JP5215289B2 - 分散式の委任および検証のための方法、装置、およびシステム - Google Patents

分散式の委任および検証のための方法、装置、およびシステム Download PDF

Info

Publication number
JP5215289B2
JP5215289B2 JP2009504924A JP2009504924A JP5215289B2 JP 5215289 B2 JP5215289 B2 JP 5215289B2 JP 2009504924 A JP2009504924 A JP 2009504924A JP 2009504924 A JP2009504924 A JP 2009504924A JP 5215289 B2 JP5215289 B2 JP 5215289B2
Authority
JP
Japan
Prior art keywords
delegation
service
verification
self
signed
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009504924A
Other languages
English (en)
Other versions
JP2010520518A (ja
Inventor
チウ・チュアン−フェン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Holdings Corp
Original Assignee
Panasonic Corp
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Industrial Co Ltd filed Critical Panasonic Corp
Publication of JP2010520518A publication Critical patent/JP2010520518A/ja
Application granted granted Critical
Publication of JP5215289B2 publication Critical patent/JP5215289B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は、委任(delegation)および検証(verification)のための方法、装置、およびシステムに関し、さらに詳しくは分散式の委任および検証のための方法、装置、およびシステムに関する。
ネットワークがますます普及するにつれて、サービス要求者は、ネットワークを介して無数のサービス提供者によって提供されるサービスを使用することができる。デバイスが他のデバイスと安全なサービスの共有を実行できるように、サービス提供者として機能するデバイスが、いくつかの他のデバイスに対して委任を実行し、次にこれらのデバイスが、別のデバイスに対して委任を実行でき、結果として、委任を受けたすべてのデバイスが、サービス要求者となって、サービス提供者によって提供されるサービスを使用することができる。この場合、すべてのデバイスの間の委任の関係を、中央のサーバによって集中的なやり方で直接的に管理することが可能である。
しかしながら、特定の状況(例えば、制限されたネットワーク環境)のもとでは、必ずしもすべてのデバイスが中央のサーバへとアクセスできるわけではないため、このサービス共有を実行することができない。したがって、そのような状況のもとでは、分散的な管理を使用する必要がある。
図1を参照すると、米国特許出願公開第20020073308号が、属性証明書を管理するための方法を開示している。この方法は、サービス提供者11、サービス要求者12、およびデータベース13を含むシステムにおいて使用するために適している。サービス提供者11が、委任元である。サービス要求者12が、委任先であり、属性証明書16を有している。データベース13が、サービス要求者12の公開鍵証明書17、および属性証明書16を発行しているオーソリティ(authority)の公開鍵証明書18を保存している。
サービス提供者11が、サービス要求者12から属性証明書16を受信し、属性証明書16から公開鍵証明書ロケータ161を抽出する。公開鍵証明書ロケータ161は、サービス要求者12の公開鍵証明書17ならびに属性証明書16を発行しているオーソリティの公開鍵証明書18の位置を特定している。サービス提供者11は、公開鍵証明書ロケータ161を使用して、サービス要求者12の公開鍵証明書17ならびに属性証明書16を発行しているオーソリティの公開鍵証明書18をデータベース13から抽出し、抽出した公開鍵証明書17、18を使用して属性証明書16の検証を行う。検証に成功すると、サービス提供者11は、サービス要求者12に対し、管理されているリソースへのアクセスを属性証明書16に保存された権限属性に従って許可する。
システムが、属性証明書を有する少なくとも1つのサービス・ノード(図示されていない)をさらに含んでいる場合、サービス提供者11が、おおもとの委任元であり、サービス要求者12が、最終的な委任先であり、サービス・ノードが、最初に中間の委任先として機能し、次いで、委任を受けた後に中間の委任元として機能する。委任の際に、サービス提供者11は、サービス・ノードおよびサービス要求者12の属性証明書を受信し、検証しなければならない。しかしながら、サービス・ノードの数が多くなると、サービス提供者11が、かなりの量の演算リソースを検証に費やさなければならない。
図2を参照すると、米国特許出願公開第20040073801号が、縦列状の委任のための方法を開示している。この方法を、この方法がサービス提供者21、2つのサービス・ノード22、23、およびサービス要求者24を含むシステムにおいて使用される例を用いて、以下で説明する。この方法は、以下のステップ、すなわち
・サービス提供者21が、第1の委任トークンをサービス・ノード22へと送信するステップ、
・サービス・ノード22が、サービス提供者21へと応答を送信するステップ、
・サービス提供者21が、第1の委任トークンの署名(signature)を含んでいる第1の署名をサービス・ノード22へと送信するステップ、
・サービス・ノード22が、第2の委任トークンをサービス・ノード23へと送信するステップ、
・サービス・ノード23が、サービス・ノード22へと応答を送信するステップ、
・サービス・ノード22が、サービス・ノード22からの第2の委任トークンの署名と、サービス提供者21からの第1の委任トークンと、第1の委任トークンの署名とを含んでいる第2の署名を、サービス・ノード23へと送信するステップ、
・サービス・ノード23が、第3の委任トークンをサービス要求者24へと送信するステップ、
・サービス要求者24が、サービス・ノード23へと応答を送信するステップ、および
・サービス・ノード23が、サービス・ノード23からの第3の委任トークンの署名と、サービス・ノード22からの第2の委任トークンと、第2の委任トークンの署名と、サービス提供者21からの第1の委任トークンと、第1の委任トークンの署名とを含んでいる第3の署名を、サービス要求者24へと送信するステップ
を含んでいる。
サービス要求者24は、サービス提供者21によって提供されるサービスの使用を望む場合、第3の署名を、検証のためにサービス提供者21へと送信しなければならない。
この縦列状の委任方法においては、サービス提供者21およびサービス・ノード22、23の委任トークンならびに委任トークンの署名が、サービス要求者24への署名を生成すべく数珠繋ぎにされるため、サービス・ノードの数が多いと、結果として生成される署名がきわめて長くなり、多量のネットワーク通信リソースを無駄に使用するだけでなく、サービス提供者21が、かなりの量の演算リソースを検証に費やさなければならない。
米国特許出願公開第20040117623号が、セキュアな通信リンクの初期化の方法を開示している。この特許文献は、考え方において上述の特許出願公開第20040073801号に類似しているため、説明の目的のために、同じ図2および同じ参照番号を利用することにする。この方法を、この方法がサービス提供者21、2つのサービス・ノード22、23、およびサービス要求者24を含むシステムにおいて使用される例を用いて、説明する。この方法は、以下のステップ、すなわち
・サービス提供者21が、第1の鍵および関連の第1の要求データを含んでいる第1のトークンと、サービス提供者21の秘密鍵を第1の鍵および第1の要求データの少なくとも一方を操作するように使用して生成されたデータを含んでいる第1の認証データと、を含んでいる第1のメッセージを生成するステップ、
・サービス提供者21が、サービス・ノード22との共有の公知鍵を使用して第1のメッセージを暗号化するステップ、
・サービス提供者21が、セキュアな通信リンクを初期化すべく、暗号化した第1のメッセージをサービス・ノード22へと送信するステップ、
・サービス・ノード22が、サービス提供者21との共有の公知鍵を使用して、暗号化されている第1のメッセージを復号化するステップ、
・サービス・ノード22が、第2の鍵および関連の第2の要求データを含んでいる第2のトークンと、サービス・ノード22の秘密鍵を第2の鍵および第2の要求データの少なくとも一方を操作するように使用して生成されたデータを含んでいる第2の認証データと、第1のトークンと、第1の認証データと、を含んでいる第2のメッセージを生成するステップ、
・サービス・ノード22が、サービス・ノード23との共有の公知鍵を使用して第2のメッセージを暗号化するステップ、
・サービス・ノード22が、セキュアな通信リンクを初期化すべく、暗号化した第2のメッセージをサービス・ノード23へと送信するステップ、
・サービス・ノード23が、サービス・ノード22との共有の公知鍵を使用して、暗号化されている第2のメッセージを復号化するステップ、
・サービス・ノード23が、第3の鍵および関連の第3の要求データを含んでいる第3のトークンと、サービス・ノード23の秘密鍵を第3の鍵および第3の要求データの少なくとも一方を操作するように使用して生成されたデータを含んでいる第3の認証データと、第2のトークンと、第2の認証データと、第1のトークンと、第1の認証データと、を含んでいる第3のメッセージを生成するステップ、
・サービス・ノード23が、サービス要求者24との共有の公知鍵を使用して第3のメッセージを暗号化するステップ、
・サービス・ノード23が、セキュアな通信リンクを初期化すべく、暗号化した第3のメッセージをサービス要求者24へと送信するステップ、および
・サービス要求者24が、サービス・ノード23との共有の公知鍵を使用して、暗号化されている第3のメッセージを復号化するステップ
を含んでいる。
サービス要求者24は、サービス提供者21によって提供されるサービスを使用する必要がある場合、第3のメッセージを、検証のためにサービス提供者21へと送信しなければならない。
このセキュアな通信リンクの初期化の方法は、サービス提供者21およびサービス・ノード22、23のトークンならびに認証データを数珠繋ぎにしてサービス要求者24へのメッセージを生成するため、サービス・ノードの数が多いと、結果として生成されるメッセージが過剰に長くなり、多量のネットワーク通信リソースを無駄に使用するだけでなく、サービス提供者21が、かなりの量の演算リソースを検証に費やさなければならない。
したがって、本発明の目的は、分散式の委任および検証のための方法であって、データの伝送の量を少なくすることができ、過大に大きな演算量が一点に集中することがないようにできる方法を提供することにある。
本発明の別の目的は、分散式の委任および検証のためのシステムであって、データの伝送の量を少なくすることができ、過大に大きな演算量が一点に集中することがないようにできるシステムを提供することにある。
本発明のさらなる目的は、分散式の委任および検証のための装置であって、データの伝送の量を少なくすることができ、過大に大きな演算量が一点に集中することがないようにできる装置を提供することにある。
したがって、本発明の分散式の委任および検証のための方法は、サービス提供者、第1のサービス・ノード、およびサービス要求者を含む委任の連鎖において使用されるように構成され、しかもそれぞれが委託元識別子、委託先識別子、おおもとの委託元識別子および委任情報を含むテーブルを有し、以下のステップ、すなわち
(A)前記サービス提供者が、前記委任情報であって自身の認証信任状および自署名信任状を含む第1の委任情報を生成し、前記第1のサービス・ノードのテーブルに、生成した前記第1の委任情報が送り込まれ、前記第1のサービス・ノードのテーブルを更新することにより、前記サービス要求者と前記第1のサービス・ノードとの委任関係を確立するステップ、
(B)前記第1のサービス・ノードが、前記第1の委任情報内の認証信任状および自身の自署名信任状を含む第2の委任情報を生成し、前記サービス要求者のテーブルに、生成した前記第2の委任情報が送り込まれ、前記サービス要求者のテーブルを更新することにより、前記第1のサービス・ノードと前記サービス要求者との委任関係を確立するステップ、
(C)前記サービス要求者へと発行された委任情報を含んでいるサービス要求を前記サービス要求者から受信したときに、前記サービス提供者が、前記第1のサービス・ノードに対して、サービス要求内の委任情報の自署名信任状の検証を要請するステップ、
(D)前記第1のサービス・ノードが、検証を実行するステップ、および
(E)前記第1のサービス・ノードによる検証が成功したときに、前記サービス提供者が、サービス要求内の委任情報の認証信任状を検証し、検証が成功したときにサービス要求を承諾するステップ
を含んでいる。
本発明の分散式の委任および検証のためのシステムは、おおもとの委任元、中間の委任元および委任先、ならびに最終の委任先としてそれぞれ働くサービス提供者、少なくとも1つのサービス・ノード、ならびにサービス要求者を含んでいる。
サービス提供者は、自身の認証信任状および自署名信任状を含む第1の委任情報を生成して、自身の委任先との委任関係を確立し、サービス要求内の自署名信任状の検証を、サービス要求者の委任元に対して要請し、自身の委任先による検証が成功したときに、サービス要求内の認証信任状を検証し、認証信任状の検証に成功したときにサービス要求を承諾する。
それぞれのサービス・ノードは、第1の委任情報内の認証信任状および自身の自署名信任状を含む第2の委任情報を生成して、自身の委任先との委任関係を確立し、検証するように要請された自署名信任状を検証し、検証に成功したときに、自身へと発行された第2の委任情報内の自署名信任状の検証を、自身の委任元に対して要請する。
サービス要求者は、自身へと発行された委任情報を含むサービス要求を、サービス提供者へと提出する。
本発明の分散式の委任および検証のための装置は、サービス提供者、少なくとも1つのサービス・ノード、およびサービス要求者を含む委任の連鎖において使用されるように構成され、委任ユニットおよび検証ユニットを備えている。
委任ユニットは、自身の委任元との委任関係を確立し、さらに認証信任状および自署名信任状を含む委任情報を生成して、自身の委任先との委任関係を確立する。
検証ユニットは、検証するように要請された自署名信任状を、前記委任ユニットによって確立した委任関係にもとづいて検証する。
本発明の他の特徴および利点が、添付の図面を参照して、好ましい実施形態についての以下の詳細な説明において明らかになるであろう。
図3および4を参照すると、分散式の委任および検証のための本発明による方法の好ましい実施形態が、サービス提供者36、サービス要求者39、および少なくとも1つのサービス・ノードを含む委任の連鎖において使用されるように構成されている。サービス提供者36が、おおもとの委任元である。サービス要求者39が、最終的な委任先である。サービス・ノードは、最初は中間の委任先として機能し、委任元によって委任された後に、中間の委任元として機能する。サービス要求者39が、サービス提供者36にサービスの提供を要求するとき、サービス提供者36が、サービス要求者39への委任の検証を助けるようにサービス・ノードに要請する。この方法は、以下で2つのサービス・ノード37、38を含む委任の連鎖の手段を例にして説明される委任の手順および検証の手順を含む。
委任の手順は、以下のステップを含んでいる。
ステップ301において、サービス提供者36が、第1の委任情報を生成する。
この実施形態においては、委任情報は、委任元の自署名信任状および許可されるサービスに関する認証信任状を含んでいる。認証信任状は、おおもとの委任元によって生成される。したがって、ステップ301において、第1の委任情報は、サービス提供者36の自署名信任状C_provider、およびサービス提供者36によって生成された認証信任状A_providerを含んでいる。
ステップ302において、サービス提供者36は、自身の対外委任テーブルに記録されている委任関係を更新する。
この実施形態においては、対外委任テーブルは、委任元の識別子、委任先の識別子、おおもとの委任元の識別子、および委任元によって生成された委任情報を含んでいる。したがって、ステップ302において、対外委任テーブルは、サービス提供者36の識別子、サービス・ノード37の識別子、サービス提供者36の識別子、サービス提供者36の自署名信任状C_provider、およびサービス提供者36によって生成された認証信任状A_providerを含む。
ステップ303において、サービス提供者36は、上述のように生成された第1の委任情報を、サービス・ノード37(この時点においては、中間の委任先として働く)へと送信する。
ステップ304において、サービス・ノード37は、自身の委任受け付けテーブルに記録されている委任関係を更新する。
この実施形態においては、委任受け付けテーブルは、委任元の識別子、委任先の識別子、おおもとの委任元の識別子、および委任元によって生成された委任情報を含んでいる。したがって、ステップ304において、委任受け付けテーブルは、サービス提供者36の識別子、サービス・ノード37の識別子、サービス提供者36の識別子、サービス提供者36の自署名信任状C_provider、およびサービス提供者36によって生成された認証信任状A_providerを含む。
サービス提供者36は、上述のステップ301〜304によって、サービス・ノード37との委任関係を確立する。
ステップ305において、サービス・ノード37(この時点においては、中間の委任元として働く)が、第2の委任情報を生成する。このステップにおいて、第2の委任情報は、サービス・ノード37の自署名信任状CA、およびサービス提供者36によって生成された認証信任状A_providerを含む。
ステップ306において、サービス・ノード37は、自身の対外委任テーブルに保存されている委任関係を更新する。このステップにおいて、対外委任テーブルは、サービス・ノード37の識別子、サービス・ノード38の識別子、サービス提供者36の識別子、サービス・ノード37の自署名信任状CA、およびサービス提供者36によって生成された認証信任状A_providerを含む。
ステップ307において、サービス・ノード37は、上述のように生成された第2の委任情報を、サービス・ノード38(この時点においては、中間の委任先として働く)へと送信する。
ステップ308において、サービス・ノード38が、自身の委任受け付けテーブルに記録されている委任関係を更新する。このステップにおいて、委任受け付けテーブルは、サービス・ノード37の識別子、サービス・ノード38の識別子、サービス提供者36の識別子、サービス・ノード37の自署名信任状CA、およびサービス提供者36によって生成された認証信任状A_providerを含む。
サービス・ノード37は、上述のステップ305〜308によって、サービス・ノード38との委任関係を確立する。
ステップ309において、サービス・ノード38(この時点においては、中間の委任元として働く)が、第3の委任情報を生成する。このステップにおいて、第3の委任情報は、サービス・ノード38の自署名信任状CB、およびサービス提供者36によって生成された認証信任状A_providerを含む。
ステップ310において、サービス・ノード38は、自身の対外委任テーブルに記録されている委任関係を更新する。このステップにおいて、対外委任テーブルは、サービス・ノード38の識別子、サービス要求者39の識別子、サービス提供者36の識別子、サービス・ノード38の自署名信任状CB、およびサービス提供者36によって生成された認証信任状A_providerを含む。
ステップ311において、サービス・ノード38は、上述のように生成された第3の委任情報を、サービス要求者39へと送信する。
ステップ312において、サービス要求者39が、自身の委任受け付けテーブルに記録されている委任関係を更新する。このステップにおいて、委任受け付けテーブルは、サービス・ノード38の識別子、サービス要求者39の識別子、サービス提供者36の識別子、サービス・ノード38の自署名信任状CB、およびサービス提供者36によって生成された認証信任状A_providerを含む。
サービス・ノード38は、上述のステップ309〜312によって、サービス要求者39との委任関係を確立する。
検証の手順は、以下のステップを含んでいる。
ステップ401において、サービス要求者39が、サービス要求者39へと発行された委任情報を含んでいるサービス要求を、サービス提供者36へと提出する。このステップにおいて、委任情報は、サービス・ノード38の自署名信任状CB、およびサービス提供者36によって生成された認証信任状A_providerを含んでいる。
ステップ402において、サービス提供者36は、自身の対外委任テーブルに保存されている委任関係によれば、サービス要求者39が委任を受けていないと判断する(すなわち、対外委任テーブルにある委任先の識別子が、サービス要求者39の識別子とは異なるとの判断)。
ステップ403において、サービス提供者36は、サービス・ノード38に対し、サービス要求内の委任情報の自署名信任状を検証するように要請する。このステップにおいて、自署名信任状は、サービス・ノード38の自署名信任状CBである。
ステップ404において、サービス・ノード38は、検証するように要請された自署名信任状を検証するために、自身の対外委任テーブルに保存されている委任関係を利用する。
この実施形態においては、サービス・ノード38は、検証するように要請された自署名信任状が、自身の対外委任テーブルに保存されている自署名信任状と同じであるか否かを判断する(すなわち、検証するように要請された自署名信任状が、自身の自署名信任状と同じであるか否かを判断する)とともに、対外委任テーブル内の委任先の識別子が、サービス要求者39の識別子と同じであるか否かを判断する(すなわち、サービス要求者39と自身との間に委任関係が存在するか否かを判断する)。
ステップ405において、サービス・ノード38は、自身の委任受け付けテーブルに保存されている委任関係を利用して、自身がサービス・ノード37による委任を受けていると判断する。
ステップ406において、サービス・ノード38は、自身へと発行された第2の委任情報内の自署名信任状を検証するよう、サービス・ノード37に対して要請する。このステップにおいて、自署名信任状は、サービス・ノード37の自署名信任状CAである。
ステップ407において、サービス・ノード37は、検証するように要請された自署名信任状を検証するために、自身の対外委任テーブルに保存されている委任関係を利用する。
この実施形態においては、サービス・ノード37は、検証するように要請された自署名信任状が、自身の対外委任テーブル内の自署名信任状と同じであるか否かを判断する(すなわち、検証するように要請された自署名信任状が、自身の自署名信任状と同じであるか否かを判断する)とともに、対外委任テーブル内の委任先の識別子が、サービス・ノード38の識別子と同じであるか否かを判断する(すなわち、サービス・ノード38と自身との間に委任関係が存在するか否かを判断する)。
ステップ408において、サービス・ノード37は、自身の委任受け付けテーブルに保存されている委任関係を利用して、自身がサービス提供者36による委任を受けていると判断する。
ステップ409において、サービス・ノード37は、自身へと発行された第1の委任情報内の自署名信任状を検証するよう、サービス提供者36に対して要請する。このステップにおいて、自署名信任状は、サービス提供者36の自署名信任状C_providerである。
ステップ410において、サービス提供者36は、検証するように要請された自署名信任状、ならびにサービス要求内の委任情報の認証信任状を検証するために、自身の対外委任テーブルに保存されている委任関係を利用する。
この実施形態においては、サービス提供者36は、検証するように要請された自署名信任状、ならびにサービス要求内の委任情報の認証信任状が、自身の対外委任テーブル内の自署名信任状および認証信任状と同じであるか否かを判断する(すなわち、検証するように要請された自署名信任状が、自身の自署名信任状と同じであるか否かを判断し、サービス要求内の委任情報の認証信任状が、上述のように生成した認証信任状と同じであるか否かを判断する)とともに、自身の対外委任テーブル内の委任先の識別子が、サービス・ノード37の識別子と同じであるか否かを判断する(すなわち、サービス・ノード37と自身との間に委任関係が存在するか否かを判断する)。
ステップ411において、サービス提供者36は、サービス要求者39によって提出されたサービス要求を許可する。
この本発明による分散式の委任および検証のための方法は、サービス提供者36、サービス要求者39、および少なくとも1つのサービス・ノードを含む委任の連鎖において使用されるように構成されているが、1つのサービス提供者および1つのサービス要求者だけしか存在しない筋書きにおける使用に合わせて構成することも可能である。
上述の説明は、サービス提供者36、サービス・ノード37、38、およびサービス要求者39がお互いに対してどのように動作するかに向けられている。次に、サービス提供者36およびサービス・ノード37、38によって使用される装置、ならびにそれらの動作の流れを、以下で詳しく説明する。
図5を参照すると、サービス提供者36およびサービス・ノード37、38のそれぞれによって使用される分散式の委任および検証のための装置は、通信ユニット501、委任データベース502、鍵データベース503、アドレス・データベース504、アドレス決定ユニット505、委任ユニット506、および検証ユニット507を含んでいる。
通信ユニット501は、外部へのデータの送信および外部からのデータの受信に使用される。
委任データベース502は、委任関係を記録するために、対外委任テーブルおよび委任受け付けテーブルの少なくとも一方を保存する。
鍵データベース503は、少なくとも1つの鍵を保存する。
アドレス・データベース504は、当該装置と直接的な委任または被委任の関係を有している委任の連鎖における他の装置のアドレス情報を保存する。
アドレス決定ユニット505は、アドレス・データベース504を更新するために使用され、アドレス・データベース504から検証ユニット507が求めるアドレス情報を割り出すために使用される。
図5および6を参照すると、分散式の委任および検証のための装置がサービス提供者36に設置される場合、委任の手順の際の委任ユニット506の動作の流れは、以下のステップを含む。
ステップ611において、認証信任状が生成される。
ステップ612において、サービス提供者36の自署名信任状が、対称または非対称暗号技法を使用し、鍵データベース503に保存されている鍵に従って生成される。
ステップ613において、委任データベース502に保存されている対外委任テーブルが更新される。このとき、アドレス決定ユニット505が、アドレス・データベース504を更新する。
ステップ614において、認証信任状および自署名信任状が、通信ユニット501によってサービス提供者36の委任先へと送信される。
図5および7を参照すると、分散式の委任および検証のための装置が、サービス提供者36に設置される場合、検証ユニット507の動作の流れは、以下のステップを含む。
ステップ621において、サービス要求者39から送信されたサービス要求(発行済みの自署名信任状および認証信任状を含んでいる)が、通信ユニット501によって受信される。次いで、流れはステップ622へと進む。
ステップ622において、サービス要求者39がサービス提供者36による委任を受けているか否かが、委任データベース502に保存されている対外委任テーブルに従って判断される。判断の結果が肯定である場合、流れはステップ627へと進む。判断の結果が否である場合には、流れはステップ623へと進む。
ステップ623において、通信ユニット501を介して、サービス要求者39の委任元に対して、サービス要求内の自署名信任状を検証するように要請が行われる。このとき、アドレス決定ユニット505が、サービス要求者39の委任元のアドレス情報を割り出す。次いで、流れはステップ624へと進む。
ステップ624において、信号(検証失敗の信号、または委任を受けたサービス・ノードによって受信された自署名信任状でありうる)が、通信ユニット501を介してサービス・ノードから受信される。次いで、流れはステップ625へと進む。
ステップ625において、検証失敗の信号が受信されたか否かが判断される。判断の結果が肯定である場合、流れはステップ629へと進む。判断の結果が否である場合には、流れはステップ626へと進む。
ステップ626において、ステップ624において受信された自署名信任状が正しいか否かが、委任データベース502に保存されている対外委任テーブルに従って検証される。検証の結果が肯定である場合、流れはステップ627へと進む。検証の結果が否である場合には、流れはステップ629へと進む。
ステップ627において、ステップ621において受信された認証信任状が正しいか否かが、委任データベース502に保存されている対外委任テーブルに従って検証される。検証の結果が肯定である場合、流れはステップ628へと進む。検証の結果が否である場合には、流れはステップ629へと進む。
ステップ628において、許可信号が、通信ユニット501を介してサービス要求者39へと送信される。
ステップ629においては、拒絶信号が、通信ユニット501を介してサービス要求者39へと送信される。
図5および8を参照すると、分散式の委任および検証のための装置がサービス・ノード37、38に設置される場合、委任を受ける動作の際の委任ユニット506の動作の流れは、以下のステップを含む。
ステップ701において、自身の委任元から送信された認証信任状および自署名信任状が、通信ユニット501を介して受信される。
ステップ702において、委任データベース502に保存されている委任受け付けテーブルが更新される。このとき、アドレス決定ユニット505が、アドレス・データベース504を更新する。
図5および9を参照すると、分散式の委任および検証のための装置がサービス・ノード37、38に設置される場合、委任の手順の際の委任ユニット506の動作の流れは、以下のステップを含む。
ステップ711において、サービス提供者36によって生成された認証信任状が用意される。
ステップ712において、当該サービス・ノードの自署名信任状が、対称または非対称暗号の技術を使用し、鍵データベース503に保存されている鍵に従って生成される。
ステップ713において、委任データベース502に保存されている対外委任テーブルが更新される。このとき、アドレス決定ユニット505が、アドレス・データベース504を更新する。
ステップ714において、認証信任状および自署名信任状が、通信ユニット501によって当該サービス・ノードの委任先へと送信される。
図5および10を参照すると、分散式の委任および検証のための装置がサービス・ノード37、38に設置される場合、検証ユニット507の動作の流れは、以下のステップを含む。
ステップ721において、当該サービス・ノードにおける検証が要請された自署名信任状が、通信ユニット501によって受信される。流れはステップ722へと進む。
ステップ722において、ステップ721において受信された自署名信任状が正しいか否かが、委任データベース502に保存されている対外委任テーブルに従って検証される。検証の結果が肯定である場合、流れはステップ723へと進む。検証の結果が否である場合には、流れはステップ725へと進む。
ステップ723において、当該サービス・ノードの委任元が、委任データベース502に保存されている委任受け付けテーブルに従って割り出される。流れはステップ724へと進む。
ステップ724において、当該サービス・ノードの委任元に対して、当該サービス・ノードへと発行された自署名信任状を検証するように、通信ユニット501を介して要請が行われる。このとき、アドレス決定ユニット505が、当該サービス・ノードの委任元のアドレス情報を割り出す。
ステップ725においては、検証失敗信号が、通信ユニット501によってサービス提供者36へと送信される。このとき、アドレス決定ユニット505が、サービス提供者36のアドレス情報を割り出す。
ステップ403および623において、サービス提供者36が、サービス要求内の委任情報がサービス・ノード38によって発行されたものであることを、ポイント‐トゥ‐ポイントの照会サービスによって判断できることに注意すべきである。次いで、サービス提供者36は、サービス・ノード38に対して、サービス要求内の自署名信任状の検証を要請する。あるいは、サービス提供者36は、サービス・ノード37との間に確立された委任関係にもとづき、サービス・ノード37に対して、サービス要求内の自署名信任状の検証を要請できる。サービス・ノード37が検証を進め、検証が不可能である場合には、サービス・ノード38との間に確立された委任関係にもとづき、サービス・ノード38に対して、サービス要求内の自署名信任状の検証を要請する。
ステップ725において、サービス・ノード37、38は、ポイント‐トゥ‐ポイントの照会サービスによってサービス提供者36のアドレス情報を発見することができ、次いで検証失敗信号をサービス提供者36へと送信することができる。あるいは、サービス・ノード37、38は、自身の委任元との間に確立された委任関係にもとづき、自身の委任元へと検証失敗信号を送信することができる。次いで、この委任元が、この委任元の委任元との間に確立された委任関係にもとづき、委任元の委任元へと検証失敗信号を送信する。このプロセスが、検証失敗信号をサービス提供者36へと送信すべく繰り返される。例えば、サービス・ノード38が、サービス・ノード37との間に確立された委任関係にもとづき、サービス・ノード37へと検証失敗信号を送信し、次にサービス・ノード37が、サービス提供者36との間に確立された委任関係にもとづき、サービス提供者36へと検証失敗信号を送信する。
本発明による分散式の委任および検証のためのシステムは、上述のサービス提供者36、サービス・ノード37、38、およびサービス要求者39を含んでいる。
本発明においてセキュアなサービス共有をどのように実現できるのかを説明するために、簡単な例を以下に提示する。
図11を参照すると、サービス提供者91が、自身の認証信任状および自署名信任状を含む第1の委任情報を生成し、サービス・ノード92との委任関係を確立する。サービス・ノード93が、この第1の委任情報を盗み、第1の委任情報内の認証信任状および自身の自署名信任状を含む第2の委任情報を生成し、サービス・ノード94との委任関係を確立する。サービス・ノード94が、第2の委任情報内の認証信任状および自身の自署名信任状を含む第3の委任情報を生成し、サービス要求者95との委任関係を確立する。
図12を参照すると、サービス要求者95が、自身へと発行された委任情報(すなわち、第3の委任情報)を含むサービス要求を、サービス提供者91へと提出する。サービス提供者91が、サービス・ノード94に対し、サービス要求内の委任情報の自署名信任状を検証するように要請する。サービス・ノード94は、検証を実行し、検証に成功すると、サービス・ノード93に対して、第2の委任情報内の自署名信任状を検証するように要請する。サービス・ノード93が、検証を実行し、検証に成功すると、サービス提供者91に対して第1の委任情報内の自署名信任状を検証するように要請する。サービス提供者91が、自身の対外委任テーブルに従って検証を実行し、自身とサービス・ノード93との間に委任の関係が存在しないことを確認する(サービス・ノード93の識別子が、サービス提供者91の対外委任テーブルに記録されていないため)。したがって、サービス提供者91は、サービス要求者95によって提出されたサービス要求を拒絶する。
要約すると、それぞれの委任情報がいずれも、委任元の自署名信任状および許可されるサービスに関する認証信任状だけしか含まず、サービス・ノードの数が増えても長くなることがないため、送信されるデータの量を少なくすることができる。さらに、それぞれの委任情報内の自署名信任状が、当該委任情報の生成者によって検証されるため、サービス提供者に大きな演算負荷が加わることを防止することができる。したがって、従来技術と比べて、本発明は、確かに意図される目的を達成することができる。
以上、本発明を最も現実的かつ好ましい実施形態であると考えられる内容に関して説明したが、本発明が、本明細書に開示された実施形態に限定されず、最も広い解釈の精神および範囲に含まれる種々の構成を包含し、そのような変形および均等な構成を網羅することを理解すべきである。
本発明は、分散式の委任および検証のための方法、装置、およびシステムに適用可能である。
属性証明書の管理に使用される従来からの方法を説明するための概略図である。 従来からの縦列状の委任の方法およびセキュアな通信リンクの従来からの初期化方法を説明するための概略図である。 本発明による分散式の委任および検証のための方法の好ましい実施形態について、委任の手順を説明するための流れ図である。 好ましい実施形態の方法における検証の手順を説明するための流れ図である。 本発明による分散式の委任および検証のための装置の好ましい実施形態を説明するためのブロック図である。 上記装置がサービス提供者に設置されたときの委任の動作を説明するための流れ図である。 上記装置がサービス提供者に設置されたときの検証の動作を説明するための流れ図である。 上記装置がサービス・ノードに設置されたときの委任の受け付けの動作を説明するための流れ図である。 上記装置がサービス・ノードに設置されたときの委任の動作を説明するための流れ図である。 上記装置がサービス・ノードに設置されたときの検証の動作を説明するための流れ図である。 本発明による分散式の委任および検証のための方法の好ましい実施形態について、異常な委任手順を説明するための概略図である。 本発明による分散式の委任および検証のための方法の好ましい実施形態について、異常な委任を防止するための検証手順を説明するための概略図である。

Claims (25)

  1. サービス提供者、第1のサービス・ノード、およびサービス要求者を含む委任の連鎖において使用されるように構成され、しかもそれぞれが委託元識別子、委託先識別子、おおもとの委託元識別子および委任情報を含むテーブルを有した、分散式の委任および検証のための方法であって、
    (A)前記サービス提供者が、前記委任情報であって自身の認証信任状および自署名信任状を含む第1の委任情報を生成し、前記第1のサービス・ノードのテーブルに、生成した前記第1の委任情報が送り込まれ、前記第1のサービス・ノードのテーブルを更新することにより、前記サービス提供者と前記第1のサービス・ノードとの委任関係を確立するステップ、
    (B)前記第1のサービス・ノードが、前記第1の委任情報内の認証信任状および自身の自署名信任状を含む第2の委任情報を生成し、前記サービス要求者のテーブルに、生成した前記第2の委任情報が送り込まれ、前記サービス要求者のテーブルを更新することにより、前記第1のサービス・ノードと前記サービス要求者との委任関係を確立するステップ、
    (C)前記サービス要求者へと発行された委任情報を含んでいるサービス要求を前記サービス要求者から受信したときに、前記サービス提供者が、前記第1のサービス・ノードに対して、サービス要求内の委任情報の自署名信任状の検証を要請するステップ、
    (D)前記第1のサービス・ノードが、検証を実行するステップ、および
    (E)前記第1のサービス・ノードによる検証が成功したときに、前記サービス提供者が、サービス要求内の委任情報の認証信任状を検証し、検証が成功したときにサービス要求を承諾するステップ、
    を含んでいる方法。
  2. 前記第1のサービス・ノードが、検証するように要請された自署名信任状が自身の自署名信任状と同じであるか否かを、確立済みの委任関係にもとづいて判断する請求項1に記載の分散式の委任および検証のための方法。
  3. ステップ(D)において、検証が成功したときに、前記第1のサービス・ノードが、前記サービス提供者に対し、前記第1の委任情報内の自署名信任状を検証するように要請し、ステップ(E)において、前記サービス提供者が、検証するように要請された自署名信任状が自身の自署名信任状と同じであるか否かを、確立済みの委任関係にもとづいてさらに判断する請求項2に記載の分散式の委任および検証のための方法。
  4. 委任の連鎖が、第2のサービス・ノードをさらに含んでおり、
    ステップ(B)において、前記第1のサービス・ノードが、最初に第2の委任情報を使用して前記第2のサービス・ノードとの委任関係を確立し、さらに前記第2のサービス・ノードが、前記第2の委任情報内の認証信任状および自身の自署名信任状を含む第3の委任情報を生成して、前記サービス要求者との委任関係を確立し、
    ステップ(C)において、前記サービス提供者が、最初に前記第2のサービス・ノードに対してサービス要求内の委任情報の自署名信任状の検証を要請し、前記第2のサービス・ノードが、検証を実行し、検証が成功したときに前記第1のサービス・ノードに対して前記第2の委任情報内の自署名信任状の検証を要請する請求項1に記載の分散式の委任および検証のための方法。
  5. ステップ(C)において、サービス提供者が、前記第2のサービス・ノードに対して、サービス要求内の委任情報の自署名信任状の検証を以下のやり方で要請し、
    すなわち前記サービス提供者が、最初に前記第1のサービス・ノードに対して、前記サービス提供者との確立済みの委任関係にもとづいてサービス要求内の委任情報の自署名信任状を検証するように要請し、前記第1のサービス・ノードが、検証を実行し、検証が不可能であるときに、前記第2のサービス・ノードに対して、前記第1のサービス・ノードとの確立済みの委任関係にもとづいてサービス要求内の委任情報の自署名信任状を検証するように要請する請求項4に記載の分散式の委任および検証のための方法。
  6. ステップ(C)において、前記サービス提供者が、前記第2のサービス・ノードに対して、前記サービス要求内の委任情報の自署名信任状の検証を以下のやり方で要請し、
    すなわちサービス提供者が、最初にポイント‐トゥ‐ポイントの照会サービスを使用して、サービス要求内の委任情報が前記第2のサービス・ノードによって署名および発行されたことを発見し、次いで前記第2のサービス・ノードに対して、サービス要求内の委任情報の自署名信任状の検証を要請する請求項4に記載の分散式の委任および検証のための方法。
  7. 前記第1、第2それぞれのサービス・ノードが、検証するように要請された自署名信任状が自身の自署名信任状と同じであるか否かを、確立済みの委任関係にもとづいて判断する請求項4に記載の分散式の委任および検証のための方法。
  8. 分散式の委任および検証のためのシステムであって、
    おおもとの委任元、中間の委任先および委任元、ならびに最終の委任先としてそれぞれ働くサービス提供者、少なくとも1つのサービス・ノード、ならびにサービス要求者を含んでおり、しかも、それぞれが委託元識別子、委託先識別子、おおもとの委託元識別子および委任情報を含むテーブルを有したシステムであって
    前記サービス提供者は、前記委任情報であって自身の認証信任状および自署名信任状を含む第1の委任情報を生成して、前記サービス・ノードのテーブルに、生成した前記第1の委任情報が送り込まれ、前記サービス・ノードのテーブルを更新することにより、前記サービス提供者と自身の委任先との委任関係を確立し、サービス要求内の自署名信任状の検証を、前記サービス要求者の委任元に対して要請し、自身の委任先による検証が成功したときに、サービス要求内の認証信任状を検証し、認証信任状の検証に成功したときにサービス要求を承諾し、
    前記少なくとも1つのサービス・ノードは、第1の委任情報内の認証信任状および自身の自署名信任状を含む第2の委任情報を生成して、前記サービス要求者のテーブルに、生成した前記第2の委任情報が送り込まれ、前記サービス要求者のテーブルを更新することにより、前記少なくとも1つのサービス・ノードと自身の委任先との委任関係を確立し、検証するように要請された自署名信任状を検証し、検証に成功したときに、自身へと発行された第2の委任情報内の自署名信任状の検証を、自身の委任元に対して要請し、
    前記サービス要求者は、自身へと発行された委任情報を含むサービス要求を、前記サービス提供者へと提出するシステム。
  9. 前記少なくとも1つのサービス・ノードが、検証するように要請された自署名信任状が自身の自署名信任状と同じであるか否かを、確立済みの委任関係にもとづいて判断する請求項8に記載の分散式の委任および検証のためのシステム。
  10. 前記サービス提供者の委任先が、検証に成功したときに、第1の委任情報内の自署名信任状を検証するように前記サービス提供者に対してさらに要請し、前記サービス提供者が、検証するように要請された自署名信任状が自身の自署名信任状と同じであるか否かを、確立済みの委任関係にもとづいてさらに判断する請求項9に記載の分散式の委任および検証のためのシステム。
  11. 前記サービス提供者が、前記サービス要求者の委任元に対して、サービス要求内の自署名信任状の検証を以下のやり方で要請し、
    すなわち前記サービス提供者が、自身の委任先に対して、前記サービス提供者との確立済みの委任関係にもとづいてサービス要求内の自署名信任状を検証するように要請し、前記少なくとも1つのサービス・ノードが、サービス要求内の自署名信任状を検証し、検証が不可能であるときに、自身の委任先に対して、前記サービス・ノードとの確立済みの委任関係にもとづいてサービス要求内の自署名信任状を検証するように要請する請求項8に記載の分散式の委任および検証のためのシステム。
  12. 前記サービス提供者が、前記サービス要求者の委任元を、ポイント‐トゥ‐ポイントの照会サービスを使用して発見する請求項8に記載の分散式の委任および検証のためのシステム。
  13. サービス提供者、少なくとも1つのサービス・ノード、およびサービス要求者を含む委任の連鎖において使用されるように構成され、しかもそれぞれが委託元識別子、委託先識別子、おおもとの委託元識別子および委任情報を含むテーブルを有した、分散式の委任および検証のための装置であって、
    ・自身の認証信任状および自署名信任状を含む第1の委任情報を生成して、前記第1の委任情報を含むテーブルを更新することにより、自身と自身の委任元との委任関係を確立し、さらに認証信任状および自署名信任状を含む第2の委任情報を生成して、前記第2の委任情報を含むテーブルを更新することにより、自身と自身の委任先との委任関係を確立する委任ユニット、および
    ・検証するように要請された自署名信任状を、前記委任ユニットによって確立した委任関係にもとづいて検証する検証ユニット
    を備えている装置。
  14. 少なくとも1の鍵を保存する鍵データベースをさらに備えており、
    前記委任ユニットが、前記鍵データベースの前記鍵に従って、対称および非対称暗号技法の1つを使用して自署名信任状を生成する請求項13に記載の分散式の委任および検証のための装置。
  15. 前記第1の委任情報を含むテーブルは、委任受け付けテーブルであり、前記第2の委任情報を含むテーブルは対外委任テーブルである、請求項13に記載の分散式の委任および検証のための装置。
  16. アドレス決定ユニットをさらに備えており、
    該アドレス決定ユニットが、前記委任ユニットによって確立された委任関係にもとづいて、自身の委任先および自身の委任元のアドレス情報の保存および割り出しを行う請求項13に記載の分散式の委任および検証のための装置。
  17. サービス提供者に設置されたときに、
    前記委任ユニットが、当該サービス提供者の認証信任状および自署名信任状を含む第1の委任情報を生成して、当該サービス提供者の委任先との委任関係を確立し、
    前記検証ユニットが、前記サービス要求者の委任元に対して、前記サービス要求者へと発行された委任情報を含んでいるサービス要求内の自署名信任状を検証するように要請し、当該サービス提供者の委任先による検証が成功したときに、サービス要求内の認証信任状を検証し、認証信任状の検証に成功したときにサービス要求を承諾する請求項13に記載の分散式の委任および検証のための装置。
  18. 前記検証ユニットが、当該サービス提供者の委任先によって検証するように要請された自署名信任状をさらに検証する請求項17に記載の分散式の委任および検証のための装置。
  19. 前記検証ユニットが、検証するように要請された自署名信任状が当該サービス提供者の自署名信任状と同じであるか否かを、前記委任ユニットによって確立された委任関係にもとづいて判断する請求項18に記載の分散式の委任および検証のための装置。
  20. 前記サービス提供者の検証ユニットが、前記サービス要求者の委任元に対して、サービス要求内の自署名信任状の検証を以下のやり方で要請し、
    すなわち当該検証ユニットが、当該サービス提供者の委任先に対して、前記委任ユニットによって確立された委任関係にもとづいてサービス要求内の自署名信任状を検証するように要請する請求項17に記載の分散式の委任および検証のための装置。
  21. 前記サービス提供者の検証ユニットが、前記サービス要求者の委任元を、ポイント‐トゥ‐ポイントの照会サービスを使用して発見する請求項17に記載の分散式の委任および検証のための装置。
  22. 前記サービス・ノードに設置されたときに、
    前記委任ユニットが、サービス提供者の認証信任状および自署名信任状を含んでいる第1の委任情報のうちの認証信任状と、当該サービス・ノードの自署名信任状とを含む第2の委任情報を生成して、当該サービス・ノードの委任先との委任関係を確立し、
    前記検証ユニットが、当該サービス・ノードの委任先によって検証するように要請された自署名信任状を検証し、検証に成功したときに、当該サービス・ノードの委任元に対して、当該サービス・ノードの委任元によって発行された第2の委任情報内の自署名信任状を検証するように要請する請求項13に記載の分散式の委任および検証のための装置。
  23. 前記検証ユニットが、検証するように要請された自署名信任状が当該サービス・ノードの自署名信任状と同じであるか否かを、前記委任ユニットによって確立された委任関係にもとづいて判断する請求項22に記載の分散式の委任および検証のための装置。
  24. 前記サービス提供者の委任先に設置されたときに、
    前記検証ユニットが、検証に成功したときに、第1の委任情報内の自署名信任状を検証するように前記サービス提供者に対してさらに要請する請求項22に記載の分散式の委任および検証のための装置。
  25. 前記検証ユニットが、当該サービス・ノードの委任元によって検証するように要請されたサービス要求内の自署名信任状をさらに検証し、検証が不可能であるときに、当該サービス・ノードの委任先に対して、前記委任ユニットによって確立された委任関係にもとづいてサービス要求内の自署名信任状を検証するように要請する請求項22に記載の分散式の委任および検証のための装置。
JP2009504924A 2007-03-05 2008-02-29 分散式の委任および検証のための方法、装置、およびシステム Expired - Fee Related JP5215289B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CNA2007100854596A CN101262342A (zh) 2007-03-05 2007-03-05 分布式授权与验证方法、装置及系统
CN200710085459.6 2007-03-05
PCT/JP2008/054103 WO2008111494A1 (en) 2007-03-05 2008-02-29 Method, apparatus and system for distributed delegation and verification

Publications (2)

Publication Number Publication Date
JP2010520518A JP2010520518A (ja) 2010-06-10
JP5215289B2 true JP5215289B2 (ja) 2013-06-19

Family

ID=39619208

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009504924A Expired - Fee Related JP5215289B2 (ja) 2007-03-05 2008-02-29 分散式の委任および検証のための方法、装置、およびシステム

Country Status (4)

Country Link
US (1) US20100154040A1 (ja)
JP (1) JP5215289B2 (ja)
CN (1) CN101262342A (ja)
WO (1) WO2008111494A1 (ja)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100805341B1 (ko) * 1999-06-18 2008-02-20 이촤지 코포레이션 가상 지불 계정을 이용하여 인터네트워크상에서 상품,서비스 및 콘텐츠를 주문하는 방법 및 장치
CN101764791B (zh) * 2008-12-24 2013-08-28 华为技术有限公司 一种业务链中的用户身份验证方法、设备及系统
US8505078B2 (en) 2008-12-28 2013-08-06 Qualcomm Incorporated Apparatus and methods for providing authorized device access
US8572709B2 (en) * 2010-05-05 2013-10-29 International Business Machines Corporation Method for managing shared accounts in an identity management system
AU2010246354B1 (en) 2010-11-22 2011-11-03 Microsoft Technology Licensing, Llc Back-end constrained delegation model
US9237155B1 (en) 2010-12-06 2016-01-12 Amazon Technologies, Inc. Distributed policy enforcement with optimizing policy transformations
US8769642B1 (en) * 2011-05-31 2014-07-01 Amazon Technologies, Inc. Techniques for delegation of access privileges
US11250423B2 (en) * 2012-05-04 2022-02-15 Institutional Cash Distributors Technology, Llc Encapsulated security tokens for electronic transactions
US10410212B2 (en) * 2012-05-04 2019-09-10 Institutional Cash Distributors Technology, Llc Secure transaction object creation, propagation and invocation
US10423952B2 (en) 2013-05-06 2019-09-24 Institutional Cash Distributors Technology, Llc Encapsulated security tokens for electronic transactions
CN102882882B (zh) * 2012-10-10 2015-11-04 深圳数字电视国家工程实验室股份有限公司 一种用户资源授权方法
CN104243491B (zh) * 2014-09-30 2017-08-29 深圳数字电视国家工程实验室股份有限公司 一种可信安全服务的控制方法及系统
CN106911641A (zh) * 2015-12-23 2017-06-30 索尼公司 用于授权访问的客户端装置、服务器装置和访问控制系统
US10419214B2 (en) * 2015-12-28 2019-09-17 Dell Products L.P. Mobile device management delegate for managing isolated devices
US10735425B2 (en) * 2017-01-31 2020-08-04 Pivotal Software, Inc. Invocation path security in distributed systems
CN106960128B (zh) * 2017-04-01 2019-07-02 浙江新安国际医院有限公司 基于分布式验证技术的智慧医疗数据管理方法及系统
CN107566337B (zh) * 2017-07-26 2019-08-09 阿里巴巴集团控股有限公司 一种区块链节点间的通信方法及装置
CN107862569A (zh) * 2017-10-31 2018-03-30 北京知果科技有限公司 知识产权经纪人服务方法、装置和服务器
US10735205B1 (en) * 2019-03-08 2020-08-04 Ares Technologies, Inc. Methods and systems for implementing an anonymized attestation chain

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000041035A (ja) * 1998-07-23 2000-02-08 Ntt Data Corp 認証システム、認証方法、及び記録媒体
US6367009B1 (en) * 1998-12-17 2002-04-02 International Business Machines Corporation Extending SSL to a multi-tier environment using delegation of authentication and authority
US6711679B1 (en) * 1999-03-31 2004-03-23 International Business Machines Corporation Public key infrastructure delegation
JP2002139997A (ja) * 2000-11-02 2002-05-17 Dainippon Printing Co Ltd 電子捺印システム
JP2002163235A (ja) * 2000-11-28 2002-06-07 Mitsubishi Electric Corp アクセス権限譲渡装置、共有リソース管理システム及びアクセス権限設定方法
US7356690B2 (en) * 2000-12-11 2008-04-08 International Business Machines Corporation Method and system for managing a distributed trust path locator for public key certificates relating to the trust path of an X.509 attribute certificate
US7073195B2 (en) * 2002-01-28 2006-07-04 Intel Corporation Controlled access to credential information of delegators in delegation relationships
GB2392590B (en) * 2002-08-30 2005-02-23 Toshiba Res Europ Ltd Methods and apparatus for secure data communication links
GB2410660B (en) * 2002-10-14 2005-10-19 Toshiba Res Europ Ltd Methods and systems for flexible delegation
JP2004272669A (ja) * 2003-03-10 2004-09-30 Hitachi Ltd グリッドコンピューティングにおける課金管理方法及び課金管理装置
US20050172013A1 (en) * 2004-02-04 2005-08-04 Tan Yih-Shin Methods, systems, and computer program products for configuring rules for service nodes in grid service architecture systems
US8340283B2 (en) * 2004-06-30 2012-12-25 International Business Machines Corporation Method and system for a PKI-based delegation process

Also Published As

Publication number Publication date
CN101262342A (zh) 2008-09-10
JP2010520518A (ja) 2010-06-10
US20100154040A1 (en) 2010-06-17
WO2008111494A1 (en) 2008-09-18

Similar Documents

Publication Publication Date Title
JP5215289B2 (ja) 分散式の委任および検証のための方法、装置、およびシステム
US10027670B2 (en) Distributed authentication
JP6684930B2 (ja) ブロックチェーンに基づくアイデンティティ認証方法、装置、ノード及びシステム
US11483298B2 (en) Information masking using certificate authority
US9621355B1 (en) Securely authorizing client applications on devices to hosted services
JP2022504420A (ja) デジタル証明書の発行方法、デジタル証明書発行センター、記憶媒体およびコンピュータプログラム
KR100860404B1 (ko) 다중 도메인 홈네트워크 환경에서의 디바이스 인증 방법 및장치
US10728043B2 (en) Method and apparatus for providing secure communication among constrained devices
JP2021519529A (ja) 認証された装置から装置への通信のための動的ドメイン鍵交換
JP2004032311A (ja) Pki対応の証明書確認処理方法及びその装置、並びにpki対応の証明書確認処理プログラム
KR20170106515A (ko) 다중 팩터 인증 기관
BRPI0304267B1 (pt) Método e sistema para processar listas de revogação de certificado em um sistema de autorização
JP5602165B2 (ja) ネットワーク通信を保護する方法および装置
WO2008002081A1 (en) Method and apparatus for authenticating device in multi domain home network environment
WO2022116734A1 (zh) 数字证书签发的方法、装置、终端实体和系统
JP2005348164A (ja) クライアント端末、ゲートウエイ装置、及びこれらを備えたネットワークシステム
CN113647080B (zh) 以密码保护的方式提供数字证书
CN111131160B (zh) 一种用户、服务及数据认证系统
JP2012181662A (ja) アカウント情報連携システム
JP2022552420A (ja) 証明書認証用の分散台帳に基づく方法およびシステム
EP1833216B1 (en) Method and system for mediation of authentication within a communication network
WO2024093684A1 (zh) 通信方法、装置和系统
US20230155842A1 (en) Method and apparatus for certifying an application-specific key and for requesting such certification
Goel Access Control and Authorization Techniques wrt Client Applications
JP4543789B2 (ja) トランザクションに基づく証明書検証情報管理方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100820

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20121016

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121113

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121225

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130205

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130228

R150 Certificate of patent or registration of utility model

Ref document number: 5215289

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160308

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees