JP5688087B2 - 信頼できる認証およびログオンのための方法および装置 - Google Patents
信頼できる認証およびログオンのための方法および装置 Download PDFInfo
- Publication number
- JP5688087B2 JP5688087B2 JP2012529721A JP2012529721A JP5688087B2 JP 5688087 B2 JP5688087 B2 JP 5688087B2 JP 2012529721 A JP2012529721 A JP 2012529721A JP 2012529721 A JP2012529721 A JP 2012529721A JP 5688087 B2 JP5688087 B2 JP 5688087B2
- Authority
- JP
- Japan
- Prior art keywords
- user platform
- signed
- identity
- certificate
- ticket
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Mobile Radio Communication Systems (AREA)
Description
1.予め定められた識別子を使用してサービス・プロバイダーにログオンするステップであって、ユーザー・プラットフォームは、前記予め定められた識別子によって指し示されるアイデンティティ・プロバイダーに前記サービス・プロバイダーによってリダイレクトされることを備えることを特徴とする前記ユーザー・プラットフォームからの信頼できる認証およびアクセスのための方法。
Claims (19)
- ユーザー・プラットフォームからの信頼されている認証およびアクセスのための方法であって、
前記ユーザー・プラットフォームが、アイデンティティ・プロバイダーに関連付けられている識別子および前記ユーザー・プラットフォームの証明アイデンティティ鍵(AIK)を使用して、サービス・プロバイダーにログオンするステップであって、前記ユーザー・プラットフォームは、前記識別子によって示される前記アイデンティティ・プロバイダーに、前記サービス・プロバイダーによってリダイレクトされる、ステップと、
前記ユーザー・プラットフォームが、前記アイデンティティ・プロバイダーから認証チャレンジを受信するステップと、
前記ユーザー・プラットフォーム上に存在する信頼されているモジュールを介して、証明機関による前記証明アイデンティティ鍵の証明を示す証明書を取得するステップと、
前記信頼されているモジュールにおいて、前記アイデンティティ・プロバイダーにおける前記ユーザー・プラットフォームの認証のためのチケットを生成するステップであって、前記チケットは、前記証明機関による前記証明アイデンティティ鍵の前記証明を示す前記証明書を備える、ステップと、
前記信頼されているモジュールから、前記ユーザー・プラットフォームの構成を記述する1つまたは複数のプラットフォーム構成レジスタ(PCR)値の署名された引用を検索するステップであって、前記引用は、前記証明アイデンティティ鍵によって署名される、ステップと、
前記認証チャレンジに応答して、前記チケットおよび前記署名された引用を、前記ユーザー・プラットフォームの前記認証のために前記アイデンティティ・プロバイダーに送信するステップと、
前記チケットおよび前記署名された引用の成功した検証を受信すると、前記サービス・プロバイダーにアクセスし、それによって前記ユーザー・プラットフォームのユーザーが正当であり、および、前記ユーザー・プラットフォームが信頼できることを保証するステップと
を備えることを特徴とする方法。 - 前記アイデンティティ・プロバイダーに関連付けられた前記識別子は、ユニバーサルリソース識別子によって表されることを特徴とする請求項1に記載の方法。
- 前記チケットは、前記ユーザー・プラットフォームおよび前記チケットの信頼性を正当であると確認するデータを備えていることを特徴とする請求項1に記載の方法。
- 前記認証チャレンジは、少なくとも前記アイデンティティ・プロバイダーに関連付けられた前記識別子およびサービス要求の種別を含むことを特徴とする請求項1に記載の方法。
- 前記ユーザー・プラットフォームが、前記識別子および前記サービス要求を署名するために、証明された署名鍵を生成するステップをさらに備えることを特徴とする請求項4に記載の方法。
- 前記ユーザー・プラットフォームが、前記識別子に対応する前記証明アイデンティティ鍵に対するパスワード、および、前記信頼されているモジュールの使用を認証するためのストレージ・ルート鍵パスワードを提供するステップをさらに備えることを特徴とする請求項1に記載の方法。
- 前記証明書は、前記証明アイデンティティ鍵に対応することを特徴とする請求項1に記載の方法。
- 以前に獲得された証明書が利用できないという条件にて、前記証明書が取得されることを特徴とする請求項7に記載の方法。
- 前記アイデンティティ・プロバイダーから受信された前記認証チャレンジに応答して、肯定的なチャレンジ確認応答を送信するステップと、
前記アイデンティティ・プロバイダーに送信された前記肯定的なチャレンジ確認応答に応答して、ノンスを受信するステップと、
前記署名された引用を生成するステップであって、前記署名された引用は、前記証明アイデンティティ鍵によって署名され、および、前記ノンスを含む、ステップと
をさらに備えることを特徴とする請求項1に記載の方法。 - 前記チケットは、証明された署名鍵(CSK)署名された所定の識別、CSKの署名された要求、CSK公開鍵、および前記証明書をさらに備え、ならびに、前記証明書は、プライバシー認証局(PCA)の発行されたAIK証明書を備えることを特徴とする請求項1に記載の方法。
- 前記認証チャレンジに応答して、前記ユーザー・プラットフォームが前記認証チャレンジを受け入れたという条件にて、前記信頼されているモジュールからの前記PCR値の前記署名された引用、および、測定ログを送信するステップをさらに備えることを特徴とする請求項10に記載の方法。
- 前記成功したチケット検証は、前記アイデンティティ・プロバイダーが、前記証明書のタイムスタンプを正当であると確認し、前記証明書上の前記証明機関の署名を検証し、前記CSK公開鍵上のAIK署名を検証し、前記CSKの署名された所定の識別を検証し、前記CSKの署名された要求を検証し、前記測定ログを正当であると確認し、および、前記引用を検証したことを示すことを特徴とする請求項11に記載の方法。
- 前記ユーザー・プラットフォームが、後のサービス・プロバイダー・アクセスのために、証明された署名鍵によって保護された、暗号化されたクッキーを受信するステップをさらに備えることを特徴とする請求項1に記載の方法。
- 前記認証チャレンジは、認可チャレンジを含むことを特徴とする請求項1に記載の方法。
- 前記ユーザー・プラットフォームが、証明チャレンジを受信するステップをさらに備えることを特徴とする請求項1に記載の方法。
- 信頼されている認証およびアクセスを支援するためのユーザー・プラットフォームであって、
アイデンティティ・プロバイダーに関連付けられている識別子および前記ユーザー・プラットフォームの証明アイデンティティ鍵(AIK)を使用して、サービス・プロバイダーにアクセスするように構成されたインターフェイス・モジュールであって、前記ユーザー・プラットフォームは、前記識別子によって示される前記アイデンティティ・プロバイダーに、前記サービス・プロバイダーによってリダイレクトされる、インターフェイス・モジュールと、
証明機関による前記証明アイデンティティ鍵の証明を示す証明書を取得するように構成された信頼されているモジュールであって、前記ユーザー・プラットフォームは、前記アイデンティティ・プロバイダーにおいて前記ユーザー・プラットフォームの認証のためのチケットを生成するように構成され、前記チケットは、前記証明機関による前記証明アイデンティティ鍵の前記証明を示す前記証明書を備えている、信頼されているモジュールと、
前記信頼されているモジュールから、前記ユーザー・プラットフォームの構成を記述する1つまたは複数のプラットフォーム構成レジスタ(PCR)値の、前記証明アイデンティティ鍵によって署名された引用を検索することによって、ならびに、前記チケットおよび前記署名された引用を送信することによって、前記アイデンティティ・プロバイダーから受信された認証チャレンジに応答するように構成されたチケット・サーバーと、
前記チケットおよび前記署名された引用の成功した検証を受信して前記サービス・プロバイダー上のサービスにアクセスし、それによって、前記ユーザー・プラットフォームのユーザーが正当であり、および、前記ユーザー・プラットフォームが信頼できることを保証するように構成された前記インターフェイス・モジュールと
を備えることを特徴とするユーザー・プラットフォーム。 - 前記チケットは、証明された署名鍵(CSK)の署名された所定の識別、CSKの署名された要求、CSK公開鍵、および、前記証明書を含み、ならびに、前記証明書は、プライバシー認証局(PCA)の発行されたAIK証明書を備えることを特徴とする請求項16に記載のユーザー・プラットフォーム。
- 前記チケット・サーバーは、前記信頼されているモジュールからのAIKの署名された引用、および測定ログを取得するようにさらに構成されていることを特徴とする請求項17に記載のユーザー・プラットフォーム。
- 前記チケット・サーバーは、ノンスを受信し、および、前記信頼されているモジュールからのAIKの署名された引用を生成するようにさらに構成されており、ならびに、前記AIKの署名された引用は、前記ノンスを含むことを特徴とする請求項16に記載のユーザー・プラットフォーム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/US2009/056823 WO2011031272A1 (en) | 2009-09-14 | 2009-09-14 | Method and apparatus for trusted authentication and logon |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015011333A Division JP2015111440A (ja) | 2015-01-23 | 2015-01-23 | 信頼できる認証およびログオンのための方法および装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013504832A JP2013504832A (ja) | 2013-02-07 |
JP5688087B2 true JP5688087B2 (ja) | 2015-03-25 |
Family
ID=42313790
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012529721A Expired - Fee Related JP5688087B2 (ja) | 2009-09-14 | 2009-09-14 | 信頼できる認証およびログオンのための方法および装置 |
Country Status (5)
Country | Link |
---|---|
EP (2) | EP2478682A1 (ja) |
JP (1) | JP5688087B2 (ja) |
KR (2) | KR101482564B1 (ja) |
CN (1) | CN102577301A (ja) |
WO (1) | WO2011031272A1 (ja) |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9490984B2 (en) | 2009-09-14 | 2016-11-08 | Interdigital Patent Holdings, Inc. | Method and apparatus for trusted authentication and logon |
CN103078834A (zh) * | 2011-10-26 | 2013-05-01 | 中兴通讯股份有限公司 | 一种安全连接的方法、系统及网元 |
US8949938B2 (en) | 2011-10-27 | 2015-02-03 | Cisco Technology, Inc. | Mechanisms to use network session identifiers for software-as-a-service authentication |
KR101730459B1 (ko) | 2012-01-20 | 2017-04-26 | 인터디지탈 패튼 홀딩스, 인크 | 로컬 기능을 갖는 아이덴티티 관리 |
KR20130143263A (ko) * | 2012-06-21 | 2013-12-31 | 에스케이플래닛 주식회사 | 트러스티드 플랫폼 기반의 개방형 아이디 인증 방법, 이를 위한 장치 및 시스템 |
US9152781B2 (en) * | 2012-08-09 | 2015-10-06 | Cisco Technology, Inc. | Secure mobile client with assertions for access to service provider applications |
CN103491093B (zh) * | 2013-09-25 | 2016-08-03 | 国网重庆市电力公司 | 一种智能电网用户访问授权方法 |
FR3022664B1 (fr) | 2014-06-20 | 2017-10-27 | Peugeot Citroen Automobiles Sa | Procede et systeme d'authentification |
CN104333450B (zh) * | 2014-10-21 | 2017-12-19 | 广东金赋科技股份有限公司 | 一种可信自助服务系统的建立方法 |
CN104333541A (zh) * | 2014-10-21 | 2015-02-04 | 广东金赋信息科技有限公司 | 一种可信自助服务系统 |
JP2015111440A (ja) * | 2015-01-23 | 2015-06-18 | インターデイジタル パテント ホールディングス インコーポレイテッド | 信頼できる認証およびログオンのための方法および装置 |
US9614835B2 (en) | 2015-06-08 | 2017-04-04 | Microsoft Technology Licensing, Llc | Automatic provisioning of a device to access an account |
US10277407B2 (en) * | 2016-04-19 | 2019-04-30 | Microsoft Technology Licensing, Llc | Key-attestation-contingent certificate issuance |
EP3299984A1 (en) * | 2016-09-21 | 2018-03-28 | Alcatel Lucent | Authentication of a software entity by another software entity |
CN112202752A (zh) * | 2020-09-25 | 2021-01-08 | 中国建设银行股份有限公司 | 一种身份认证系统和方法 |
CN114760043A (zh) * | 2020-12-26 | 2022-07-15 | 西安西电捷通无线网络通信股份有限公司 | 一种身份鉴别方法和装置 |
CN115412323B (zh) * | 2022-08-23 | 2023-07-18 | 江苏云涌电子科技股份有限公司 | 一种基于tcm的单次登录访问多个应用的方法 |
CN116647413B (zh) * | 2023-07-26 | 2023-10-13 | 深圳竹云科技股份有限公司 | 应用登录方法、装置、计算机设备和存储介质 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5590199A (en) * | 1993-10-12 | 1996-12-31 | The Mitre Corporation | Electronic information network user authentication and authorization system |
DE69633564T2 (de) * | 1995-06-07 | 2005-11-24 | Divine Technology Ventures, Chicago | Zugangskontrolle und überwachungssystem für internetserver |
US9900305B2 (en) * | 1998-01-12 | 2018-02-20 | Soverain Ip, Llc | Internet server access control and monitoring systems |
US7587750B2 (en) * | 2003-06-26 | 2009-09-08 | Intel Corporation | Method and system to support network port authentication from out-of-band firmware |
US8166296B2 (en) * | 2004-10-20 | 2012-04-24 | Broadcom Corporation | User authentication system |
JP4742903B2 (ja) * | 2006-02-17 | 2011-08-10 | 日本電気株式会社 | 分散認証システム及び分散認証方法 |
JP2008033512A (ja) * | 2006-07-27 | 2008-02-14 | Toppan Printing Co Ltd | セキュリティチップ及びプラットフォーム |
KR101709456B1 (ko) * | 2008-02-19 | 2017-02-22 | 인터디지탈 패튼 홀딩스, 인크 | 안전하고 신뢰성있는 시간 기술을 위한 방법 및 장치 |
-
2009
- 2009-09-14 EP EP09792509A patent/EP2478682A1/en not_active Withdrawn
- 2009-09-14 JP JP2012529721A patent/JP5688087B2/ja not_active Expired - Fee Related
- 2009-09-14 WO PCT/US2009/056823 patent/WO2011031272A1/en active Application Filing
- 2009-09-14 KR KR1020127009291A patent/KR101482564B1/ko not_active IP Right Cessation
- 2009-09-14 EP EP18172118.4A patent/EP3382991A1/en not_active Withdrawn
- 2009-09-14 KR KR1020147004023A patent/KR101563828B1/ko not_active IP Right Cessation
- 2009-09-14 CN CN2009801621228A patent/CN102577301A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
CN102577301A (zh) | 2012-07-11 |
KR20120055728A (ko) | 2012-05-31 |
KR20140037263A (ko) | 2014-03-26 |
JP2013504832A (ja) | 2013-02-07 |
KR101482564B1 (ko) | 2015-01-14 |
KR101563828B1 (ko) | 2015-10-27 |
EP2478682A1 (en) | 2012-07-25 |
WO2011031272A1 (en) | 2011-03-17 |
EP3382991A1 (en) | 2018-10-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5688087B2 (ja) | 信頼できる認証およびログオンのための方法および装置 | |
US9490984B2 (en) | Method and apparatus for trusted authentication and logon | |
KR101434769B1 (ko) | 신뢰적인 연합 아이덴티티 관리 및 데이터 액세스 인가를 위한 방법 및 장치 | |
US9055107B2 (en) | Authentication delegation based on re-verification of cryptographic evidence | |
KR101636028B1 (ko) | 로컬 기능을 갖는 아이덴티티 관리 | |
US9264420B2 (en) | Single sign-on for network applications | |
Matsunaga et al. | Secure authentication system for public WLAN roaming | |
WO2019085531A1 (zh) | 一种终端联网认证的方法和装置 | |
GB2505211A (en) | Authenticating a communications device | |
CN104767740A (zh) | 用于来自用户平台的可信认证和接入的方法 | |
JP2017139026A (ja) | 信頼できる認証およびログオンのための方法および装置 | |
JP2015111440A (ja) | 信頼できる認証およびログオンのための方法および装置 | |
Hsu et al. | WebCallerID: Leveraging cellular networks for Web authentication | |
Singh et al. | Survey and analysis of Modern Authentication system | |
KR20130046781A (ko) | 무선 네트워크 접속 인증 방법 및 그 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131009 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20140205 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20140213 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20140305 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20140312 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20140407 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20140414 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140501 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140527 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20140827 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20140903 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141127 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20141224 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150123 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5688087 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |