JP5468137B2 - オンライン第三者装置を導入するエンティティ双方向認証方法 - Google Patents
オンライン第三者装置を導入するエンティティ双方向認証方法 Download PDFInfo
- Publication number
- JP5468137B2 JP5468137B2 JP2012525850A JP2012525850A JP5468137B2 JP 5468137 B2 JP5468137 B2 JP 5468137B2 JP 2012525850 A JP2012525850 A JP 2012525850A JP 2012525850 A JP2012525850 A JP 2012525850A JP 5468137 B2 JP5468137 B2 JP 5468137B2
- Authority
- JP
- Japan
- Prior art keywords
- entity
- entity device
- message
- party
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 24
- 238000012795 verification Methods 0.000 claims description 42
- 238000004891 communication Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Description
本出願は2009年8月28日に、中国特許局に提出した、出願番号が200910023734.0で、発明の名称が「オンライン第三者装置を導入するエンティティ双方向認証方法」である中国特許出願の優先権を要求し、その開示の全ての内容は引用することにより本申請に組み込まれている。
【技術分野】
【0002】
本発明はエンティティ認証方法に関し、特にオンライン第三者装置を導入するエンティティ双方向認証方法に関する。
【背景技術】
【0003】
非対称暗号化技術を採用するエンティティ認証方法は、片方向認証と双方向認証の2種に分けられる。認証の一意性又は適時性は時変パラメータにより識別される。時変パラメータとして良く使用されるのはタイムスタンプ、順次番号とランダム数などがある。タイムスタンプ又は順次番号が時変パラメータとして採用される場合、片方向認証には一回のみのメッセージ交換が必要で、双方向認証には二回のメッセージ交換が必要である。ランダム数が時変パラメータとして採用される場合、片方向認証には二回のメッセージ交換が必要であるが、双方向認証は三回又は四回のメッセージ交換(即ち、二回のメッセージ交換を平行的に行って認証すること)が必要である。
【0004】
上記いずれの認証メカニズムを採用しても、検証者は、認証に先立ち、または認証時には、請求者の有効な公開鍵を所有しなくてはならないことである。そうでないと、認証プロセスが損われるたり、完遂できなかったりする。ここで三回のメッセージ交換による双方向認証の方法を例として説明する。
【0005】
図1に示すように、トークンTokenAB=RA||RB||B||Text3||sSA(RA||RB||B||Text2)、TokenBA=RB||RA||A||Text5||sSB(RB||RA||A||Text4)。
ここで、Xはエンティティの識別子であり、当該認証システムにはAとBの2つの認証エンティティがあり、CertxはエンティティXの証明書を表し、sSXはエンティティXの署名を表し、RXはエンティティXによって発生されるランダム数を表し、Textはオプショナルテテキストフィールドである。
【0006】
以下は三回のメッセージ交換による二方向認証メカニズムの動作プロセスを記述する。
【0007】
ステップ1:エンティティ装置Bがエンティティ装置Aにランダム数RBとオプショナルテキストText1を送信し、
ステップ2:エンティティ装置Aがエンティティ装置BにトークンTokenABとオプショナル項目証明書CertAを送信し、
ステップ3:エンティティ装置Bがエンティティ装置Aから送信されるメッセージを受信した後、以下のステップを実行し、
ステップ3.1:エンティティ装置Aの証明書を検証するか、又は他の方式でエンティティ装置Aの有効な公開鍵を所有することを確保し、
ステップ3.2:エンティティ装置Aの公開鍵を取得した後、ステップ2におけるTokenABの署名を検証し、識別子Bの正確性を確認し、又、ステップ1において送信されたランダム数RBがTokenABにおけるランダム数RBと一致するか否かを確認し、エンティティ装置Bがエンティティ装置Aに対する検証を完成し、
ステップ4:エンティティ装置Bがエンティティ装置AにトークンTokenBAとオプショナル項目証明書CertBを送信し、
ステップ5:エンティティ装置Aがエンティティ装置Bから送信された、TokenBAを含むメッセージを受信した後、以下のステップを実行し、
ステップ5.1:エンティティ装置Bの証明書を検証するか、又は他の方式でエンティティ装置Bの有効な公開鍵を所有することを確保し、
ステップ5.2:エンティティ装置Bの公開鍵を取得した後、ステップ4におけるTokenBAの署名を検証し、識別子Aの正確性を確認し、又、ステップ2において送信されたランダム数RAがTokenBAにおけるランダム数RAと一致するか否か、及びステップ1において受信されたランダム数RBがTokenBAにおけるランダム数RBと一致するか否かを確認し、エンティティ装置Aがエンティティ装置Bに対する検証を完成する。
【0008】
上記の内容からわかるように、三回のメッセージ交換による認証を成し遂ける前提条件は、エンティティ装置AとBが互いに相手側の有効な公開鍵を有することである。しかし、如何にして相手側の公開鍵及びその有効性情報を取得できるかについて、プロトコルには言及されていない。当該前提条件は現在の多くの応用環境では満足できない。例えば、通信ネットワークでは通常、エンティティ認証メカニズムによりユーザーアクセス制御の機能を実現し、認証メカニズムが成功する前、ユーザーからネットワークへのアクセスが禁止される。そのため、ユーザーアイデンティティが認証される前、ユーザーは証明書機関にアクセスして対向側エンティティ―ネットワークアクセスポイントの公開鍵の有効性を取得しにくく、又は取得できないのである。
【0009】
現在の通信ネットワーク、特に無線通信ネットワークでは、正当なユーザーのみの正当なネットワークへのアクセスを確保するため、通常、ユーザーとネットワークアクセスポイントの間の相互認証を完成する必要がある。しかし、ネットワークエンティティは、認証の前に対向側通信エンティティの有効な公開鍵を知らず認証プロセスで対向側エンティティの公開鍵の検証を完成できれば、従来のエンティティ認証メカニズムは更に向上されると共に、実際の実施において良い実行可能性と使用の容易性を得ることもできる。
【発明の概要】
【発明が解決しようとする課題】
【0010】
本発明は背景技術における上述技術問題点を解決するため、オンライン第三者装置を導入するエンティティ双方向認証方法を提案した。
【0011】
本発明にかかるオンライン第三者装置を導入するエンティティに方向認証方法は、ステップ1〜ステップ8を備える。
【0012】
ステップ1:エンティティ装置Bがエンティティ装置Aに、ランダム数RB、アイデンティティ標識IBとオプショナルテキストText1が含まれるメッセージ1を送信する。
ステップ2:エンティティ装置Aがメッセージ1を受信した後、信頼できる第三者TP装置に、ランダム数R'AとRB、アイデンティティ標識IAとIB及びオプショナルテキストText2が含まれるメッセージ2を送信する。
ステップ3:信頼できる第三者TP装置がメッセージ2を受信した後、アイデンティティ標識IAとIBによりエンティティ装置Aとエンティティ装置Bの正当性を検証する
ステップ4:信頼できる第三者TP装置がエンティティ装置Aとエンティティ装置Bの正当性を確認した後、エンティティ装置Aに、エンティティ検証結果ResAとResB、トークンTokenTA及びオプショナルテキストText5が含まれるメッセージ3、或いはエンティティ検証結果ResAとResB、トークンTokenTA1とTokenTA2及びオプショナルテキストText5が含まれるメッセージ3を返答する。
ステップ5:エンティティ装置Aがメッセージ3を受信した後、エンティティ装置Bに、トークンTokenABとアイデンティティ標識IAが含まれるメッセージ4を送信する。
ステップ6:エンティティ装置Bがメッセージ4を受信した後、検証を行い、
ステップ7:エンティティ装置Bがエンティティ装置Aに、トークンTokenBAが含まれるメッセージ5を送信する。
ステップ8:エンティティ装置Aがメッセージ5を受信した後、検証を行う。
【0013】
ステップ6は具体的に、以下のステップ6.1〜ステップ6.3を備える。
【0014】
ステップ6.1:TokenTA又はTokenTA2における信頼できる第三者TP装置の署名を検証し、メッセージ1に含まれる、エンティティ装置Bから発生されたランダム数RBがTokenTA又はTokenTA2の信頼できる第三者TP装置の署名データに含まれるランダム数RBと一致するか否かを確認し、検証に成功した場合、ステップ6.2を実行する。
ステップ6.2:エンティティ装置Aの検証結果ResAを取得し、エンティティ装置Aが正当且つ有効である場合、ステップ6.3を実行し、逆の場合、検証を終了するか或いはステップ7を実行する。
ステップ6.3:エンティティ装置Aの公開鍵を取得し、TokenABにおけるエンティティ装置Aの署名を検証し、エンティティ装置Bの識別子がTokenAB内のエンティティ装置Aの署名データに含まれるエンティティ識別子(B)と一致するか否か、メッセージ1に含まれる、エンティティ装置Bから発生されたランダム数RBがTokenAB内のエンティティ装置Aの署名データに含まれるランダム数RBと一致するか否かを検証し、検証に成功した場合、エンティティ装置Bがエンティティ装置Aに対する認証を完成し、ステップ7を実行する。
【0015】
ステップ8は具体的に、以下のステップ8.1〜ステップ8.3を備える。
【0016】
ステップ8.1:メッセージ3に含まれるTokenTA又はTokenTA1内の信頼できる第三者TP装置の署名を検証し、メッセージ2に含まれる、エンティティ装置Aから発生されたランダム数R’AがTokenTA又はTokenTA1内の信頼できる第三者TP装置の署名データに含まれるランダム数R’Aと一致するか否かを確認し、検証に成功した場合、ステップ8.2を実行する。
ステップ8.2:エンティティ装置Bの検証結果ResBを取得し、エンティティ装置Bが正当且つ有効である場合、ステップ8.3を実行し、逆の場合、検証を終了する。
ステップ8.3:エンティティ装置Bの公開鍵を取得し、TokenBAにおけるエンティティ装置Bの署名を検証し、エンティティ装置Aの識別子がTokenBA内のエンティティ装置Bの署名データに含まれるエンティティ識別子(A)と一致するか否か、メッセージ4に含まれる、エンティティ装置Aから発生されたランダム数RAがTokenBA内のエンティティ装置Bの署名データに含まれるランダム数RAと一致するか否かを検証し、検証に成功した場合、エンティティ装置Aがエンティティ装置Bに対する認証を完成する。
【0017】
上述ステップ3においてエンティティ装置Aとエンティティ装置Bの正当性を確認するプロセスには、メッセージ2においてエンティティ装置Aのアイデンティティ標識IAがエンティティ装置Aの識別子Aである場合、信頼できる第三者TP装置はエンティティ装置Aの有効な公開鍵PublicKeyAを検索し、エンティティ装置Aのアイデンティティ標識IAがエンティティ装置Aの証明書CertA である場合、信頼できる第三者TP装置は証明書CertAの有効性ValidAを確認し、エンティティ装置Bのアイデンティティ標識IBがエンティティ装置Bの識別子Bである場合、信頼できる第三者TP装置はエンティティ装置Bの有効な公開鍵PublicKeyBを検索し、エンティティ装置Bのアイデンティティ標識IBがエンティティ装置Bの証明書CertBである場合、信頼できる第三者TP装置は証明書CertBの有効性ValidBを確認する。
【0018】
上述ステップ4におけるメッセージ3がエンティティ検証結果ResAとResB、トークンTokenTA及びオプショナルテキストText5を含む場合、前記ステップ8.1が上述ステップ5に繰り上げられ、即ち、エンティティ装置Aがメッセージ3を受信した後、ステップ8.1を実行してから、エンティティ装置Bに、メッセージ4を送信することとなる。
【0019】
上述ランダム数RA、R'AとRBはタイムスタンプ又は順次番号である。
【0020】
上述トークンフィールドは
又は
である。
【発明の効果】
【0021】
本発明は三つのエンティティによるアーキテクチャを採用し、認証エンティティは認証される前、予め対向側認証エンティティの有効な公開鍵を知る必要がない。その代わりに、信頼できる第三者の公開鍵又は証明書を取得する必要があり、又、信頼できる第三者から自身に対して発行される自身のユーザー証明書を取得するか、或いは自分の公開鍵を信頼できる第三者に渡して保管させる必要がある。認証プロトコルが実行する際、認証エンティティの公開鍵及びその有効性は信頼できる第三者により検索されて検証され、自動的に必要な対向側に伝送される。本発明は従来の認証メカニズムに比較して、公開鍵のオンライン検索と認証メカニズムを開示し、公開鍵に対する集中管理を実現し、プロトコルの動作条件を簡易にし、応用と実施が容易になる。
【図面の簡単な説明】
【0022】
【図1】従来技術において、三回のメッセージ交換による認証メカニズムの認証イメージを示す図である。
【図2】本発明に係る方法のイメージを示す図である。
【発明を実施するための形態】
【0023】
本発明に係る方法は三つのエンティティに関し、即ち、2つの認証エンティティ装置AとB、及び1つの信頼できる第三者TP装置(Trusted Third Party)に関する。信頼できる第三者TP装置は認証エンティティ装置AとBに信頼される第三者であり、エンティティ装置Aとエンティティ装置Bに認証サービスを提供する。信頼できる第三者TP装置によりエンティティ装置AとBの相互対等認証を実施するシステムを三要素ピア認証TePA( Tri−element Peer Authentication)システムと称する。
【0024】
記述の簡潔のため、符号は以下のように定義される。
【0025】
Validxは証明書Certxの有効性を表示し、PublicKeyxはエンティティX(XはA又はBを表す)の公開鍵を表示する。IxはエンティティXのアイデンティティ標識であり、証明書Certx又はエンティティの識別子Xで表示し、ResxはエンティティXの検証結果を表示し、証明書Resxと証明書Resxの有効性Validxより構成されるか、或いはエンティティX及びエンティティXの公開鍵PucblicKeyxより構成され、Tokenはトークンフィールドである。
【0026】
図2に示すように、本発明の各トークンフィールドは以下の2つの形式で表示される。
【0027】
エンティティ装置Aとエンティティ装置Bの間の双方向認証プロせスは具体的に、ステップ1〜ステップ8を備える。
ステップ1:エンティティ装置Bがエンティティ装置Aに、ランダム数RB、アイデンティティ標識IBとオプショナルテキストText1を含むメッセージ1を送信する。
ステップ2:エンティティ装置Aがメッセージ1を受信した後、信頼できる第三者TP装置に、ランダム数R'AとRB、アイデンティティ標識IAとIB及びオプショナルテキストText2を含むメッセージ2を送信する。
ステップ3:信頼できる第三者TP装置がメッセージ2を受信した後、アイデンティティ標識IAとIBによりエンティティ装置Aとエンティティ装置Bの正当性を検証する。
【0028】
信頼できる第三者TP装置が以下の方式でエンティティ装置Aとエンティティ装置Bの正当性を検証する。
【0029】
メッセージ2において、エンティティ装置Aのアイデンティティ標識IAがエンティティ装置Aの識別子Aである場合、信頼できる第三者TP装置はエンティティ装置Aの有効な公開鍵PublicKeyAを検索し、エンティティ装置Aのアイデンティティ標識IAがエンティティ装置Aの証明書CertAである場合、信頼できる第三者TP装置は証明書CertAの有効性ValidAを確認し、エンティティ装置Bのアイデンティティ標識IBがエンティティ装置Bの識別子Bである場合、信頼できる第三者TP装置はエンティティ装置Bの有効な公開鍵PublicKeyBを検索し、エンティティ装置Bのアイデンティティ標識IBがエンティティ装置Bの証明書CertBである場合、信頼できる第三者TP装置は証明書CertBの有効性ValidBを確認する。
【0030】
ステップ4:信頼できる第三者TP装置がエンティティ装置Aとエンティティ装置Bの正当性を確認した後、エンティティ装置Aにエンティティ検証結果ResAとResB、トークンTokenTA及びオプショナルテキストText5を含むメッセージ3、或いはエンティティ検証結果ResAとResB、トークンTokenTA1とTokenTA2及びオプショナルテキストText5を含むメッセージ3を返答する。
ステップ5:エンティティ装置Aがメッセージ3を受信した後、エンティティ装置Bに対してトークンTokenABとアイデンティティ標識IAを含むメッセージ4を送信する。
ステップ6:エンティティ装置Bがメッセージ4を受信した後、検証を行う。具体的に、三つのステップに分ける実行する。
ステップ6.1:TokenTA又はTokenTA2における信頼できる第三者TP装置の署名を検証し、メッセージ1に含まれる、エンティティ装置Bから発生されたランダム数RBがTokenTA又はTokenTA2内の信頼できる第三者TP装置の署名データに含まれるランダム数RBと一致するか否かを確認し、検証に成功した場合、ステップ6.2を実行する。
ステップ6.2:エンティティ装置Aの検証結果ResAを取得し、エンティティ装置Aが正当且つ有効である場合、ステップ6.3を実行し、逆の場合、検証を終了するか或いはステップ7を実行する。
ステップ6.3:エンティティ装置Aの公開鍵を取得し、TokenABにおけるエンティティ装置Aの署名を検証し、エンティティ装置Bの識別子がTokenAB内のエンティティ装置Aの署名データに含まれるエンティティ識別子(B)と一致するか否か、メッセージ1に含まれる、エンティティ装置Bから発生されたランダム数RBがTokenAB内のエンティティ装置Aの署名データに含まれるランダム数RBと一致するか否かを検証し、検証に成功した場合、エンティティ装置Bがエンティティ装置Aに対する認証を完成し、ステップ7を実行する。
ステップ7:エンティティ装置Bがエンティティ装置Aに対してトークンTokenBAを含むメッセージ5を送信する。
ステップ8:エンティティ装置Aがメッセージ5を受信した後、検証を行う。具体的に、三つのステップに分けて実行する。
ステップ8.1:メッセージ3に含まれるTokenTA又はTokenTA1内の信頼できる第三者TP装置の署名を検証し、又、メッセージ2に含まれる、エンティティ装置Aから発生されたランダム数R’AがTokenTA又はTokenTA1内の信頼できる第三者TP装置の署名データに含まれるランダム数R’Aと一致するか否かを確認し、検証に成功した場合、ステップ8.2を実行する。
ステップ8.2:エンティティ装置Bの検証結果ResBを取得し、エンティティ装置Bが正当且つ有効である場合、ステップ8.3を実行し、逆の場合、検証を終了する。
ステップ8.3:エンティティ装置Bの公開鍵を取得し、TokenBAにおけるエンティティ装置Bの署名を検証し、エンティティ装置Aの識別子がTokenBA内のエンティティ装置Bの署名データに含まれるエンティティ識別子(A)と一致するか否か、メッセージ4に含まれる、エンティティ装置Aから発生されたランダム数RAがTokenAB内のエンティティ装置Bの署名データに含まれるランダム数RAと一致するか否かを検証し、検証に成功した場合、エンティティ装置Aがエンティティ装置Bに対する認証を完成する。
【0031】
そのうち、ステップ4において、メッセージ3がエンティティ検証結果ResAとResB、トークンTokenTA及びオプショナルテキストText5を含む場合、上述ステップ8.1が上述ステップ5に繰り上げされ、即ち、エンティティ装置Aがメッセージ3を受信した後、ステップ8.1を実行してから、エンティティ装置Bに対してメッセージ4を送信することとなる。
【0032】
ランダム数R'A、RAとRBはタイムスタンプ又は順次番号で置き換えても良い。
【0033】
このような認証システムが実際に応用されるの場合、通常、エンティティ装置Bは通信ユーザーの端末装置に位置しており、エンティティ装置Aはネットワークアクセスポイント側に位置する。上述の実施形態におけるエンティティ装置Aとエンティティ装置Bの間の双方向認証方法は、ユーザーとネットワークアクセスポイントの間の双方向の正当性を認証することを実現でき、正当なユーザーを正当なネットワークへアクセスさせることを確保する。
Claims (6)
- エンティティ装置Bがエンティティ装置Aに、ランダム数RBと、アイデンティティ標識IBとオプショナルテキストText1とを含むメッセージ1を送信するステップ1と、
エンティティ装置Aがメッセージ1を受信した後、信頼できる第三者TP装置に、ランダム数R'AとRB、アイデンティティ標識IAとIB及びオプショナルテキストText2を含むメッセージ2を送信するステップ2と、
信頼できる第三者TP装置がメッセージ2を受信した後、アイデンティティ標識IAとIBによりエンティティ装置Aとエンティティ装置Bの正当性を検証するステップ3と、
信頼できる第三者TP装置がエンティティ装置Aとエンティティ装置Bの正当性を確認した後、エンティティ装置Aにエンティティ検証結果ResAとResB、トークンTokenTA及びオプショナルテキストText5を含むメッセージ3、或いはエンティティ検証結果ResAとResB、トークンTokenTA1とTokenTA2及びオプショナルテキストText5を含むメッセージ3を返答するステップ4と、
エンティティ装置Aがメッセージ3を受信した後、エンティティ装置BにトークンTokenABとアイデンティティ標識IAを含むメッセージ4を送信するステップ5と、
エンティティ装置Bがメッセージ4を受信した後、検証を行うステップ6と、
エンティティ装置Bがエンティティ装置AにトークンTokenBAを含むメッセージ5を送信するステップ7と、
エンティティ装置Aがメッセージ5を受信した後、検証を行うステップ8とを含み、前記ステップ6は、
TokenTA又はTokenTA2における信頼できる第三者TP装置の署名を検証し、メッセージ1に含まれる、エンティティ装置Bから発生されたランダム数R B がTokenTA又はTokenTA2内における信頼できる第三者TP装置の署名データに含まれるランダム数R B と一致するか否かを確認し、検証に成功した場合、ステップ6.2を実行するステップ6.1と、
エンティティ装置Aの検証結果Res A を取得し、エンティティ装置Aが正当且つ有効である場合、ステップ6.3を実行し、逆の場合、検証を終了するか或いはステップ7を実行するステップ6.2と、
エンティティ装置Aの公開鍵を取得し、TokenABにおけるエンティティ装置Aの署名を検証し、エンティティ装置Bの識別子がTokenAB内のエンティティ装置Aの署名データに含まれるエンティティ識別子(B)と一致するか否か、メッセージ1に含まれる、エンティティ装置Bから発生されたランダム数R B がTokenAB内のエンティティ装置Aの署名データに含まれるランダム数R B と一致するか否かを検証し、検証に成功した場合、エンティティ装置Bがエンティティ装置Aに対する認証を完成し、ステップ7を実行するステップ6.3とを含むことを特徴とするオンライン第三者装置を導入するエンティティ双方向認証方法。 - 前記ステップ8は、
メッセージ3に含まれるTokenTA又はTokenTA1内の信頼できる第三者TP装置の署名を検証し、メッセージ2に含まれる、エンティティ装置Aから発生されたランダム数R’AがTokenTA又はTokenTA1内の信頼できる第三者TP装置の署名データに含まれるランダム数R’Aと一致するか否かを確認し、検証に成功した場合、ステップ8.2を実行するステップ8.1と、
エンティティ装置Bの検証結果ResBを取得し、エンティティ装置Bが正当且つ有効である場合、ステップ8.3を実行し、逆の場合、検証を終了するステップ8.2と、
エンティティ装置Bの公開鍵を取得し、トークン(Token)BAにおけるエンティティ装置Bの署名を検証し、エンティティ装置Aの識別子がTokenBA内のエンティティ装置Bの署名データに含まれるエンティティ識別子(A)と一致するか否か、メッセージ4に含まれる、エンティティ装置Aから発生されたランダム数RAがTokenBA内のエンティティ装置Bの署名データに含まれるランダム数RAと一致するか否かを検証し、検証に成功した場合、エンティティ装置Aがエンティティ装置Bに対する認証を完成するステップ8.3と
を含むことを特徴とする請求項1記載のオンライン第三者装置を導入するエンティティ双方向認証方法。 - ステップ3におけるエンティティ装置Aとエンティティ装置Bの正当性を確認する過程は、メッセージ2においてエンティティ装置Aのアイデンティティ標識IAがエンティティ装置Aの識別子Aである場合、信頼できる第三者TP装置はエンティティ装置Aの有効な公開鍵PublicKeyAを検索し、エンティティ装置Aのアイデンティティ標識IAがエンティティ装置Aの証明書CertA である場合、信頼できる第三者TP装置は証明書CertAの有効性ValidAを確認し、エンティティ装置Bのアイデンティティ標識IBがエンティティ装置Bの識別子Bである場合、信頼できる第三者TP装置はエンティティ装置Bの有効な公開鍵PublicKeyBを検索し、エンティティ装置Bのアイデンティティ標識IBがエンティティ装置Bの証明書CertBである場合、信頼できる第三者TP装置は証明書CertBの有効性ValidBを確認する
ことを特徴とする請求項2記載のオンライン第三者装置を導入するエンティティ双方向認証方法。 - 前記ステップ4において、メッセージ3がエンティティ検証結果ResAとResB、トークンTokenTA及びオプショナルテキストText5を含む場合、前記ステップ8.1が前記ステップ5に繰り上げられて実行され、エンティティ装置Aがメッセージ3を受信した後、ステップ8.1を先に実行してから、エンティティ装置Bにメッセージ4を送信する
ことを特徴とする請求項3記載のオンライン第三者装置を導入するエンティティ双方向認証方法。 - 前記ランダム数RA、R'A及びRBはタイムスタンプ又は順次番号であることを特徴とする請求項4記載のオンライン第三者装置を導入するエンティティ双方向認証方法。
- 前記トークンフィールドは、
又は
であることを特徴とする請求項1〜5の何れかに記載のオンライン第三者装置を導入するエンティティ双方向認証方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910023734.0 | 2009-08-28 | ||
CN2009100237340A CN101640593B (zh) | 2009-08-28 | 2009-08-28 | 一种引入在线第三方的实体双向鉴别方法 |
PCT/CN2009/076179 WO2011022918A1 (zh) | 2009-08-28 | 2009-12-29 | 一种引入在线第三方的实体双向鉴别方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013503512A JP2013503512A (ja) | 2013-01-31 |
JP5468137B2 true JP5468137B2 (ja) | 2014-04-09 |
Family
ID=41615402
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012525850A Active JP5468137B2 (ja) | 2009-08-28 | 2009-12-29 | オンライン第三者装置を導入するエンティティ双方向認証方法 |
Country Status (6)
Country | Link |
---|---|
US (1) | US8732464B2 (ja) |
EP (1) | EP2472770A4 (ja) |
JP (1) | JP5468137B2 (ja) |
KR (1) | KR101471827B1 (ja) |
CN (1) | CN101640593B (ja) |
WO (1) | WO2011022918A1 (ja) |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100553193C (zh) * | 2007-10-23 | 2009-10-21 | 西安西电捷通无线网络通信有限公司 | 一种基于可信第三方的实体双向鉴别方法及其系统 |
CN101674182B (zh) | 2009-09-30 | 2011-07-06 | 西安西电捷通无线网络通信股份有限公司 | 引入在线可信第三方的实体公钥获取、证书验证及鉴别的方法及系统 |
CN101984577B (zh) | 2010-11-12 | 2013-05-01 | 西安西电捷通无线网络通信股份有限公司 | 匿名实体鉴别方法及系统 |
CN101997688B (zh) * | 2010-11-12 | 2013-02-06 | 西安西电捷通无线网络通信股份有限公司 | 一种匿名实体鉴别方法及系统 |
CN103312670A (zh) | 2012-03-12 | 2013-09-18 | 西安西电捷通无线网络通信股份有限公司 | 一种认证方法及系统 |
CN103312499B (zh) * | 2012-03-12 | 2018-07-03 | 西安西电捷通无线网络通信股份有限公司 | 一种身份认证方法及系统 |
CN104125063B (zh) | 2013-04-28 | 2016-10-12 | 腾讯科技(深圳)有限公司 | 授权认证方法、设备及系统 |
CN106572065B (zh) * | 2015-10-10 | 2019-11-22 | 西安西电捷通无线网络通信股份有限公司 | 一种多ttp参与的实体身份有效性验证方法及装置 |
CN106572063B (zh) * | 2015-10-10 | 2019-10-29 | 西安西电捷通无线网络通信股份有限公司 | 一种多ttp参与的实体身份有效性验证方法及装置 |
CN106571920B (zh) * | 2015-10-10 | 2019-09-27 | 西安西电捷通无线网络通信股份有限公司 | 一种多ttp参与的实体身份有效性验证方法及装置 |
CN106572064B (zh) * | 2015-10-10 | 2019-10-29 | 西安西电捷通无线网络通信股份有限公司 | 一种多ttp参与的实体身份有效性验证方法及装置 |
CN106572066B (zh) * | 2015-10-10 | 2019-11-22 | 西安西电捷通无线网络通信股份有限公司 | 一种实体身份有效性验证方法及其装置 |
JP2019053493A (ja) * | 2017-09-14 | 2019-04-04 | 株式会社日本総合研究所 | クレジットカード、使用可能化方法、およびプログラム |
KR20230049967A (ko) * | 2021-10-07 | 2023-04-14 | 한국전자통신연구원 | 무선 분산 통신 시스템에서 신뢰 필드를 이용한 패킷의 무결성 검사 방법 및 장치 |
CN114615046B (zh) * | 2022-03-07 | 2024-04-30 | 中国大唐集团科学技术研究总院有限公司 | 一种基于国密证书的管理员双因子认证方法 |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH08297638A (ja) * | 1995-04-26 | 1996-11-12 | Nippon Telegr & Teleph Corp <Ntt> | 利用者認証方式 |
JPH08335208A (ja) * | 1995-06-08 | 1996-12-17 | Nippon Telegr & Teleph Corp <Ntt> | 代理認証方法及びシステム |
JPH10210023A (ja) * | 1997-01-27 | 1998-08-07 | Oki Electric Ind Co Ltd | 認証方法、暗号鍵共有方法および通信システム |
US6826690B1 (en) * | 1999-11-08 | 2004-11-30 | International Business Machines Corporation | Using device certificates for automated authentication of communicating devices |
AU2001284754B2 (en) * | 2000-08-08 | 2008-01-10 | Wachovia Corporation | Internet third-party authentication using electronic tickets |
JP4714482B2 (ja) * | 2005-02-28 | 2011-06-29 | 株式会社日立製作所 | 暗号通信システムおよび方法 |
CN100495963C (zh) * | 2006-09-23 | 2009-06-03 | 西安西电捷通无线网络通信有限公司 | 一种公钥证书状态的获取及验证方法 |
CN100488305C (zh) * | 2006-09-23 | 2009-05-13 | 西安西电捷通无线网络通信有限公司 | 一种网络接入鉴别与授权方法以及授权密钥更新方法 |
CN100553193C (zh) * | 2007-10-23 | 2009-10-21 | 西安西电捷通无线网络通信有限公司 | 一种基于可信第三方的实体双向鉴别方法及其系统 |
CN101222328B (zh) * | 2007-12-14 | 2010-11-03 | 西安西电捷通无线网络通信股份有限公司 | 一种实体双向鉴别方法 |
CN101247223B (zh) * | 2008-03-06 | 2010-06-09 | 西安西电捷通无线网络通信有限公司 | 一种基于可信第三方的实体双向鉴别方法 |
CN101286840B (zh) * | 2008-05-29 | 2014-07-30 | 西安西电捷通无线网络通信股份有限公司 | 一种利用公钥密码技术的密钥分配方法及其系统 |
CN101364875B (zh) | 2008-09-12 | 2010-08-11 | 西安西电捷通无线网络通信有限公司 | 一种实现实体的公钥获取、证书验证及双向鉴别的方法 |
CN101364876B (zh) | 2008-09-12 | 2011-07-06 | 西安西电捷通无线网络通信股份有限公司 | 一种实现实体的公钥获取、证书验证及鉴别的方法 |
-
2009
- 2009-08-28 CN CN2009100237340A patent/CN101640593B/zh active Active
- 2009-12-29 US US13/392,899 patent/US8732464B2/en active Active
- 2009-12-29 KR KR1020127007947A patent/KR101471827B1/ko active IP Right Grant
- 2009-12-29 JP JP2012525850A patent/JP5468137B2/ja active Active
- 2009-12-29 EP EP09848650.9A patent/EP2472770A4/en not_active Ceased
- 2009-12-29 WO PCT/CN2009/076179 patent/WO2011022918A1/zh active Application Filing
Also Published As
Publication number | Publication date |
---|---|
US20120159169A1 (en) | 2012-06-21 |
EP2472770A4 (en) | 2017-07-26 |
CN101640593A (zh) | 2010-02-03 |
WO2011022918A1 (zh) | 2011-03-03 |
JP2013503512A (ja) | 2013-01-31 |
US8732464B2 (en) | 2014-05-20 |
KR20120052404A (ko) | 2012-05-23 |
KR101471827B1 (ko) | 2014-12-11 |
EP2472770A1 (en) | 2012-07-04 |
CN101640593B (zh) | 2011-11-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5468137B2 (ja) | オンライン第三者装置を導入するエンティティ双方向認証方法 | |
US8417955B2 (en) | Entity bidirectional authentication method and system | |
JP5468138B2 (ja) | オンライン第三者装置を導入するエンティティ認証方法 | |
RU2458481C2 (ru) | Способ и система двусторонней идентификации объекта на основе доверенной третьей стороны | |
JP5425314B2 (ja) | オンライン信頼できる第三者を導入したエンティティの公開鍵の取得、証明書の検証及び認証の方法及びシステム | |
KR101483818B1 (ko) | 신뢰성 있는 제 3자를 기반으로 한 양방향 엔티티 인증 방법 | |
CN101364876B (zh) | 一种实现实体的公钥获取、证书验证及鉴别的方法 | |
CN101364875B (zh) | 一种实现实体的公钥获取、证书验证及双向鉴别的方法 | |
CN102984127A (zh) | 一种以用户为中心的移动互联网身份管理及认证方法 | |
US11777743B2 (en) | Method for securely providing a personalized electronic identity on a terminal | |
US9398024B2 (en) | System and method for reliably authenticating an appliance | |
WO2011026296A1 (zh) | 引入在线可信第三方的实体鉴别方法 | |
JP2013175040A (ja) | 認証権限移譲システム、情報端末、トークン発行局、サービス提供装置、認証権限移譲方法、及びプログラム | |
JP2009118110A (ja) | 認証システムのメタデータプロビジョニング方法、システム、そのプログラムおよび記録媒体 | |
JP6122399B2 (ja) | クライアント証明書による端末認証方法、端末認証システム及びプログラム | |
CN116455662A (zh) | 验证用户身份的方法、系统、装置、存储介质及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130903 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131203 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140107 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140128 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5468137 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |