しい管理と、ユーザーの規律と、無被害を意味する。このようなケースでない場合、最初から再びすべてをスタートできる。更にインフラストラクチャおよび教育に対する多額の投資も必要である。いわゆるこの公開鍵インフラストラクチャ(PKI)を維持する時間、努力およびコストも必要であることは言うまでもない。
本発明では、例えば図1に示されているようなセキュリティサーバー4を使用する。セキュリティサーバー4によって、コストの一部が使用され、将来オープンにされるフルブローPKIインフラストラクチャに対する移行のオプションとして、煩雑さを伴なわずに、デジタル証明書の利点をどのように活用できるかを、本明細書は説明するものである。第1章では、セキュリティサーバー4の一般的な原理の広義のアウトラインを示す。その後の章は、個々のコンポーネントの、より多くの技術的な特徴、およびデジタル証明書によって通信を安全にする際に関係する問題を解決する方法に関する。
公開鍵暗号化システムと組み合わせて使用されるIDカードのデジタル均等物のことである。デジタルIDとも称されるこれらデジタル証明書は、VeriSign(www.verisign.com)およびThawte(www.thawte.com)のような証明機関(CA)として知られるトラスト化された第三者によって発行される。CAは公開鍵が特定の会社または個人(サブジェクト)に属すことを証明し、サブジェクトがCAの請求している対象であるかどうかを判断するように進行する有効化プロセスは、証明書のレベルおよびCA自体に応じて決まる。
証明プロセスが完了した後に、CAは、サブジェクトの公開鍵(以下詳細に示す)を含むサブジェクト情報およびCAを含む。CAは証明書内のすべての欄のダイジェスト(ハッシュ)を作成し、その秘密鍵でハッシュ値を暗号化することによって証明書に署名をする。暗号化されたダイジェストはデジタル署名と称されて、この署名がX.509証明書に記載されると、証明書は署名されたものと称される。
受信者側のソフトウェア(一般にウェブブラウザである)により、署名された証明書の証明プロセスが実行される。ブラウザは、ポピュラーなCAおよび自らの公開鍵の内部リストを維持しており、適当な公開鍵を使って署名を解読し、ダイジェスト内に戻す。次にブラウザは、証明書内の平文から自らのダイジェストを再計算し、両者を比較する。双方のダイジェストが一致すれば、証明書の無欠性(不正操作されていないこと)が証明され、証明書内の公開鍵はサブジェクトの有効な公開鍵であるとみなされる。
この時点で、サブジェクトのアイデンティティおよび証明書の無欠性(不正操作されていないこと)が証明されている。証明書は一般に署名されたメッセージまたは署名され実行可能なファイルと組み合わされ、公開鍵を使って署名を証明する(...)。サブジェクトの公開鍵は、暗号化された二方向の通信セッションを有するように、安全な鍵交換を行うのにも使用できる(...)。....
・証明書のフォーマットのバージョン番号
・シリアル番号(CAからのユニークな番号)
・証明書の署名アルゴリズム
・発行者(CAの名称)
・有効開始時/有効終了日
・サブジェクト(証明された会社または個人の名称)
・サブジェクトの公開鍵およびアルゴリズム
・CAの秘密鍵で作成されたデジタル署名
個人または機関のアイデンティティを証明するのに、署名された証明書を使用する。」
基本概念
図1に示されているような一実施例では、本発明にかかわるアーキテクチャはデジタルサービスとクライアントの間に安全なチャンネルを構築するために、相互対話する3つの当事者を含む。すなわちサーバー6、例えばウェブサーバーがサポートするデジタルサービスと、クライアント2(n)(n=1、2、...、N)とセキュリティサーバー4とを含む。ここではクライアントをクライアントとしての役割におけるコンピュータ装置として定義し、クライアントはパソコン、ラップトップ、PDA(パーソナルデジタルアシスタント)、スマートフォンなどのような任意の種類のターミナルでもよいし、またはこれとは異なり、ルーターでもよい。
X.509規格またはそれに等しい規格をサポートするサービスを実行できクライアント2(n)への安全な接続を必要とするサーバー6を、セキュリティサーバー4と組み合わせて使用できる。
・クライアント2(n)のエンドユーザーは、セキュリティサーバー4からの適当なソフトウェアをインストールできる。例えばこの目的のために、サーバーからクライアントにソフトウェアをダウンロードするための、例えば符号署名または従来のX.509技術を使った公知の安全な方法を使用できる。
・インストールする際に、クライアント2(n)でのソフトウェアはユーザーインターフェースを制御し、セキュリティサーバー4との間で安全なチャンネルを構築するためのロジックを含む。
・クライント2(n)上のソフトウェアは、オープンな規格に基づく技術、例えば両側SSL/TLSを使ってデジタルサービスとの間で安全なチャンネルを構築するよう、セキュリティサーバーから検索したクレデンシャルを使用できる。
・中央セキュリティサーバー4は、クライアント2(n)からの着信リクエストを取り扱う。起動されたモジュールおよび選択されたセキュリティ、およびエスカレーションレベルに応じ、セキュリティサーバー4はサーバー6上の対応するデジタルサービスに対して選択された設定に基づき、各着信リクエストを取り扱う。サービスが攻撃を受けているとき、損害を防止するために、セキュリティレベルを、より高いレベルに正しくチューニングすることができる。
通信回線を安全にすること
今日、デジタル証明書は正規に使用されている。インターネットで安全なウェブサイトにアクセスするとき、例えばオンラインでフライトを予約するとき、サーバー6の側でデジタル証明書が使用される。このデジタル証明書は2つの目的のために使用される。1つは、接続の暗号化のために使用され、このデジタル証明書は、ブラウザが、実際に接続中のウェブサイトはブラウザ自身が接続中であると考えるウェブサイトである旨をクライアント2(n)のウェブブラウザに伝える。この意味において、サーバー6が使用するデジタル証明書は、パスポートの所有者を認証するためにパスポートを使用できるように、サーバー6を認証する目的のために働く。クライアント2(n)のブラウザは、セッション全体の間でサーバー6から得られる情報の各部分の正当性をチェックする。
サーバー6にとってデジタル証明書の管理は大きな問題ではない。サーバー6の数が少なく、必要に応じてデジタル証明書をアレンジし、インストールし、アドホックベースでインシデントを処理できる。関係する管理者およびその他の人々の知識を容易に維持できる。
セキュリティの範囲内では、セキュリティのレベルは誤使用が生じたときの誤使用対損害(コスト)を防止するための投資額(コスト)に大きく依存する。これはICT環境内のケースでもある。従って、「組織内の各自は、損害とは何であるか分かっているのか」と疑問に思うであろう。金融機関にとって、侵入はお金の(一時的な)損失を意味し、このような損失は取引限度を設けることによって管理できる。しかしながら、イマーゴ(imago)の損失の結果、新しいサービスの導入が遅れ、このことは短期間および長期間の収入および利益の損失を意味する。本発明の概念を用いれば、異なる必要なレベルのセキュリティを認識でき、このプラットフォームを使用する組織は、賭け金がより高くなるか、またはニーズが生じたときに、このセキュリティレベルをエスカレートすることが認められる。このセキュリティレベルは、クライアント2(n)を認証するためにセキュリティサーバー4が実行する認証プロセスに関連している。
・パスワードを使用するオプション
・ワンタイムのパスワードを使用するオプション(すなわちログインごとに新しいパスワードを使用するオプション)
・チャレンジ−応答プロトコルを使用するオプション(クライアント2(n)しか理解できないサーバーからの質問をクライアント2(n)が受信する)
・ハードウェアのトークン(例えばUSB)を使用するオプション
・スマートカード(例えばGemPlus、Schlumberger)を使用するオプション
・生体の計量的特徴、例えば指紋、光彩認証を使用するオプション
一般に、安全になればなるほど、コストも高くなる。
製品が今日のセキュリティのニーズを取り扱わなければならないだけでなく、将来のセキュリティのニーズも取り扱わなければならないことを念頭に、本発明は開発された。この結果、本発明はプラグインモジュールを有するプラットフォームとして構築された。プラットフォームはすべてのサービスに必要な包括的な機能を取り扱い、このモジュールは、特殊な機能、例えば認証およびeメールのサポートを取り扱う。これによって、プラットフォームを所定の場所に残しながら、機能をアップグレードする余地が残される。他のサービスを乱すことなく、新しいサービスを容易に統合できる。
サーバーのコンポーネントは現在のICT環境となるようにシームレスに統合しなければならないという事実の重要性は、既に認識されている。ライナックスからミッション上重要な環境、例えばHP NonStopプラットフォームまで異なるプラットフォームを選択すると、本発明の中心環境を実現できる。
利点は、PC上で使用することだけに限定されず、モバイルデバイス、例えばPCおよびスマートフォンにも拡張できる。オープンな、規格に基づく技術を使用することにより、将来のデバイスが本明細書に説明するような技術もサポートできることを保証する。
一実施例では、認証アーキテクチャは、クライアントとウェブサーバーとの間の安全な接続を構築するために、3つの当事者が相互対話することから成る。
クライアント2(n)は、ユーザーが認証された後に、セキュリティサーバー4からクライアントアプリケーションソフトウェアを受信する。セキュリティサーバー4から、かかるソフトウェアを安全にダウンロードする公知の技術を使用できる。その代わりに適当なCD−ROMまたは同等物からソフトウェアがロードされている場合がある。アプリケーションソフトウェアはセキュリティサーバー4から有効な一時的デジタル証明書、例えばX.509デジタル証明書を検索する役割を果たす軽いアプリケーションソフトウェアである。このクライアントアプリケーションソフトウェアは、本発明の解決案に対してユーザーインターフェースを提供する。このソフトウェアは、必要なダイアローグボックスをクライアント2(n)のユーザーに提示すると共に、セキュリティサーバー4との安全な接続を構築するためのロジックを含む。この安全な接続は、ディフィ−ヘルマンプロトコルに基づくことができ、このソフトウェアはセキュリティサーバー4とクライアント2(n)との間の暗号化された通信を実現する。
バンクサーバーであるサーバー6との安全な接続をクライアント2(n)が設定したい状況を参照して、基本プロセスについて説明する。この場合、バンクサーバーはメモリ内に安全に記憶されているバンク公開鍵BPuKおよび関連するバンクサーバーの秘密鍵BPrKを含む自己のバンクサーバーデジタル証明書を使用することにより、安全な通信をサポートしている。クライアント2(n)は、次のセクションで説明するように、セキュリティサーバー4と通信するための適当なソフトウェアを自らのメモリ内に記憶していると仮定する。安全な接続をセットアップする際には、2つの別個のステージが存在し、これら2つのステージは、順に実行され、互いに独立している。
第1ステージでは、クライアント2(n)は次のように認証さた後に、デジタル証明書および秘密鍵を受信する。
この目的のためにクライアント2(n)は、セキュリティサーバー4との接続を設定する。接続をセットアップする間、クライアント2(n)とセキュリティサーバー4との間でいくつかのデータが交換される。クライアント2(n)は、上記方法のうちの1つを使って自らをセキュリティサーバー4により認証させるためのデータを送る。認証は、セキュリティサーバー4自身によるか、または外部認証サービス8により制御される認証サービスに基づくことができる。認証に成功した後に、セキュリティサーバー4はクライアント2(n)に一時的デジタル証明書だけでなく、一時的デジタル証明書内の公開鍵に関連する秘密鍵も送る。クライアント2(n)上のソフトウェアを使ってセキュリティサーバー4からクライアント2(n)へ公開鍵に関連する秘密鍵を送信することができ、このソフトウェアは、例えばディフィ−ヘルマンプロトコルに基づき、クライアント2(n)とセキュリティサーバー4との間の安全な接続をサポートできる。デジタル証明書および秘密鍵を、例えばいわゆるPCKS#12パケットで安全に送信できる。しかしながら、本発明はこれだけに限定されない。
第2ステージでは、クライアント2(n)はバンクサーバー6との安全な通信セッションを実行する。次に、クライアント2(n)とバンクサーバー6の双方は、自らのデジタル証明書および自らの秘密鍵を所有しているので、双方の側からこの通信を安全にできる。従って、両者はいわゆる両側SSL(SSL=安全ソケットレイヤー)を設定できる。このことは、第1ステージでセキュリティサーバー4からダウンロードされるようなアプリケーションソフトウェアおよび鍵ペアにより制御される。第2ステージは、セキュリティサーバー4によって制御されない。
このアーキテクチャの主要な利点のうちの1つは、変更をすることなく、オンラインサービスを通常利用できることである。(ほとんどのオンラインサービスに対するケースである)標準的なデジタル証明書を使用してセキュリティを取り扱う限り、サービスを変更しないで、本発明の解決案をオンラインサービスと統合できる。当然ながら、オンラインサービスに基づく規格でない場合、このサービスのためにもセキュリティを利用できるようにするカスタムモジュールを開発できる。
セキュリティサーバー4は、クライアント2(n)にインストールされたクライアントアプリケーションソフトウェアに制御されるように、クライアント2(n)からの着信リクエストを処理する。セキュリティサーバー4は、リクエスト時に必要な鍵ペアを得る必要があるプロトコルを制御する。オプションとして、セキュリティサーバー4は、口座、利用可能な鍵ペアおよび有効なデジタル証明書を記憶するデータベースも管理し、他人(daemons)からのデータベースの問い合わせを処理し、利用できる暗号鍵のストックの管理も行うことができる。利用可能な鍵の量が所定の低スレッショルドよりも低くなると、セキュリティサーバー4は上部スレッショルドに達するまで新しい鍵を発生できる。
デジタル証明書の機関
デジタル証明書の配布と管理のためにプラットフォームを使用する。まずこれらデジタル証明書を発生しなければならない。この発生は、いわゆるデジタル証明書機関を使って行われる。この証明書は、基本的にはデジタル証明書自身であり、新しいデジタル証明書を発生し、署名するのに鍵が使用される。ほとんどの会社は、自らのデジタル証明書機関(CA)を有していない。従って、セキュリティサーバー4はデジタル証明書を発生する内部CAを使用するためのオプションを有する。しかしながら、(例えばボルチモアからの)自らのCAを有する会社もある。従って、セキュリティサーバー4は、かかる第三者のCAによって発生されるデジタル証明書を使用するオプションも有する。
ユーザー認証の2つのグループは次のように区別される。
a)内部認証機構を使ったユーザー認証。この内部認証機構は上記認証機構のうちのいずれかに基づくことができる。
b)認証サービス8を介したように、現在の外部認証システムを使用し、対称鍵発生プロセスにおける外部認証からの結果を使用したユーザー認証(例えばワンタイムパスワードを用いるVasco Digipass)。この目的のために、セキュリティサーバー4はクライアント2(n)のユーザーが自分のクレデンシャルを送信した後に、実際の認証を行うバンクサーバー6に関連する認証プロセッサに接続する。この場合、プラットフォームで現在のユーザー管理を使用し、統合することができる。
内部デジタル証明機関を使用する場合、デジタル証明書で使用するために発生される鍵をあらかじめ発生し、セキュリティサーバー4によって制御されるデータベース内に記憶できる。このことは、セキュリティサーバーが多量のトラヒックを取り扱っていないときに実行できる。次に、後にサービスサーバー4がビジー状態となると、鍵をデータベースから検索できるので、鍵発生のための処理パワーは不要である。
次に本発明の更に別の実施例について説明する。
a.eメールモジュール
概念
eメールはインターネットによって提供される最も一般的に採用される機能のうちの1つである。使用はストレートフォワードで広範に広がっているが、この使用は、通信の最も安全性の低い方法のうちの1つでもある。これは、eメールの会話を安全にするのに、暗号化と署名を使用していないケースである。ちょうどウェブブラウジングのように、このことはセキュリティサーバー4が発行するデジタル証明書を使用して達成できる。
図3を参照し、安全eメールモジュールについて説明する。図1および2内の参照番号と同じ参照番号を有するコンポーネントは、同じコンポーネントを示す。図3は、クライアント2(n)および2(n’)(n≠n’)に接続されたeメールサーバーを示す。クライアント2(n)のユーザーがクライアント2(n’)にeメールメッセージを安全に送りたがっていると仮定する。この場合、ユーザーはeメールアプリケーション、例えばウィドウズのアウトルックをスタートさせる。これまで説明したのと同じように、ユーザーはセキュリティサーバー4からの公開鍵PuK(1)を含む一時的デジタル証明書を受信する。更に上記のように、ユーザーはセキュリティサーバー4から関連する秘密鍵PrK(1)を受信する。
eメールモジュール内と同じように、デジタル文書にデジタル署名するのに使用されるデジタル署名モジュールをクライアント2(n)に設けることができる。
eメール50を参照して説明したのと同じように、クライアント2(n)はセキュリティサーバー4からの公開鍵PuK(1)を含む一時的デジタル証明書を受信する。更に上で説明したように、クライアントはセキュリティサーバー4から関連する秘密鍵PrK(1)を受信する。
金融取引およびビジネス取引のためのインターネットの使用は、日々増加しつつある。オンライン取引に関係する金額が増大するにつれ、組織犯罪の関心も高まっている。結果としてコンピュータ犯罪はより巧妙になっている。フィッシング攻撃は、偽造されたウェブサイトに消費者を導くように、だましeメールを使用しており、偽造ウェブサイトは、受信者をだまして、金融データ、例えばクレジットカード番号、口座のユーザーネーム、パスワードおよびソーシャルセキュリティ番号を漏らしてしまうように設計されている。フィッシングを行う者は、銀行、e小売店およびクレジットカード会社のブランド名を乗っ取っているので、受信者を信じ込ませて応答させてしまうことが多い。
フィッシング方法は、知られている会社のふりをした偽造ウェブサイトに対し、疑いを持たない犠牲者に向けられたものである。ファーミング方法は、一見そっくりのウェブサイトに対するユーザーに向けられたものである。クライアント2(n)にインストールされたフィッシング/ファーミングモジュールは、これを次のように防止する。
上記実施例では、一時的デジタル証明書および関連する秘密鍵がセキュリティサーバー4によりクライアント2(n)へ送られ、クライアント2(n)のメモリ内に記憶されると説明した。しかしながら、セキュリティを高めるためには、上記実施例では、一旦発生されるか、またはクライアント2(n)に関連すると識別されたデジタル証明書および関連する秘密鍵をセキュリティサーバー4がモニタし、可能な場合にはこのサーバーが制御している中央データベースに記憶できる。かかるデータベースは、セキュリティサーバー4内、すなわち遠隔地にあってもよい。そうなっている場合、かかる中央に記憶されるデジタル証明書および関連する秘密鍵を第三者であるサーバー6、例えば政府機関のサーバーで実行されるデジタル署名動作で使用してもよい。この第三者のサーバーは、中央に記憶された証明書および関連する秘密鍵にアクセスするためのセキュリティサーバー4との安全な接続をセットアップできる。次に第三者のサーバーは、クライアント2(n)のためのメッセージに署名するように受信した秘密鍵を使用し、署名したメッセージをクライアント2(n)へ送る。この第三者のサーバーは、このサーバーが署名されたメッセージのコンテンツを証明するのに使用するデジタル証明書内に存在する公開鍵もクライアント2(n)へ送る。
別の実施例では、セキュリティサーバー4は公開鍵および関連する秘密鍵を含む鍵ペアの1つ以上の組を記憶し、クライアントが一時的証明書の送信をリクエストするたびに、これら鍵セットのうちの1つのコピーと共にかかる証明書を送信する。従って、この実施例では2回以上鍵セットを使用できる。証明書は、鍵セットよりも多いデータを含むので、証明書は同じ鍵セットに対してその都度変化することに留意されたい。
次に説明するように、本発明の解決方法は、技術的に安全であり、ユーザーフレンドリーである。この章では、本明細書に説明する技術を使用するサービスのユーザーに対して、本発明が与える影響について説明する。
カスタマー側でのインストールの活動は、絶対最小値まで低減されている。クライアント側での必要な機能のインストールは、現在の技術を使用しながら実行でき、一般にハードウェアのインストールを必要としない。
上記認証メカニズムは使用が極めて容易である。クライアント2(n)に一旦インストールすると、クライアント2(n)上の認証ソフトウェアは、選択された認証方法に応じたUSER IDおよびパスワードのようなクレデンシャルを入力することを除くクライアントの干渉を必要とすることなく、安全な接続を設定する。更に、クライアントソフトウェアは包括的であるので、このソフトウェアをインターネットを介して配布できる。
認証プロセスは完全にトランスペアレントであり、エンドユーザーには見ることができず、エンドユーザーの介入を必要としない。認証はクライアント2(n)が認証の責任を果たすようにすることにより、クライアント2(n)(のユーザー)に対してだけでなく、ウェブサイトのサービスプロバイダに対しても生活をより容易にする。その理由は、ウェブサイトをサポートするウェブサーバーはクライアント2(n)を信頼できる方法で識別でき、かつ誰もクライアント2(n)をだますことができないと事実に依存できるからである。
一般に、安全な通信プラットフォームを導入するには、すべてのクライアント2(n)に鍵を分散しなければならないので、かなりの実施期間および予算を必要とする。特殊なハードウェアが必要となるケースもある。本発明の場合、小さい包括的なソフトウェアクライアントしか必要でなく、このソフトウェアクライアントはインターネットを通してダウンロードできるし、またはCD−ROMを介して配布できる。説明するプラットフォームの技術的影響も最小である。セキュリティサーバー4はウェブサイトのサービスプロバイダの環境の内部または外部に設置できる。
PKIを使用する際に、サービスプロバイダはどのデジタル証明書が発行されたかを管理しなければならないだけでなく、どのデジタル証明書を呼び出さなければならないかも管理しなければらない。これには、大規模で効率的な管理が必要である。別の組織上の影響はトレーニングにある。ある会社に新技術を導入する際には、人をトレーニングしなければならない。PKIプロジェクトがスマートカードを使用する場合、この種のデバイスに関する質問に回答する際に、ヘルプデスクもトレーニングしなければならない。メンテナンスを設定し、ストックを監視し、製品をアップツーデートなものに維持しなければならない。
解決案は中央で容易に管理し、維持できる。この解決案は、すべてのクライアントアクセス特権のリアルタイムの中央での管理、通信保護およびデジタル証明書の管理をサポートする。管理者は、セキュリティ状況の変化にダイナミックに反応し、新しいユーザーまたはサービスをエンロールし、旧いものを削除できる。
財務上のパースペクティブから価格−性能比を検討すると、本発明は他の解決案とは際立って区別できる。クライアントは特殊なハードウェアを必要としないので、ユーザーごとの初期総コストは低い。極めて高額となることが多い頻発するコストは、通常、包括的カスタマーサポートによって生じる。上記のような認証は、エンドユーザーのクライアント2(n)が必要な作業を行うので、エンドユーザーの関与は最小で済む。クライアント2(n)に一旦クライアントソフトウェアがインストールすれば、エンドユーザーの関与はもはや不要である。組織への影響もほとんどなく、新事業部を立ち上げる必要もない。
PKIを使用する際、インフラストラクチャ全体は中央コンポーネント、例えばデジタル証明機関(CA)の無欠性に依存している。不可欠なコンポーネントまたは手順のうちの1つの無欠性がもはや保証できなくなった場合、発行されたすべてのデジタル証明書を呼び出し、新しい証明書に置き換えなければならない。特にデジタル証明書の保管のために、安全なUSBトークン、スマートカードまたは他の任意のハードウェアトークンが使用されているとき、かかる事象の影響は甚大である。すべてのトークンを置き換えなければならなくなる。今日の保険マーケットでは、履歴データがないと、かかる危険に対する保障が困難となる。
Claims (27)
- クライアント(2(n))と第三者のコンピュータ装置(2(n');6)との間の通信セッションにおいて、安全にデータを送信する方法であって、
a)前記クライアント(2(n))とセキュリティサーバー(4)であって、公衆通信ネットワークを介して接続された前記クライアント(2(n))とセキュリティサーバー(4)との間の初期の安全な暗号化された通信セッションを、前記クライアント(2(n))にインストールされたクライアントアプリケーションソフトウェアを用いながらセットアップするステップと、
b)前記初期の安全な暗号化された通信セッションにおいて、所定のセキュリティレベルでの認証プロトコルを使用しながら、前記セキュリティサーバー(4)により制御される認証プロセスにおいて、前記クライアント(2(n))のユーザーを認証するステップと、
c)前記初期の安全な暗号化された通信セッションにおいて、公開鍵(PuK(i))と1つ以上の属性とを含むデジタル証明書および前記公開鍵(PuK(i))に関連する秘密鍵(PrK(i))を前記クライアント(2(n))に送信するステップ(ここで、前記デジタル証明書と前記秘密鍵は、前記クライアント(2(n))に関連したものである)と、
d)前記初期の安全な暗号化された通信セッションにおいて、前記クライアント(2(n))に前記デジタル証明書および秘密鍵を自動的にインストールするステップと、
e)前記公開鍵(PuK(i))および前記秘密鍵(PrK(i))を使用しながら、前記クライアント(2(n))と第三者のコンピュータ装置(2(n');6)との間の通信セッションにおいて、前記安全なデータ送信を実行するステップとを備え、
前記デジタル証明書は、少なくとも1つの属性によって定められる限定された寿命を有し、
前記少なくとも1つの属性は、
・時間を単位とする所定の時間長さと、
・通信セッションの所定の回数と、
・アクションの所定の回数
のうちの少なくとも1つを定める、安全なデータ送信をする方法。 - 前記初期の安全な暗号化された通信セッションは、ディフィ−ヘルマンプロトコルを使用する請求項1記載の方法。
- 前記セキュリティーサーバー(4)から前記クライアント(2(n))へ前記デジタル証明書および秘密鍵をPCKSS−#12パケットで送信する請求項1または2記載の方法。
- 前記公開鍵(PuK(i))と1つ以上の属性とを含む前記デジタル証明書および前記公開鍵(PuK(i))に関連する前記秘密鍵(PrK(i))が利用可能になった後に、これらを前記クライアント(2(n))に送り、このクライアント(2(n))により記憶する、請求項1、2または3に記載の方法。
- 前記公開鍵(PuK(i))と1つ以上の属性とを含む前記デジタル証明書および前記公開鍵(PuK(i))に関連する前記秘密鍵(PrK(i))が利用可能になった後に、これらを前記セキュリティサーバー(4)により記憶する、請求項1、2または3に記載の方法。
- 前記認証アクションは、
・パスワードを使用すること
・ワンタイムパスワードを使用すること
・チャレンジ−応答プロトコルを使用すること
・ハードウェアトークンを使用すること
・スマートカードを使用すること
・生体の計量的特徴を使用すること
のうちの少なくとも1つに基づく、前記請求項1から5のいずれかの請求項に記載の方法。 - 前記第三者のコンピュータ装置は、別のクライアント(2(n’))およびX.509規格をサポートするサービスを行うサーバー(6)のうちの少なくとも1つである、前記請求項1から6のいずれかの請求項に記載の方法。
- 前記安全なデータ送信は、前記公開鍵(PuK(i))による前記データの暗号化および前記秘密鍵(PuK(i))による前記データのデジタル署名のうちの1つに基づく、前記請求項1から7のいずれかの請求項に記載の方法。
- 前記少なくとも1つの属性は、24時間未満の寿命を定める、前記請求項1から8のいずれかの請求項に記載の方法。
- 前記寿命は、1時間未満である、請求項9に記載の方法。
- 通信セッションの前記回数は1回である、前記請求項1から10のいずれかの請求項に記載の方法。
- 前記アクションの前記回数は1回である、前記請求項1から11のいずれかの請求項に記載の方法。
- 前記アクションを前記クライアント(2(n))で作動するウェブブラウザのアクティブ時間として定義する、請求項12に記載の方法。
- 前記認証アクションを、前記セキュリティサーバー(4)の内部の認証サービスおよび前記セキュリティサーバー(4)の外部の認証サービスのうちの少なくとも1つによって実行する、前記請求項1から13のいずれかの請求項に記載の方法。
- 前記公開鍵(PuK(i))および前記秘密鍵(PrK(i))は、これら公開鍵(PuK(i))および秘密鍵(PrK(i))が利用可能になった後に記憶されたままになっている、中央に記憶された鍵セットのうちの鍵のコピーである、前記請求項1から14のいずれかの請求項に記載の方法。
- 前記鍵の前記コピーを1回しか利用可能にしない、請求項15に記載の方法。
- クライアント(2(n))、セキュリティサーバー(4)および第三者のコンピュータ装置(2(n’);6)を含むシステムであって、
a)前記クライアント(2(n))および前記セキュリティサーバー(4)は、公衆通信ネットワークを介して接続され、前記クライアント(2(n))とセキュリティサーバー(4)との間の初期の安全な暗号化された通信セッションを、前記クライアント(2(n))にインストールされたクライアントアプリケーションソフトウェアを用いながらセットアップするようになっており、
b)前記セキュリティサーバーは、所定のセキュリティレベルを有する認証プロトコルを使いながら、前記クライアント(2(n))のユーザーの認証を制御するようになっており、
c)前記セキュリティサーバー(4)は、公開鍵(PuK(i))および1つ以上の属性を含むデジタル証明書および前記公開鍵(PuK(i))に関連する秘密鍵(PrK(i))を前記クライアントに送信するようになっており、前記デジタル証明書および前記秘密鍵は、前記クライアント(2(n))に関連しており、
d)前記クライアント(2(n))は、前記初期の安全な暗号化された通信セッションにおいて、前記デジタル証明書および秘密鍵を自動的にインストールするようになっており、
e)前記クライアント(2(n))および前記第三者のコンピュータ装置(2(n’);6)は、前記公開鍵(PuK(i))および前記秘密鍵(PrK(i))を使用しながら、前記クライアントとコンピュータ装置の間の通信セッションにおいて安全なデータ送信を実行するようになっており、
前記システムは、前記デジタル証明書が少なくとも1つの属性によって定められた限られた寿命を有することを証明すると共に、前記寿命の終了時に前記デジタル証明書を削除するためのプロセッサを備え、前記少なくとも1つの属性は、
・時間を単位とする所定の時間長さ
・通信セッションの所定の回数
・アクションの所定の回数
のうちの1つを定めるシステム。 - 前記クライアント(2(n))は、前記公開鍵(PuK(i))と1つ以上の属性とを含む前記デジタル証明書および前記公開鍵(PuK(i))に関連する前記秘密鍵(PrK(i))を記憶するようになっている請求項17記載のシステム。
- 前記セキュリティサーバー(4)は、前記公開鍵(PuK(i))と1つ以上の属性とを含む前記デジタル証明書および前記公開鍵(PuK(i))に関連する前記秘密鍵(PrK(i))を記憶するようになっている請求項17記載のシステム。
- 前記第三者のコンピュータ装置は、別のクライアント(2(n’))およびX.509規格をサポートするサービスを行うサーバー(6)のうちの少なくとも1つである、請求項17〜19のうちのいずれかに記載のシステム。
- 前記公開鍵(PuK(i))および前記秘密鍵(PrK(i))は、これら公開鍵(PuK(i))および秘密鍵(PrK(i))が利用可能になった後に記憶されたままになっている、中央に記憶された鍵セットのうちの鍵のコピーである、請求項17〜19のうちのいずれかに記載のシステム。
- 前記鍵の前記コピーを1回しか利用可能にしない、請求項21に記載のシステム。
- プロセッサおよびメモリを備えるセキュリティサーバーであって、前記メモリは、前記プロセッサに所定のコンピュータプログラムに関連しているデータおよび命令を記憶しており、
前記所定のプログラムを用いながら前記セキュリティサーバーは、以下のステップを実行するように構成されたものであり、前記ステップは:
a)クライアント(2(n))およびセキュリティーサーバー(4)を接続中の公衆通信ネットワークを介し前記クライアントとの初期の安全な暗号化された通信セッションを、前記クライアント(2(n))にインストールされたクライアントアプリケーションソフトウェアを用いながらセットアップするステップと、
b)前記初期の安全な暗号化された通信セッションにおいて、所定のセキュリティレベルを有する認証プロトコルを使いながら、前記クライアント(2(n))のユーザーを認証するステップと、
c)前記初期の安全な暗号化された通信セッションにおいて、公開鍵(PuK(i))と1つ以上の属性とを含むデジタル証明書および前記公開鍵(PuK(i))に関連する秘密鍵(PrK(i))を前記クライアント(2(n))に送信するステップであって、前記デジタル証明書および前記秘密鍵は、前記クライアント(2(n))に関連しており、
前記デジタル証明書は、少なくとも1つの属性によって定められた限られた寿命を有し、前記少なくとも1つの属性は、
・時間を単位とする所定の時間長さ
・通信セッションの所定の回数
・アクションの所定の回数
のうちの1つを定めるステップ、であるように構成されている
セキュリティサーバー。 - プロセッサおよびメモリを備えるクライアント(2(n))であって、前記メモリは、前記プロセッサに所定のコンピュータプログラムに関連しているデータおよび命令を記憶しており、
前記所定のプログラムを用いながら前記クライアント(2(n))は、以下のステップを実行するように構成されたものであり、前記ステップは:
a)クライアント(2(n))およびセキュリティーサーバー(4)を接続中の公衆通信ネットワークを介し前記クライアントとの初期の安全な暗号化された通信セッションを、前記クライアント(2(n))にインストールされたクライアントアプリケーションソフトウェアを用いながらセットアップし、
b)所定のセキュリティレベルでの認証後に、前記初期の安全な暗号化された通信セッションにおいて、公開鍵(PuK(i))と1つ以上の属性とを含むデジタル証明書を受信し、前記公開鍵(PuK(i))に関連する秘密鍵(PrK(i))を受信し、
c)前記初期の安全な暗号化された通信セッションにおいて、前記デジタル証明書および秘密鍵を自動的にインストールし、
d)前記公開鍵(PuK(i))および前記秘密鍵(PrK(i))を使用しながら、前記クライアント(2(n))と第三者のコンピュータ装置(2(n');6)との間の通信セッションにおいて、前記安全なデータ送信を実行し、
前記公開鍵(PuK(i))および前記秘密鍵(PrK(i))を使用しながら、前記クライアント(2(n))および第三者のコンピュータ装置(2(n’);6)との間の通信セッションにおいて安全なデータ送信を実行できるようにし、
前記クライアント(2(n))は、前記デジタル証明書が少なくとも1つの属性によって定められた限られた寿命を有することを証明すると共に、前記寿命の終了時に前記デジタル証明書を削除するためのプロセッサを備え、前記少なくとも1つの属性は、
・時間を単位とする所定の時間長さ
・通信セッションの所定の回数
・アクションの所定の回数
のうちの1つを定める、ものであるように構成されている
クライアント(2(n))。 - クライアント(2(n))および第三者のコンピュータ装置(2(n’);6)との間の通信セッションにおいて、安全なデータ送信を実行する方法であって、
前記クライアント(2(n))において、
a)クライアント(2(n))およびセキュリティーサーバー(4)を接続中の公衆通信ネットワークを介し前記クライアントとの初期の安全な暗号化された通信セッションを、前記クライアント(2(n))にインストールされたクライアントアプリケーションソフトウェアを用いながらセットアップするステップと、
b)所定のセキュリティレベルでの認証後に、前記初期の安全な暗号化された通信セッションにおいて、公開鍵(PuK(i))と1つ以上の属性とを含むデジタル証明書を受信し、前記公開鍵(PuK(i))に関連する秘密鍵(PrK(i))を受信するステップと、
c)前記初期の安全な暗号化された通信セッションにおいて、前記デジタル証明書および秘密鍵を自動的にインストールするステップと、
d)前記公開鍵(PuK(i))および前記秘密鍵(PrK(i))を使用しながら、前記クライアント(2(n))と第三者のコンピュータ装置(2(n');6)との間の通信セッションにおいて、前記安全なデータ送信を実行するステップと、
e)前記デジタル証明書が少なくとも1つの属性によって定められた限られた寿命を有することを証明すると共に、前記寿命の終了時に前記デジタル証明書を削除するためのステップとを備え、前記少なくとも1つの属性は、
・時間を単位とする所定の時間長さ
・通信セッションの所定の回数
・アクションの所定の回数
のうちの1つを定めるものであるように構成されている方法。 - クライアント(2(n))によってロードされるようになっており、前記クライアント(2(n))が請求項25に記載の方法を実行できるようにする、コンピュータプログラム。
- 請求項26に記載のコンピュータプログラムを含むデータキャリアであって、前記データキャリアは、フロッピー(登録商標)ディスク、CDROM、DVDまたはテープである、前記データキャリア。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP06112432 | 2006-04-10 | ||
EP06112432.7 | 2006-04-10 | ||
PCT/NL2006/050175 WO2007117131A1 (en) | 2006-04-10 | 2006-07-13 | Arrangement of and method for secure data transmission. |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009533945A JP2009533945A (ja) | 2009-09-17 |
JP5179471B2 true JP5179471B2 (ja) | 2013-04-10 |
Family
ID=37596208
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009505310A Expired - Fee Related JP5179471B2 (ja) | 2006-04-10 | 2006-07-13 | データを安全に伝送するための装置および方法 |
Country Status (15)
Country | Link |
---|---|
US (1) | US20090235069A1 (ja) |
EP (1) | EP2011301B1 (ja) |
JP (1) | JP5179471B2 (ja) |
CN (1) | CN101461209A (ja) |
AT (1) | ATE514271T1 (ja) |
AU (1) | AU2006341683A1 (ja) |
CA (1) | CA2649305C (ja) |
CY (1) | CY1111784T1 (ja) |
DK (1) | DK2011301T3 (ja) |
ES (1) | ES2367809T3 (ja) |
PL (1) | PL2011301T3 (ja) |
PT (1) | PT2011301E (ja) |
RU (1) | RU2448365C2 (ja) |
SI (1) | SI2011301T1 (ja) |
WO (1) | WO2007117131A1 (ja) |
Families Citing this family (47)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7162035B1 (en) | 2000-05-24 | 2007-01-09 | Tracer Detection Technology Corp. | Authentication method and system |
US8171567B1 (en) | 2002-09-04 | 2012-05-01 | Tracer Detection Technology Corp. | Authentication method and system |
US8781442B1 (en) * | 2006-09-08 | 2014-07-15 | Hti Ip, Llc | Personal assistance safety systems and methods |
US8135950B2 (en) * | 2007-02-27 | 2012-03-13 | Red Hat, Inc. | Method and apparatus for managing digital certificates |
CN101465732B (zh) * | 2007-12-19 | 2011-04-27 | 联想(北京)有限公司 | 保证数字证书安全的方法及保证数字证书安全的终端 |
US7995196B1 (en) | 2008-04-23 | 2011-08-09 | Tracer Detection Technology Corp. | Authentication method and system |
US8935528B2 (en) * | 2008-06-26 | 2015-01-13 | Microsoft Corporation | Techniques for ensuring authentication and integrity of communications |
US9379895B2 (en) | 2008-07-24 | 2016-06-28 | Zscaler, Inc. | HTTP authentication and authorization management |
US8656462B2 (en) * | 2008-07-24 | 2014-02-18 | Zscaler, Inc. | HTTP authentication and authorization management |
US8806201B2 (en) * | 2008-07-24 | 2014-08-12 | Zscaler, Inc. | HTTP authentication and authorization management |
US9003186B2 (en) * | 2008-07-24 | 2015-04-07 | Zscaler, Inc. | HTTP authentication and authorization management |
US8731519B2 (en) * | 2008-09-08 | 2014-05-20 | At&T Mobility Ii Llc | Mobile handset extension to a device |
US8887264B2 (en) * | 2009-09-21 | 2014-11-11 | Ram International Corporation | Multi-identity access control tunnel relay object |
US8499341B2 (en) * | 2011-02-01 | 2013-07-30 | Microsoft Corporation | Resumable private browsing session |
US8806192B2 (en) | 2011-05-04 | 2014-08-12 | Microsoft Corporation | Protected authorization for untrusted clients |
US9363278B2 (en) * | 2011-05-11 | 2016-06-07 | At&T Mobility Ii Llc | Dynamic and selective response to cyber attack for telecommunications carrier networks |
US9270653B2 (en) * | 2011-05-11 | 2016-02-23 | At&T Mobility Ii Llc | Carrier network security interface for fielded devices |
CN102238191B (zh) * | 2011-08-02 | 2014-07-16 | 熊志海 | 一种法院电子文书送达服务器端、客户端、系统及方法 |
US10044713B2 (en) * | 2011-08-19 | 2018-08-07 | Interdigital Patent Holdings, Inc. | OpenID/local openID security |
CN103686882B (zh) * | 2012-09-18 | 2019-04-05 | 中兴通讯股份有限公司 | 电路交换回落系统中非呼叫业务处理方法、装置和系统 |
CN103001774B (zh) * | 2012-11-30 | 2015-06-17 | 飞天诚信科技股份有限公司 | 一种管理集装文件的方法和装置 |
US9166969B2 (en) * | 2012-12-06 | 2015-10-20 | Cisco Technology, Inc. | Session certificates |
WO2015084755A1 (en) * | 2013-12-02 | 2015-06-11 | Mastercard International Incorporated | Method and system for secure authentication of user and mobile device without secure elements |
CN104767613B (zh) * | 2014-01-02 | 2018-02-13 | 腾讯科技(深圳)有限公司 | 签名验证方法、装置及系统 |
US9407654B2 (en) * | 2014-03-20 | 2016-08-02 | Microsoft Technology Licensing, Llc | Providing multi-level password and phishing protection |
KR101495034B1 (ko) * | 2014-11-21 | 2015-03-02 | 주식회사 시큐브 | 보안 토큰을 이용한 원격 인증 처리 방법 및 원격 인증 시스템 |
EP3231155B1 (en) * | 2014-12-11 | 2021-03-10 | Bitdefender IPR Management Ltd. | Systems and methods for automatic device detection, device management, and remote assistance |
WO2016145425A1 (en) * | 2015-03-12 | 2016-09-15 | Mine Zero Gmbh | Transactional platform |
US10205598B2 (en) | 2015-05-03 | 2019-02-12 | Ronald Francis Sulpizio, JR. | Temporal key generation and PKI gateway |
JP6696126B2 (ja) * | 2015-08-05 | 2020-05-20 | ソニー株式会社 | 制御装置、認証装置、制御システム、および制御方法 |
US10893009B2 (en) * | 2017-02-16 | 2021-01-12 | eTorch Inc. | Email fraud prevention |
CN105516207B (zh) * | 2016-01-28 | 2018-08-14 | 浪潮电子信息产业股份有限公司 | 一种远程认证中证书管理的方法 |
MD4511C1 (ro) * | 2016-04-20 | 2018-03-31 | Анатолий БАЛАБАНОВ | Dispozitiv şi procedeu de protecţie criptografică a informaţiei binare (variante) |
LU93150B1 (en) * | 2016-07-13 | 2018-03-05 | Luxtrust S A | Method for providing secure digital signatures |
GB2554082B (en) * | 2016-09-15 | 2019-09-18 | Gurulogic Microsystems Oy | User sign-in and authentication without passwords |
US10764263B2 (en) * | 2016-11-28 | 2020-09-01 | Ssh Communications Security Oyj | Authentication of users in a computer network |
WO2018111065A1 (es) * | 2016-12-15 | 2018-06-21 | Pacheco Navarro Diana | Modelo para la especificación de trayectorias escolares |
EP3355190A1 (en) * | 2017-01-31 | 2018-08-01 | Sony Corporation | Device and system for maintaining a ditributed ledger |
CN106603577A (zh) * | 2017-02-13 | 2017-04-26 | 沃通电子认证服务有限公司 | 邮件加密的方法及系统 |
RU2679205C1 (ru) * | 2017-12-01 | 2019-02-06 | Борис Алексеевич Хозяинов | Способ сохранения информации для подтверждения отправки сообщения электронной почты |
US11546310B2 (en) * | 2018-01-26 | 2023-01-03 | Sensus Spectrum, Llc | Apparatus, methods and articles of manufacture for messaging using message level security |
CN109379179B (zh) * | 2018-12-19 | 2022-11-18 | 北京百度网讯科技有限公司 | 用于更新数字证书的方法和装置 |
CN110309638B (zh) * | 2019-03-18 | 2022-07-01 | 上海飓金嵘通网络科技有限公司 | 一种基于手机钱包电子证照的授权注册方法及系统 |
RU2739862C2 (ru) * | 2019-06-28 | 2020-12-29 | Акционерное общество "Лаборатория Касперского" | Способ адаптивного выбора путей передачи данных пользователя |
DK180628B1 (en) * | 2019-11-08 | 2021-11-04 | Aeroguest Aps | Method of establishing ad-hoc device-based trust |
CN113873027B (zh) * | 2021-09-24 | 2024-02-27 | 深信服科技股份有限公司 | 一种通信方法及相关装置 |
CN114006736A (zh) * | 2021-10-22 | 2022-02-01 | 中易通科技股份有限公司 | 一种基于硬件密码设备的即时通信消息保护系统及方法 |
Family Cites Families (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10504150A (ja) * | 1994-07-19 | 1998-04-14 | バンカーズ トラスト カンパニー | 商用暗号システムにおけるディジタル署名を安全に使用するための方法 |
US5892900A (en) | 1996-08-30 | 1999-04-06 | Intertrust Technologies Corp. | Systems and methods for secure transaction management and electronic rights protection |
WO1997047109A1 (de) * | 1996-06-05 | 1997-12-11 | Siemens Aktiengesellschaft | Verfahren zum kryptographischen schlüsselmanagement zwischen einer ersten computereinheit und einer zweiten computereinheit |
US6016476A (en) * | 1997-08-11 | 2000-01-18 | International Business Machines Corporation | Portable information and transaction processing system and method utilizing biometric authorization and digital certificate security |
RU2137185C1 (ru) * | 1998-01-09 | 1999-09-10 | Насыпный Владимир Владимирович | Способ комплексной защиты процесса обработки информации в эвм от несанкционированного доступа, программных закладок и вирусов |
AU6097000A (en) * | 1999-07-15 | 2001-02-05 | Frank W Sudia | Certificate revocation notification systems |
US7467099B2 (en) * | 2000-01-13 | 2008-12-16 | Access Co., Ltd. | Information home electric appliance |
US7010683B2 (en) * | 2000-01-14 | 2006-03-07 | Howlett-Packard Development Company, L.P. | Public key validation service |
US6763459B1 (en) * | 2000-01-14 | 2004-07-13 | Hewlett-Packard Company, L.P. | Lightweight public key infrastructure employing disposable certificates |
EP1302053A2 (en) * | 2000-07-14 | 2003-04-16 | Equifax, Inc. | Systems and methods for secured electronic transactions |
AU2001284754B2 (en) * | 2000-08-08 | 2008-01-10 | Wachovia Corporation | Internet third-party authentication using electronic tickets |
AU2001291316A1 (en) * | 2000-09-14 | 2002-03-26 | Probix, Inc. | System for protecting objects distributed over a network |
US20030140252A1 (en) * | 2001-07-20 | 2003-07-24 | Martin Lafon | Authentication process and device |
JP3842100B2 (ja) * | 2001-10-15 | 2006-11-08 | 株式会社日立製作所 | 暗号化通信システムにおける認証処理方法及びそのシステム |
JP2005346120A (ja) * | 2002-05-31 | 2005-12-15 | Mitsui & Co Ltd | ネットワークマルチアクセス方法およびネットワークマルチアクセス用の生体情報認証機能を備えた電子デバイス |
FR2844656B1 (fr) * | 2002-09-18 | 2005-01-28 | France Telecom | Procede de signature electronique, programme et serveur pour la mise en oeuvre du procede |
US7600118B2 (en) * | 2002-09-27 | 2009-10-06 | Intel Corporation | Method and apparatus for augmenting authentication in a cryptographic system |
US7366906B2 (en) * | 2003-03-19 | 2008-04-29 | Ricoh Company, Ltd. | Digital certificate management system, digital certificate management apparatus, digital certificate management method, program and computer readable information recording medium |
US7496755B2 (en) * | 2003-07-01 | 2009-02-24 | International Business Machines Corporation | Method and system for a single-sign-on operation providing grid access and network access |
CN1898624A (zh) * | 2003-12-24 | 2007-01-17 | 皇家飞利浦电子股份有限公司 | 在使用授权证书时维护私密性 |
US20090055642A1 (en) * | 2004-06-21 | 2009-02-26 | Steven Myers | Method, system and computer program for protecting user credentials against security attacks |
US7747862B2 (en) * | 2004-06-28 | 2010-06-29 | Intel Corporation | Method and apparatus to authenticate base and subscriber stations and secure sessions for broadband wireless networks |
US7021534B1 (en) * | 2004-11-08 | 2006-04-04 | Han Kiliccote | Method and apparatus for providing secure document distribution |
JP4403130B2 (ja) * | 2005-10-26 | 2010-01-20 | 株式会社日立製作所 | セキュリティシステム、セキュリティ管理方法、クライアント端末及び認証情報記憶媒体 |
US7966646B2 (en) * | 2006-07-31 | 2011-06-21 | Aruba Networks, Inc. | Stateless cryptographic protocol-based hardware acceleration |
US8225096B2 (en) * | 2006-10-27 | 2012-07-17 | International Business Machines Corporation | System, apparatus, method, and program product for authenticating communication partner using electronic certificate containing personal information |
-
2006
- 2006-07-13 PT PT06757837T patent/PT2011301E/pt unknown
- 2006-07-13 ES ES06757837T patent/ES2367809T3/es active Active
- 2006-07-13 JP JP2009505310A patent/JP5179471B2/ja not_active Expired - Fee Related
- 2006-07-13 US US12/296,909 patent/US20090235069A1/en not_active Abandoned
- 2006-07-13 AU AU2006341683A patent/AU2006341683A1/en not_active Abandoned
- 2006-07-13 EP EP06757837A patent/EP2011301B1/en active Active
- 2006-07-13 DK DK06757837.7T patent/DK2011301T3/da active
- 2006-07-13 AT AT06757837T patent/ATE514271T1/de active
- 2006-07-13 RU RU2008144205/08A patent/RU2448365C2/ru active
- 2006-07-13 CA CA2649305A patent/CA2649305C/en not_active Expired - Fee Related
- 2006-07-13 WO PCT/NL2006/050175 patent/WO2007117131A1/en active Application Filing
- 2006-07-13 CN CNA2006800549008A patent/CN101461209A/zh active Pending
- 2006-07-13 PL PL06757837T patent/PL2011301T3/pl unknown
- 2006-07-13 SI SI200631110T patent/SI2011301T1/sl unknown
-
2011
- 2011-08-26 CY CY20111100818T patent/CY1111784T1/el unknown
Also Published As
Publication number | Publication date |
---|---|
RU2008144205A (ru) | 2010-05-20 |
EP2011301A1 (en) | 2009-01-07 |
SI2011301T1 (sl) | 2011-10-28 |
JP2009533945A (ja) | 2009-09-17 |
CA2649305A1 (en) | 2007-10-18 |
CN101461209A (zh) | 2009-06-17 |
US20090235069A1 (en) | 2009-09-17 |
PT2011301E (pt) | 2011-09-23 |
CY1111784T1 (el) | 2015-10-07 |
PL2011301T3 (pl) | 2011-11-30 |
WO2007117131A1 (en) | 2007-10-18 |
ATE514271T1 (de) | 2011-07-15 |
AU2006341683A1 (en) | 2007-10-18 |
ES2367809T3 (es) | 2011-11-08 |
RU2448365C2 (ru) | 2012-04-20 |
CA2649305C (en) | 2014-05-06 |
DK2011301T3 (da) | 2011-10-17 |
EP2011301B1 (en) | 2011-06-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5179471B2 (ja) | データを安全に伝送するための装置および方法 | |
US11757641B2 (en) | Decentralized data authentication | |
US11232496B2 (en) | System and method for providing limited access to data | |
US9002018B2 (en) | Encryption key exchange system and method | |
US20090240936A1 (en) | System and method for storing client-side certificate credentials | |
US20070162961A1 (en) | Identification authentication methods and systems | |
KR20100017704A (ko) | 인증서 레지스트리, 인증서 레지스트리 시스템 및 방법 | |
US7428637B1 (en) | Dynamic authentication and initialization method | |
JP2018026631A (ja) | Ssl通信システム、クライアント、サーバ、ssl通信方法、コンピュータプログラム | |
US11888997B1 (en) | Certificate manager | |
Brauer | Authentication and security aspects in an international multi-user network | |
KR102211033B1 (ko) | 전자인증절차의 대행 서비스 시스템 | |
Reddy et al. | Block Chain for Financial Application using IOT | |
Jabłoński et al. | Information systems development and usage with consideration of privacy and cyber security aspects | |
McDaniel | Authentication | |
Sullivan | The Shortcut Guide to Extended Validation SSL Certificates | |
Nourai et al. | Securing Online Accounts via New Handshake Protocol and Granular Access Control | |
Jani et al. | Securing Website by Secure Sockets Layer in Wireless Network | |
Abboud | Security of electronic banking in Lebanon: status and prospects | |
Anderson | Secure sockets layer certificate vulnerabilities: An examination of challenges affecting authentication of secure websites |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111014 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120116 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120123 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120214 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120221 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120314 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120322 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120416 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120525 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120827 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120914 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120925 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20121004 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20121004 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121214 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130109 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5179471 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |