JP5705736B2 - ネットワークを動作する方法、システム管理装置、ネットワーク及びコンピュータプログラム - Google Patents

ネットワークを動作する方法、システム管理装置、ネットワーク及びコンピュータプログラム Download PDF

Info

Publication number
JP5705736B2
JP5705736B2 JP2011529659A JP2011529659A JP5705736B2 JP 5705736 B2 JP5705736 B2 JP 5705736B2 JP 2011529659 A JP2011529659 A JP 2011529659A JP 2011529659 A JP2011529659 A JP 2011529659A JP 5705736 B2 JP5705736 B2 JP 5705736B2
Authority
JP
Japan
Prior art keywords
access
node
key material
system management
management device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011529659A
Other languages
English (en)
Other versions
JP2012504888A5 (ja
JP2012504888A (ja
Inventor
モルション オスカル ガルシア
モルション オスカル ガルシア
ボゼナ エルドマン
ボゼナ エルドマン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Koninklijke Philips NV
Original Assignee
Koninklijke Philips NV
Koninklijke Philips Electronics NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Koninklijke Philips NV, Koninklijke Philips Electronics NV filed Critical Koninklijke Philips NV
Publication of JP2012504888A publication Critical patent/JP2012504888A/ja
Publication of JP2012504888A5 publication Critical patent/JP2012504888A5/ja
Application granted granted Critical
Publication of JP5705736B2 publication Critical patent/JP5705736B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3093Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving Lattices or polynomial equations, e.g. NTRU scheme
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Pure & Applied Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Mathematical Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Algebra (AREA)
  • Mathematical Optimization (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Telephonic Communication Services (AREA)

Description

本発明は、ネットワークのノードを表す通信装置を有する当該ネットワークを動作する方法に関する。
本発明は、少なくとも一時的にユーザのパーソナルエリア内に位置する通信エンティティの一群を有するパーソナルエリアネットワーク(PAN)において典型的な応用例を見つける。PANは、例えば、ユーザの体の中又は上の複数の無線医療センサノード、及び前記ユーザのバイタルサインをモニタするモニタリング素子、又は複数の電子装置を有する。
セキュリティは、前記ネットワークの異なるノードの間で交換される安全情報を保証し、前記ネットワークの外側の他のユーザによるネットワーク装置に対するアクセスを制御するのに、同様又は如何なる種類の管理極秘データのネットワークに対する基本的な要求である。
したがって、これらのネットワークは、幾つかの主要な問題、すなわち、
−異なるノードに対して、他のノードを同じネットワークのメンバであると識別、承認及び信頼する手段を提供する、信頼問題と、
−前記ネットワークの異なるノードの間の安全な通信を可能にする手段を提供する、安全通信問題と、
−前記ネットワークのノード又は情報に対する制限されたアクセスのメカニズムを提供する、アクセス制御問題と、
を考慮に入れるセキュリティシステムを必要とする。
このようなネットワークを動作する従来の方法は、一般に、前記ネットワークのノードに暗号材料を事前配布し、次いで、通信が前記ノード間で確立されなければならない場合に、前記ネットワークに属するものとして各ノードを承認するのに使用されるパーソナルマネージャ装置又は信頼センタであるマスタノードを提供する。しかしながら、これらの方法は、幾つかの欠点を持つ。
−まず、これらの方法は、前記ネットワークの2つのノードが前記マスタノードを参照することなしに承認することを可能にしない、及び
−加えて、前記暗号材料は、前記ネットワークのノードに事前配布されるので、前記ネットワークの外部ユーザにアクセスを提供することを可能にしない。
加えて、信頼でき、かつ安全な形でネットワークの外部ユーザにアクセスを許可する公開鍵暗号に基づく方法が、提案されている。しかしながら、これらの方法は、計算の観点からリソースフレンドリではなく、長い鍵の送信を必要とする。したがって、これらの方法は、一般にリソース制約のあるパーソナルエリアネットワークにおいて使用される装置において常に利用可能であるわけではない通信、計算及びメモリ性能を要求する。
本発明の目的は、上で提示された欠点を克服するネットワークを動作する方法を提案することである。
本発明の他の目的は、ネットワークにおける通信要件を最小化しながら外部ユーザが前記ネットワークに対するアクセスを許可される方法を提案することである。
本発明の更に他の目的は、外部ユーザ側で計算要件を最小化することを可能にする方法を提供することである。
本発明の更に他の目的は、ネットワークの暗号要素の回復力に影響をもたらす又は危険にさらすことなしに前記ネットワークに対する外部ユーザのアクセスを可能にする方法である。
このために、ノード及びシステム管理装置を有するネットワークを動作する方法が与えられ、前記システム管理装置は、αの複雑度(degree of complexity)を持つアルファ安全関数(alpha-secure functions)のセットであるルート鍵材料(root keying material)を有し、前記ノードは、前記ルート鍵材料から得られた複雑度αのノード鍵材料共有(node keying material share)を与えられる。
このような方法は、前記システム管理装置における前記ノードに対するアクセスを得るための外部ユーザに対する要求の受信の後に、以下のステップ、すなわち、
a)前記システム管理装置が、前記ルート鍵材料及びアクセス識別子から複雑度αの外部ユーザ鍵材料共有を生成するステップと、
b)前記システム管理装置が、前記外部ユーザ鍵材料共有及び前記ノードの識別子から、αより小さい複雑度のアクセス鍵材料を生成するステップと、
c)前記システム管理装置が、前記アクセス鍵材料共有及び前記アクセス識別子を前記外部ユーザに与えるステップと、
d)前記外部ユーザが、前記アクセス鍵材料共有から鍵を導出し、この鍵及びアクセス証明書を前記ノードに送信するステップと、
e)前記ノードが、前記アクセス識別子及び前記ノード鍵材料共有から鍵を計算するステップと、
f)前記ノードが、前記外部ユーザを承認するために前記外部ユーザにより送信された鍵及び前記ノードにより計算された鍵を比較するステップと、
を有する。
この方法は、前記ノードが、前記外部ユーザを、前記ノードに対するアクセスを持つことを前記システム管理装置により承認されていると承認することを可能にする。ステップd)ないしf)に見られるように、この承認は、前記システム管理装置を参照することなしに実行され、したがって、これは、たとえこの装置がオフラインであるとしても、実行されることができる。
更に、前記外部ユーザは、減少された複雑さのアクセス鍵材料共有のみを与えられるので、前記方法は、前記ネットワークの主要な暗号要素の回復力を維持することを可能にする。実際に、前記アクセス鍵材料の低い複雑さは、たとえ外部ユーザを捕らえ、アクセス鍵材料共有を漏らすとしても、攻撃者が前記ルート鍵材料を取り出すことを防止する。
本発明の特定の実施例において、前記アクセス識別子は、前記システム管理装置により受信された要求に基づいてアクセス証明書に対して実行されたハッシュ関数の結果であり、前記ノードは、前記ハッシュ関数を与えられる。この実施例において、前記ノードは、前記アクセス証明書のハッシュ関数を計算し、結果を前記受信されたアクセス識別子と比較することにより前記アクセス証明書の有効性を検証することができる。
この実施例の変形例において、ステップc)は、前記システム管理装置が前記外部ユーザに前記アクセス証明書を与えるステップを有することができ、ステップd)は、前記外部ユーザが前記アクセス証明書を前記ノードに与えるステップを有する。
上記記載に見られるのは、アクセス証明書の検証を有するこの実施例において、このような検証は、承認プロセスの終了後のみに実行されることである。これは、前記ノードが、前記証明書が前記ネットワークの前記システム管理装置により与えられたことを確認した場合のみに前記証明書の有効性を検証することを意味する。
本発明の他の態様によると、αの複雑度を持つアルファ安全関数のセットであるルート鍵材料を有するシステム管理装置が、提供され、前記システム管理装置は、ノードをも有するネットワークに含まれ、前記システム管理装置は、
−前記アクセスを得るための外部ユーザに対する要求を受信すると、前記ルート鍵材料及びアクセス識別子から複雑度αの外部ユーザ鍵材料共有を生成する手段と、
−前記ノードの識別子及び前記外部ユーザ鍵材料共有から、αより小さい複雑度のアクセス鍵材料を生成する手段と、
を有し、
−前記システム管理装置が、前記アクセス鍵材料共有及び前記アクセス識別子を前記外部ユーザに与える。
本発明の特定の実施例において、前記システム管理装置は、
−外部ユーザが前記システム管理装置との通信を要求することなしに前記ネットワーク内の第2のノードにアクセスすることができるように前記ネットワーク内の第1のノードから前記外部ユーザにアクセス権を委託する手段と、
−攻撃者が、前記ネットワーク内の前記ノードに配布された前記鍵材料共有からいかなる情報も得ることができないが、前記ネットワーク内の前記ノードが、前記システム管理装置から配布された前記鍵材料共有にリンク付けされたアクセス及び委託証明書を依然として検証することができるように、前記ネットワーク内の前記ノードに配布された前記鍵材料共有を無相関にする無相関手段と、
を有する。
本発明の更に他の態様によると、本発明によるシステム管理装置及びネットワークのノードを表す通信装置を含むネットワークが提供される。
本発明の更に他の態様によると、本発明による方法を実施するコンピュータプログラムが提供される。
本発明のこれら及び他の態様は、以下に記載される実施例を参照して説明され、明らかになる。
本発明は、ここで、添付の図面を参照して、例として、より詳細に記載される。
本発明による方法で動作されるパーソナルエリアネットワークである。 本発明による方法のシーケンスを記載する図である。 本発明によるシステム管理装置の動作を詳述するブロック図である。 本発明の一実施例において使用される二変数多項式の係数の行列である。
本発明は、通信装置を有するネットワーク、例えばパーソナルエリアネットワークを動作する方法に関する。
図1は、本発明の第1の実施例が実施されることができる典型的なネットワーク1を示す。このネットワーク1は、ユーザ2に属し、通信装置3及び前記ネットワークのノードを表す複数の装置D1、D2、D3を与えられる。このネットワークは、パーソナルエリアネットワークであり、これは、前記ネットワーク内の全ての装置がユーザ2に属し、したがって、通信装置3が、システム管理装置として使用されることを意味する。
システム管理装置3は、例えば、暗号材料の生成及び記憶を可能にするSIMカードを有する携帯電話である。
装置D1、D2、D3は、例えば、医療ネットワークの場合、ユーザ2の体の上又は周りに据えられた体センサノード又は前記ユーザのバイタルサインをモニタリングする前記センサノードと通信するモニタリング装置である。
他の例において、D1、D2、D3は、携帯電話、音楽プレイヤ、ビデオ装置、電子自動車システムのような電子装置である。他の例において、装置D1、D2及びD3は、家庭用電化製品又は照明機器である。
両方の例において、ネットワーク1において、外部ユーザ4に前記ネットワークの装置の1つに対するアクセスを与える機会を得るのに有用に見える。前記医療ネットワークの場合、外部ユーザ4は、ユーザ2の条件を離れて確認するモニタリング装置に対するアクセスを持つ必要がある医者であることができる。ユーザ4は、前記ネットワークの装置にアクセスする通信装置を与えられる。明細書の残りにおいて、前記ユーザ及び前記ユーザの通信装置の両方が、参照"ユーザ4"の下で指定される。
他の例において、外部ユーザ4は、例えばマルチメディアファイルを交換するために、ユーザ2に属する1つの装置に対するアクセスを持つことを望むユーザ2の友人であることができる。
本発明において対処されるネットワークの感知アプリケーションのため、これらのネットワークは、前述のように、外部ユーザによりアクセスを制御するが、前記ネットワークの前記ノードの間の通信を保護するセキュリティシステムを与えられることを必要とする。
本発明の第1の実施例による方法において、アルファ安全鍵配布システムに基づくセキュリティシステムが使用される。このようなシステムにおいて、ノードは、既成の鍵を共有しない。代わりに、ノードは、前記ノードが他のノードの識別子の入力により前記ネットワーク内の前記他のノードとの共有鍵を計算することを可能にするあるノード固有情報を与えられる。このノード固有情報は、システム管理装置(KMRoot)により与えられるルート鍵材料から導出される。前記ノード固有情報は、ノード鍵材料共有として指定され、ノードiに対するKM(i)により示される。
有利には、前記ルート鍵材料は、多変数多項式である。ノードは、前記多変数多項式から生成された多項式共有を受信する。例えば、前記多変数多項式は、次数αの2つの変数(x,y)の多項式であることができ、前記ノード鍵材料共有は、ノード識別子に対応する点における二変数多項式評価に対応する次数αの単変数多項式である。
例えば、対称二変数多項式f(x,y)がルート鍵材料として使用され、図1のネットワーク1内の装置D1及びD2が、ノード鍵材料共有f(D1,y)及びf(D2,y)をそれぞれ持つことが、再び仮定されることができる。両方のノードが、通信することを望む場合、これらは、対応する識別子を獲得し、すなわち、D2は、D1の識別子IDD1=D1を獲得し、D1は、D2の識別子IDD2=D2を獲得する。この場合、各ノードは、他の装置の識別子内の多項式共有を評価することにより共通鍵を生成することができ、すなわち、ノードD1は、y=D2において多項式共有f(D1,y)を評価し、ノードD2は、y=D1においてf(D2,y)を評価する。したがって、両方のノードは、共通鍵K=f(D1,D2)=f(D2,D1)において一致する。最終的に、両方のノードは、例えばチャレンジ・レスポンス承認ハンドシェイクの手段により、互いに承認するのにKを使用することができるか、又は機密性を可能にするようにセッション鍵を導出することができる。
このような安全システムは、前記ネットワークに属する2つのノードが通信している場合に、攻撃の下で高い回復力を提供する。ネットワークを動作するこの方法は、前記ネットワークに属さない、したがって最初に鍵材料共有を与えられていないユーザに対してアクセスを許可するアクセス制御プロトコルを提供するように、このアルファ安全システムから得られる。
ユーザ4は、前記ネットワークに属していないので、攻撃に対するセキュリティを保証するようにユーザ4を識別し、承認することが必要である。したがって、ユーザが、ネットワークのノードに対するアクセスを要求する場合、前記システムのシステム管理装置3が、この要求に応答して、アクセスを望む前記ネットワークのノードをユーザ4が直接的に対処することを可能にするためにアクセス識別子を生成する。
承認及びアクセス許可のこのようなプロトコルは、本発明による方法を実行する間にシステム管理装置SMD、外部ユーザU及びノードNにより実行される異なるステップの動作シーケンスを表す図2を参照して、より正確に記載される。以下の記載において、前記ノードの名称及び前記ノードの識別子は、両方ともNにより指定される。
前記システム管理装置は、鍵材料を生成及び記憶する手段、ハッシュ関数のような暗号関数を生成、計算及び記憶する手段、並びにこれらの要素を処理し、他の装置に送信する手段を有する装置である。
図2に示されるシーケンスは、3つの段階に分割される。このシーケンスは、具体的には前記システム管理装置により実行される動作を示す図3と関連して記載される。
設定段階CONFIG中に、前記システム管理装置は、ノードNに送信されるハッシュ関数h及びルート鍵材料からノード鍵材料KM(N)を生成する。
好ましくは、前記ルート鍵材料は、二変数多項式
Figure 0005705736
の形式の下で、前記システム管理装置により、例えばSIMカードを用いて、生成される。多変数多項式又は多数の多変数多項式のような多項式鍵材料の他の形式が、例えば多項式の多変数性質によってより高い数のユーザを持つシステムを可能にするために使用されてもよい。多項式鍵材料は、先端技術において既知である摂動多項式のような前記ルート鍵材料を保護する他の暗号関数でマスクされることもできる。
ノード鍵材料KM(N)は、この場合、x=NにおいてKM(x,y)を評価することにより生成される。したがって、ノードNに対するノード鍵材料KM(N)は、次数アルファの単変数多項式である、
Figure 0005705736
である。
前記設定段階は、前記ネットワークの事前展開(pre-deployment)中に行われることができ、したがって、一度前記ネットワークが展開されると、前記ノードは、ノード鍵材料共有を与えられる。
この設定段階中に、前記システム管理装置は、前記ノードにハッシュ関数をも与え、更に、
−暗号識別子、
−前記システム管理装置との相互承認に対するマスタ秘密、
−前記ネットワークの他のノードに対する前記ノードのアクセス制御権に関する情報、
のような他の要素をも与えることができる。
図2に示される第2の段階AUTHは、前記ネットワークに対するアクセスを得るための要求を送信する外部ユーザの承認に対応する。
ユーザUは、ノードNに対するアクセスを要求するために前記システム管理装置に要求Rqstを送信する。この要求は、ノードN識別子を有し、一部の実施例において、要求される有効期間に関する時間情報及び外部ユーザに対して承認されたアクションの限定的なセットのような他のアクセス特性をも有する。一例として、ユーザは、15分の間にノードNにより収集された情報を読み取ることを承認されるための要求を送信する。
この要求Rqstの受信後に、前記システム管理装置は、まず、前記要求の特性の一部又は全てに依存してアクセス証明書Cを生成する。証明書は、例えば限定的な時間期間に対してユーザに許可されたアクセスを符号化することができ、C={ユーザUが15分だけノードNにアクセスすることを可能にされる}である。
更に、要求Rqstが、前記ノード識別子以外の特性を有さない場合、前記システム管理装置は、一実施例において、例えば以前に確立されたアクセス制御ポリシに基づいて、とにかく前記アクセス証明書を所定の時間期間に又はアクションの限定的なセットに制限することができる。
前記アクセス証明書に基づいて、前記システム管理装置は、ID=ハッシュ(C)=ハッシュ({ユーザUが15分だけノードNにアクセスすることを可能にされる})のように、前記アクセス証明書のハッシュであるアクセス識別子IDを生成する。
前記システム管理装置は、この場合、ステップa)において、x=IDにおいてルート鍵材料KM(x,y)を評価し、したがって次数アルファの単変数多項式であるKM(ID,y)を得ることにより外部ユーザ鍵材料KM(U)を生成する。
前記外部ユーザがノードNにアクセスすることを承認されるために、前記システム管理装置は、全ての暗号要素、すなわち証明書C、識別子ID及び前記外部ユーザ鍵材料共有を送信しなければならない。
しかしながら、KM(ID,y)は、次数アルファの多項式であるので、α+1の係数が、ユーザUに送信されなければならず、したがって大きな通信要件を必要とする。したがって、本発明は、前記ユーザに前記ユーザ鍵材料共有を送信する前に、前記システム管理装置が、ステップb)において、前記多項式の次数、したがって送信されるべき係数の数を減少させるようにこれを事前に計算するようになっている。
このような事前計算は、複数回y=NにおいてKM(ID,y)を評価することにより実行される。例えば、前記評価をα−1回実行することは、結果としてアクセス鍵材料
Figure 0005705736
を生じる。
したがってKM'(ID,y)=aDy+a0であり、これは、2つの係数のみがユーザUに送信されなければならないことを意味する。
有利な実施例において、前記事前計算は、α回実行され、これは、ユーザUに送信されるアクセス鍵材料が、直接的に前記アクセス証明書にリンク付けされた鍵であることを意味する。
一度前記アクセス鍵材料が事前に計算されると、前記システム管理装置は、ユーザUに以下の要素、すなわちC、ID及びKM'(ID,y)を送信する。
KM'(ID,y)は、前記事前に計算された多項式をユーザ鍵材料KM(ID,y)と区別するただの形式的な表記である。実際に、鍵を得るためのKM'(ID,y)の完全な計算は、KM(ID,y)の完全な計算と同じ結果を与える。
この送信は、例えば、電気通信ネットワークに与えられたショートメッセージサービス(SMS)を使用することにより実行されることができる。ここで、前記多項式の2つの係数が送信されなければならないと仮定すると、前記ショートメッセージの構成は、以下のとおりであることができる。
Figure 0005705736
このメッセージは、したがって、160バイトの長さであることができ、これは、ショートメッセージシステム(SMS)が160文字までのメッセージを符号化することができるので、単一のショートメッセージ内で符号化することを可能にする。したがって、送信されるべき多項式係数の数を限定することは、通信要件を減少するのを助ける。
前記証明書の送信は、パーソナルコンピュータ、電子装置に対するアクセス又は施設に対する許可アクセスのような如何なる種類のアクセスも如何なる他の無線又は有線媒体上で実行されることもできる。
したがって、前記ユーザが、ノードNにアクセスすることを望む場合に、y=Nにおいてアクセス識別子KM(ID,y)を評価することにより鍵を生成する。この場合、ノードNに鍵KM(ID,N)及びIDを送信する。既にノード鍵材料共有KM(N,y)を与えられたノードNは、これをy=IDにおいて評価し、鍵KM(N,ID)を得る。
本発明における前記システム管理装置により生成された鍵材料共有を形成する多項式は、対称であり、これは、KM(x,y)=KM(y,x)であることを意味する。
したがって、ノードNは、ユーザUにより送信された鍵KM(ID,N)を計算された鍵KM(N,ID)と比較し、前記鍵が等しい場合、暗号要素KM(ID,N)及びIDが実際にシステム管理装置SMDによりユーザUに与えられたことを確認するので、ユーザUを承認する。本発明の他の実施例において、鍵KM(ID,N)は、両方の関与するパーティが共通の秘密KM(ID,N)の所有を証明することを可能にする承認プロトコルを起動するのに使用されることができる。
一度前記承認が実行されると、ユーザUは、検証段階VALID中に、証明書CをノードNに送信することができる。前記ノードは、この場合、アクセス証明書のハッシュ関数h(C)を計算し、結果を受信されたアクセス識別子IDと比較することによりこのアクセス証明書を検証する。一部の実施例において、証明書Cは、アクセス鍵材料KM(ID,D)及び識別子IDと同時に送信されることができる。
この承認プロセスを記述する際に、ユーザ鍵材料共有の事前計算の他の利点が、前記鍵を生成するためのユーザUの計算要件を低減させるという事実にあることがわかる。実際に、前記ユーザは、限定的な回数だけ前記アクセス鍵材料を評価しなければならないだけである。すなわち、前記システム管理装置が、事前計算中に、前記ユーザ鍵材料をα−x回評価して前記アクセス鍵材料を生成する場合、ユーザUは、前記鍵を得るために前記アクセス鍵材料をx回評価しなければならないだけである。x=αである場合、ユーザUは、前記アクセス鍵材料を全く評価する必要がない。
更に、ユーザUは、元のルート鍵材料に関するより少ない情報を与えられるので、この事前計算は、前記システムのセキュリティを増加することを可能にし、ユーザUの捕獲により暴露される情報の量は、xが増加する場合に減少する。
前記システム管理装置が、単一の対称二変数多項式f(x,y)を有するルート鍵材料を持つと仮定する。したがって、α+1の長い鍵材料共有f(ID,y)のみが、以下の連立一次方程式、
Figure 0005705736
を使用することにより前記元のルート鍵材料を再計算することを必要とされる。
図4に示される行列は、二変数多項式の多項式係数を表す。アクセス鍵材料共有を収集することにより前記システムをクラックしようと試みる攻撃者は、以下の問題、
・行列[a00,a01,a0j,...,a]内のより少ない係数をクラックすることは、α+1の事前に計算された多項式f'(ID,y)のより少ない係数の組み合わせを必要とする。これは、連立方程式を解くことを可能にする。これらの係数は、両方の楕円により下の行列に含まれる。
・前記行列内の残りの係数をクラックすることは、合計(α2−α−2)/2の異なる係数、すなわち三角形内の係数を見つけることを必要とする。前記多項式が対称であるという事実のため、上の行列対角における係数は、下の行列対角の対応する係数に等しく、すなわちaij=ajiである。短い多項式f'(ID,y)のより高い係数aDは、これら全ての係数に依存し、合計(α2−α−2)/2の短い多項式が、前記連立方程式をクラックするのに必要とされる。
結果的に、アルファ安全システムは、(α2−α−2)/2のアクセス鍵材料共有の結託をサポートする。これは、セキュリティレベルにおける有意な増加を意味する。
更に、本発明のように、最小の複雑度の鍵材料共有を使用することは、ネットワーク、例えばパーソナルエリアネットワークのより便利な展開を可能にする。例えば、ユーザがルート鍵材料及びパラメータα=100を持つシステム管理装置SMDを持っていることを想像することができる。前記ユーザのパーソナルエリアネットワークが、50の装置を有し、各々の装置が、前記ユーザのSMDから暗号情報の通常のセット、すなわち証明書C、識別子ID及び対応するユーザ鍵材料を得ると見なす。前記システム管理装置は、外部ユーザに対する特別なアクセス権を許可するためにアクセス鍵材料を発行することができる。50セットのユーザ又はノード鍵材料が、既に割り当てられているので、前記システムは、前記システムのセキュリティを危険にさらすことなしに(50^2−50−2)/2=1224セットのアクセス鍵材料を受け入れることができる。鍵材料のセットは、例えば、前記鍵材料に対応する多項式の係数のセットに対応する。したがって、ユーザ又はノード鍵材料のセットは、アクセス鍵材料のセットより長い。
本発明は、したがって、公開鍵暗号の証明書機能を対称暗号の低リソース要件と組み合わせる多項式鍵材料に基づいてアクセス制御証明書を配布することによりアクセスを可能にするアプローチを記載する。
前述のように、本発明による方法は、
−患者が、例えばアルファ安全鍵材料を信頼できる臨床医/ウェルネスコーチ/ホームドクタに配布することにより、独自の安全体エリアネットワークをセットアップする、医療モニタリングに対する広範囲のヘルスケア、
−ユーザが、承認された人のみが照明設定を修正することができるように設定トークンを用いて照明システムを設定する、照明パーソナライゼーション、
−ユーザが、携帯電話が装置間で承認し、リソースにアクセスすることができるように、アルファ安全鍵材料を用いて前記ユーザの装置を設定するように携帯電話をシステム管理装置として使用し、前記ユーザが、他の人々、例えば友人に、例えばSMSにおいて、安全リンク上でアクセス証明書にリンク付けされたアクセス鍵材料セットを与えることができる、電気通信応用、
を含む非常に異なる応用分野において応用を見つけることができる。
これらの応用分野内で、以下のような複数の使用事例が、本発明による方法により可能にされる。
−PCログインを安全化する。ユーザAは、パーソナルセキュリティマネージャを使用することによりアルファ安全鍵材料及びアクセス制御ポリシでPCを設定する。前記ユーザは、管理者アクセス権を持つ軽量デジタル証明書及び鍵材料の有効なセットを持つトークンを持っている。前記ユーザが、前記PCに近い場合、前記ユーザは、前記トークンを用いて自動的にログインすることができる。
−体センサネットワーク(BSN)設定を安全化する。患者は、システム管理装置SMDにより制御されるBSNを持つ。前記SMDは、アルファ安全鍵材料ルートの生成に対するシード(seeds)をスマートカードに記憶する。前記スマートカードは、識別子又はアクセス制御ポリシのような前記患者に関する他の情報をも含むことができる。前記患者は、無線センサノード、インプラントのようなネットワーク内の装置又はエンティティを制御し、医療スタッフが前記システムに対するアクセスを持つのを承認するのにSMDを使用することができる。前記ユーザは、証明書C及びノード鍵材料のセットを与えることにより前記ユーザのネットワークに装置又はエンティティを含めることができる。設定後に、エンティティの対は、前記患者のネットワークのメンバとして互いを承認することができる。例えば、前記患者は、異なる場所及び時間における2つの異なる臨床医A及びBを追加することができる。この後に、必要であれば、両方の臨床医が、前記証明書及び前記鍵材料のセットを使用することにより前記ユーザのネットワークのメンバとして互いを承認することができる。
−電気通信応用。マイクロペイメント。支払い端末の各々は、支払いサービスオペレータ(例えば携帯ネットワークオペレータ)によるノード鍵材料共有を用いて設定される。携帯電話を使用するマイクロペイメントを行いたいユーザは、前記ユーザが使用しようとしている前記支払い端末に対して部分的に事前評価された、安全なチャネル(例えばSMS)を介してアクセス鍵材料を受信する。
本発明による方法は、前記異なる鍵材料に対応する多項式が、f(x,y)≠f(y,x)である非対称多項式である場合にも応用されることができる。非対称多項式の使用は、前記2つのグループの1つのメンバ、すなわち、それぞれ変数x又はyに対して評価された前記鍵材料を得る装置として前記エンティティを識別及び事前承認する、及び各々が異なるグループのメンバであるエンティティの対に対する安全鍵交換を限定する追加の利点を持つ。これは、一部のシナリオ、例えばユーザ対支払い端末、ユーザ対プロバイダインフラストラクチャにおいて有益でありうる。
本発明の特定の実施例において、多変数多項式は、委託機能を可能にするのに使用される。ここで、ルート鍵材料は、多変数多項式のような多変数鍵材料を有し、前記システム管理装置SMDにより処理される。第1及び第2の装置、又はノードは、前記SMDからの前記他変数鍵材料ルートから得られるそれぞれの鍵材料共有を受信する。前記第1の装置に配信された鍵材料共有は、前記第1の装置により前記第2の装置にアクセスするのに使用されることができる。前記第1の装置は、第3の装置に委託されるアクションを符号化する鍵材料共有から委託鍵材料共有を生成することができる。前記第3の装置は、前記第2の装置に対するアクセス権を証明するのにこの委託鍵材料共有を使用することができる。このような委託アプローチは、ルート鍵材料として三変数多項式を使用することにより実施されることができる。前記第1及び第2の装置は、対応する装置の識別に依存してある点における三変数多項式の第1の変数を評価することにより前記三変数多項式から生成される二変数多項式共有を受信することができる。この識別は、ハッシュ関数を用いて証明書から生成されることができる。前記第1及び第2の装置は、二変数多項式共有を使用することにより共通鍵について一致することができる。前記第1の装置は、第3の装置に割り当てられた委託権に依存して識別子内の第2の変数yにおいて二変数多項式共有を評価することにより前記第3の装置に対する他の委託鍵材料共有を生成することができる。前記第3の装置は、前記第2の装置と通信するために前記SMDの介入なしに前記第1の装置から受信された委託鍵材料を使用することができる。
本発明による方法の他の実施例は、前記ルート鍵材料がクラックされることから保護する無相関方法を用いる前記多項式鍵材料の使用に言及する。このような無相関方法は、多項式ベースの証明書、多項式ベースのアクセス証明書及び委託アプローチの使用における最大セキュリティを達成するのに使用されることができる。無相関メカニズムは、多項式ベースの証明書を承認するのに使用されるノードの鍵材料共有に、無相関鍵材料、例えば無相関多項式を追加することにより構築されることができ、これにより前記ノードは、前記ノードの鍵材料又は前記無相関多項式のいずれも知らない。無相関多項式を使用する場合、これらの多項式は、
(i)攻撃者がいかなる情報も得ることができないようにノードに配布される多項式共有をマスクする、及び
(ii)前記アクセス証明書の検証に必要とされる鍵生成プロセスを妨げない、
ように選択される。結果的に、無相関手段の使用は、最大安全である多項式ベースの証明書の展開を可能にする。
本明細書及び請求項において、要素に先行する単語"1つの"("a"又は"an"
)は、複数のこのような要素の存在を除外しない。更に、単語"有する"は、リストされた要素又はステップ以外の要素又はステップの存在を除外しない。請求項内の括弧内の参照符号の包含は、理解を助けることを意図され、限定することを意図されない。
本開示を読むことにより、他の修正例が、当業者に明らかである。このような修正例は、無線通信の分野及び送信機パワー制御の分野において既知であり、ここに既に記載されたフィーチャの代わりに又は加えて使用されることができる他のフィーチャを含むことができる。

Claims (14)

  1. ノード及びシステム管理装置を有するネットワークを動作する方法において、前記システム管理装置が、αの複雑度を各々持つ関数のセットであるルート鍵材料を有し、前記ノードが、αの複雑度を持つノード鍵材料共有を与えられ、前記ノード鍵材料共有が、前記ルート鍵材料から導出され、前記方法は、前記ノードに対するアクセスを得るための外部ユーザに対する要求の前記システム管理装置における受信後に、
    a)前記システム管理装置が、前記ルート鍵材料からαの複雑度の外部ユーザ鍵材料共有を生成し、アクセス識別子を生成するステップと、
    b)前記システム管理装置が、前記外部ユーザ鍵材料共有から、αより小さい複雑度のアクセス鍵材料を生成し、前記ノードの識別子を生成するステップと、
    c)前記システム管理装置が、前記外部ユーザに前記アクセス鍵材料共有及び前記アクセス識別子を与えるステップと、
    d)前記外部ユーザが、前記アクセス鍵材料共有から鍵を導出し、この鍵及び前記アクセス識別子を前記ノードに送信するステップと、
    e)前記ノードが、前記アクセス識別子及び前記ノード鍵材料共有から鍵を計算するステップと、
    f)前記ノードが、前記外部ユーザを承認するために、前記外部ユーザにより送信された鍵及び前記ノードにより計算された鍵を比較するステップと、
    を有し、
    前記αが、二変数多項式評価に対応する次数、又は、事前計算から前記アクセス鍵材料を生じるために単変数多項式KM(ID,y)(ここで、IDはアクセス識別子)を評価する回数である、方法。
  2. 前記アクセス識別子が、前記システム管理装置により受信された前記要求に基づいてアクセス証明書に対して実行されたハッシュ関数の結果であり、前記ノードが、前記ハッシュ関数を与えられ、
    前記ステップc)は、前記システム管理装置が、前記外部ユーザに前記アクセス証明書を与えるステップを有し、前記ステップd)は、前記外部ユーザが、前記アクセス証明書を前記ノードに送信するステップを有し、
    前記方法は、
    g)前記ノードが、前記アクセス証明書の前記ハッシュ関数を計算し、その結果を前記受信されたアクセス識別子と比較することにより前記アクセス証明書を検証するステップ、
    を有する、請求項1に記載の方法。
  3. 前記システム管理装置により受信された前記要求が、少なくとも1つのアクセス特性を有し、前記アクセス証明書が、この特性に依存する、請求項2に記載の方法。
  4. 前記アクセス特性が、ノード識別子、有効期間を規定するパラメータ、前記外部ユーザに対して承認されたアクションの限定的なセットを規定するパラメータの少なくとも1つを有する、請求項3に記載の方法。
  5. 前記ルート鍵材料が、総次数アルファの二変数多項式である、請求項1に記載の方法。
  6. 前記ステップa)が、前記ユーザ鍵材料に対応する次数アルファの単変数多項式を得るように、前記アクセス識別子に対応する第1の点において二変数ルート鍵材料共有を評価するステップを有し、
    前記ステップb)が、
    b1)減少された次数の単変数多項式を得るように前記ノード識別子に対応する第2の点において前記単変数多項式を少なくとも部分的に事前に計算するステップ、
    を有する、請求項5に記載の方法。
  7. 前記ステップb1)が、前記第2の点において最大次数係数のセットに対して次数アルファの前記単変数多項式を計算するステップを有する、請求項6に記載の方法。
  8. α−1の最大次数係数が計算される、請求項7に記載の方法。
  9. 前記アクセス識別子が、アクセス証明書に基づいて生成され、前記ルート鍵材料及びアクセス証明書が、無相関方法を用いて保護される、請求項1に記載の方法。
  10. 前記システム管理装置が、前記システム管理装置から鍵材料共有を得た第1のノードから第3のノードへのアクセス権の委託を可能にし、前記第3のノードが、前記システム管理装置から鍵材料を得た第2のノードにアクセスすることができる、請求項1に記載の方法。
  11. αの複雑度を持つ関数のセットであるルート鍵材料を有するシステム管理装置において、前記システム管理装置が、ノード及び前記システム管理装置を有するネットワークに含まれ、前記システム管理装置が、
    −前記ノードに対するアクセスを得るための外部ユーザに対する要求の受信後に、前記ルート鍵材料から複雑度αの外部ユーザ鍵材料共有を生成し、アクセス識別子を生成する手段と、
    −前記外部ユーザ鍵材料共有からαより小さい複雑度のアクセス鍵材料を生成し、前記ノードの識別子を生成する手段と、
    を有し、
    −前記システム管理装置が、前記外部ユーザに前記アクセス鍵材料共有及び前記アクセス識別子を与え
    前記αが、二変数多項式評価に対応する次数、又は、事前計算から前記アクセス鍵材料を生じるために単変数多項式KM(ID,y)(ここで、IDはアクセス識別子)を評価する回数である、システム管理装置。
  12. −前記ネットワーク内の第1のノードから外部ユーザにアクセス権を委託する手段であって、これにより、前記ユーザが、前記システム管理装置との通信を要求することなしに前記ネットワーク内の第2のノードにアクセスすることができる、前記委託する手段と、
    −前記ネットワーク内の前記ノードに配布された前記鍵材料共有を無相関にする無相関手段であって、これにより、攻撃者が、前記ネットワーク内の前記ノードに配布された前記鍵材料共有から情報を得ることができないが、前記ネットワーク内の前記ノードが、前記システム管理装置から配布された前記鍵材料共有にリンク付けされたアクセス及び委託証明書を検証することができる、前記無相関手段と、
    を有する、請求項11に記載のシステム管理装置。
  13. 請求項11に記載のシステム管理装置及びノードを有するネットワークであって、請求項1に記載の方法により動作されるネットワーク。
  14. ノード及びシステム管理装置を有するネットワークの前記システム管理装置を動作するコンピュータプログラムにおいて、前記システム管理装置が、αの複雑度を各々持つ関数のセットであるルート鍵材料を有し、前記ノードが、αの複雑度を持つノード鍵材料共有を与えられ、前記ノード鍵材料共有が、前記ルート鍵材料から導出され、前記コンピュータプログラムは、前記システム管理装置上で実行される場合に、前記ノードに対するアクセスを得るための外部ユーザに対する要求の前記システム管理装置における受信後に、
    a)前記ルート鍵材料からαの複雑度の外部ユーザ鍵材料共有を生成し、アクセス識別子を生成するステップと、
    b)前記外部ユーザ鍵材料共有から、αより小さい複雑度のアクセス鍵材料を生成し、前記ノードの識別子を生成するステップと、
    c)前記外部ユーザに前記アクセス鍵材料共有及び前記アクセス識別子を与えるステップと、
    を前記システム管理装置に実行させ、
    前記αが、二変数多項式評価に対応する次数、又は、事前計算から前記アクセス鍵材料を生じるために単変数多項式KM(ID,y)(ここで、IDはアクセス識別子)を評価する回数であり、
    前記外部ユーザが、前記アクセス鍵材料共有から鍵を導出し、この鍵及び前記アクセス識別子を前記ノードに送信し、前記ノードが、前記アクセス識別子及び前記ノード鍵材料共有から鍵を計算し、前記ノードが、前記外部ユーザを承認するために、前記外部ユーザにより送信された鍵及び前記ノードにより計算された鍵を比較する、
    コンピュータプログラム。
JP2011529659A 2008-10-06 2009-09-28 ネットワークを動作する方法、システム管理装置、ネットワーク及びコンピュータプログラム Active JP5705736B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP08305644.0 2008-10-06
EP08305644 2008-10-06
PCT/IB2009/054229 WO2010041164A2 (en) 2008-10-06 2009-09-28 A method for operating a network, a system management device, a network and a computer program therefor

Publications (3)

Publication Number Publication Date
JP2012504888A JP2012504888A (ja) 2012-02-23
JP2012504888A5 JP2012504888A5 (ja) 2012-11-15
JP5705736B2 true JP5705736B2 (ja) 2015-04-22

Family

ID=42101024

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011529659A Active JP5705736B2 (ja) 2008-10-06 2009-09-28 ネットワークを動作する方法、システム管理装置、ネットワーク及びコンピュータプログラム

Country Status (9)

Country Link
US (1) US8539235B2 (ja)
EP (1) EP2345200B1 (ja)
JP (1) JP5705736B2 (ja)
KR (1) KR101657705B1 (ja)
CN (1) CN102171969B (ja)
BR (1) BRPI0913820B1 (ja)
RU (1) RU2536362C2 (ja)
TW (1) TWI487356B (ja)
WO (1) WO2010041164A2 (ja)

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8874477B2 (en) 2005-10-04 2014-10-28 Steven Mark Hoffberg Multifactorial optimization system and method
CN102187615B (zh) * 2008-10-20 2014-02-26 皇家飞利浦电子股份有限公司 生成加密密钥的方法、网络
US9602276B2 (en) 2010-06-11 2017-03-21 Qualcomm Incorporated Method and apparatus for virtual pairing with a group of semi-connected devices
CN104303450A (zh) * 2012-05-21 2015-01-21 皇家飞利浦有限公司 密码密钥的确定
CN105580309A (zh) * 2013-07-12 2016-05-11 皇家飞利浦有限公司 密钥协商设备和方法
US9551594B1 (en) 2014-05-13 2017-01-24 Senseware, Inc. Sensor deployment mechanism at a monitored location
US10263841B1 (en) * 2014-05-13 2019-04-16 Senseware, Inc. System, method and apparatus for configuring a node in a sensor network
US11722365B2 (en) 2014-05-13 2023-08-08 Senseware, Inc. System, method and apparatus for configuring a node in a sensor network
RU2017102556A (ru) * 2014-06-27 2018-08-03 Конинклейке Филипс Н.В. Устройство для определения совместно используемого ключа
US10650169B2 (en) 2015-09-14 2020-05-12 Hewlett Packard Enterprise Development Lp Secure memory systems
US10116667B2 (en) 2016-01-26 2018-10-30 Bank Of America Corporation System for conversion of an instrument from a non-secured instrument to a secured instrument in a process data network
US10142347B2 (en) 2016-02-10 2018-11-27 Bank Of America Corporation System for centralized control of secure access to process data network
US10129238B2 (en) 2016-02-10 2018-11-13 Bank Of America Corporation System for control of secure access and communication with different process data networks with separate security features
US10438209B2 (en) 2016-02-10 2019-10-08 Bank Of America Corporation System for secure routing of data to various networks from a process data network
US11374935B2 (en) 2016-02-11 2022-06-28 Bank Of America Corporation Block chain alias person-to-person resource allocation
US10026118B2 (en) 2016-02-22 2018-07-17 Bank Of America Corporation System for allowing external validation of data in a process data network
US10440101B2 (en) 2016-02-22 2019-10-08 Bank Of America Corporation System for external validation of private-to-public transition protocols
US10679215B2 (en) 2016-02-22 2020-06-09 Bank Of America Corporation System for control of device identity and usage in a process data network
US10475030B2 (en) 2016-02-22 2019-11-12 Bank Of America Corporation System for implementing a distributed ledger across multiple network nodes
US10140470B2 (en) 2016-02-22 2018-11-27 Bank Of America Corporation System for external validation of distributed resource status
US10607285B2 (en) 2016-02-22 2020-03-31 Bank Of America Corporation System for managing serializability of resource transfers in a process data network
US10762504B2 (en) 2016-02-22 2020-09-01 Bank Of America Corporation System for external secure access to process data network
US10318938B2 (en) 2016-02-22 2019-06-11 Bank Of America Corporation System for routing of process authorization and settlement to a user in process data network based on specified parameters
US10135870B2 (en) 2016-02-22 2018-11-20 Bank Of America Corporation System for external validation of secure process transactions
US10387878B2 (en) 2016-02-22 2019-08-20 Bank Of America Corporation System for tracking transfer of resources in a process data network
US10142312B2 (en) 2016-02-22 2018-11-27 Bank Of America Corporation System for establishing secure access for users in a process data network
US10496989B2 (en) 2016-02-22 2019-12-03 Bank Of America Corporation System to enable contactless access to a transaction terminal using a process data network
US10178105B2 (en) * 2016-02-22 2019-01-08 Bank Of America Corporation System for providing levels of security access to a process data network
US10636033B2 (en) 2016-02-22 2020-04-28 Bank Of America Corporation System for routing of process authorizations and settlement to a user in a process data network
US10402796B2 (en) 2016-08-29 2019-09-03 Bank Of America Corporation Application life-cycle transition record recreation system
US10419226B2 (en) 2016-09-12 2019-09-17 InfoSci, LLC Systems and methods for device authentication
US9722803B1 (en) 2016-09-12 2017-08-01 InfoSci, LLC Systems and methods for device authentication
US20180145959A1 (en) * 2016-11-22 2018-05-24 Synergex Group Method for determining access privilege using username, IP address, App ID, App Key, and biometric signature sample.
US11631077B2 (en) 2017-01-17 2023-04-18 HashLynx Inc. System for facilitating secure electronic communications between entities and processing resource transfers
US11463439B2 (en) 2017-04-21 2022-10-04 Qwerx Inc. Systems and methods for device authentication and protection of communication on a system on chip
DE102017115298A1 (de) * 2017-07-07 2019-01-10 Huf Hülsbeck & Fürst Gmbh & Co. Kg Verfahren zur Delegation von Zugriffsrechten
US10929545B2 (en) 2018-07-31 2021-02-23 Bank Of America Corporation System for providing access to data stored in a distributed trust computing network

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6336634A (ja) * 1986-07-31 1988-02-17 Advance Co Ltd 暗号鍵共有方式
US5202921A (en) 1991-04-01 1993-04-13 International Business Machines Corporation Method and apparatus for authenticating users of a communication system to each other
US6240188B1 (en) * 1999-07-06 2001-05-29 Matsushita Electric Industrial Co., Ltd. Distributed group key management scheme for secure many-to-many communication
US7089211B1 (en) * 2000-01-12 2006-08-08 Cisco Technology, Inc. Directory enabled secure multicast group communications
US7257836B1 (en) * 2000-04-24 2007-08-14 Microsoft Corporation Security link management in dynamic networks
WO2002033883A2 (en) * 2000-10-18 2002-04-25 Koninklijke Philips Electronics N.V. Generation of a common encryption key
JP2002300158A (ja) * 2000-11-02 2002-10-11 Hitachi Ltd 総合データ配信サービスにおける権利保護方法
JP4025126B2 (ja) * 2002-06-28 2007-12-19 株式会社リコー 無線lanシステム及びアクセスポイント並びに無線lan接続方法
CN1672385A (zh) * 2002-07-29 2005-09-21 皇家飞利浦电子股份有限公司 用于无线网络中的设备的安全系统
US6850511B2 (en) * 2002-10-15 2005-02-01 Intech 21, Inc. Timely organized ad hoc network and protocol for timely organized ad hoc network
JP2004336363A (ja) * 2003-05-07 2004-11-25 Sharp Corp データ通信装置およびデータ通信方法
DE10354228B3 (de) * 2003-11-20 2005-09-22 Siemens Ag Gradientenspulen-Hochfrequenzantenneneinheit und Magnetresonanzgerät mit einer Gradientenspulen-Hochfrequenzantenneneinheit
JP4646050B2 (ja) * 2004-05-06 2011-03-09 大日本印刷株式会社 Icカードを発行して暗号化/復号化を行う方法
WO2005116841A1 (en) * 2004-05-26 2005-12-08 Matsushita Electric Industrial Co., Ltd. Network system and method for providing an ad-hoc access environment
CN1977513B (zh) * 2004-06-29 2010-09-01 皇家飞利浦电子股份有限公司 用于有效认证医疗无线自组网节点的系统和方法
JP5001157B2 (ja) * 2004-09-30 2012-08-15 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 多項式に基づいた認証の方法
JP5255436B2 (ja) * 2005-06-08 2013-08-07 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 人体センサネットワーク用の決定論的鍵事前配布及び運用鍵管理
US7877494B2 (en) 2006-05-17 2011-01-25 Interdigital Technology Corporation Method, components and system for tracking and controlling end user privacy
US7774837B2 (en) * 2006-06-14 2010-08-10 Cipheroptics, Inc. Securing network traffic by distributing policies in a hierarchy over secure tunnels
RU2491748C2 (ru) * 2006-06-22 2013-08-27 Конинклейке Филипс Электроникс, Н.В. Иерархическая детерминированная схема предварительного распределения парных ключей
EP2330771B1 (en) 2006-07-28 2019-10-02 Koninklijke Philips N.V. Automatic transfer and identification of monitored data with hierarchical key management infrastructure
JP5112812B2 (ja) * 2007-10-19 2013-01-09 パナソニック株式会社 遠隔医療システム

Also Published As

Publication number Publication date
US8539235B2 (en) 2013-09-17
BRPI0913820B1 (pt) 2020-10-27
WO2010041164A3 (en) 2010-08-19
KR20110066215A (ko) 2011-06-16
US20110197064A1 (en) 2011-08-11
JP2012504888A (ja) 2012-02-23
TWI487356B (zh) 2015-06-01
BRPI0913820A2 (pt) 2015-10-20
RU2536362C2 (ru) 2014-12-20
RU2011118205A (ru) 2012-11-20
CN102171969B (zh) 2014-12-03
EP2345200A2 (en) 2011-07-20
WO2010041164A2 (en) 2010-04-15
EP2345200B1 (en) 2018-02-21
TW201110651A (en) 2011-03-16
CN102171969A (zh) 2011-08-31
KR101657705B1 (ko) 2016-09-19

Similar Documents

Publication Publication Date Title
JP5705736B2 (ja) ネットワークを動作する方法、システム管理装置、ネットワーク及びコンピュータプログラム
US10327136B2 (en) Method for distributed identification, a station in a network
EP2291977B1 (en) Personal security manager for ubiquitous patient monitoring
JP5519633B2 (ja) 暗号手段を配布するための方法
KR20050072508A (ko) 홈 네트워크를 구성하는 기기들에 대한 인증 장치 및 방법
CN112311543B (zh) Gba的密钥生成方法、终端和naf网元
Nasr Esfahani et al. End-to-end privacy preserving scheme for IoT-based healthcare systems
Morchon et al. Efficient distributed security for wireless medical sensor networks
Kumar et al. A secure and efficient computation based multifactor authentication scheme for Intelligent IoT-enabled WSNs
Roy et al. A group key-based lightweight Mutual Authentication and Key Agreement (MAKA) protocol for multi-server environment
Zhu et al. Private and secure service discovery via progressive and probabilistic exposure
Alshehri A Novel Secure Wireless Healthcare Applications for Medical Community
Sales et al. Multilevel security in UPnP networks for pervasive environments
CN114362933B (zh) 一种电力物联网环境下的数据源头可信认证方法
Saikumari et al. An Enhanced Authorization Protocol in Blockchain for Personal Health Information Management System
Gilanian Sadeghi et al. A secure channel to improve energy cost in internet of things
Ko et al. Viotsoc: Controlling access to dynamically virtualized iot services using service object capability
Prabhakar et al. Towards flexible hardware authentication for IoT

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120926

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120926

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131022

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20140121

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20140128

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140421

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140731

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141028

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150127

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150225

R150 Certificate of patent or registration of utility model

Ref document number: 5705736

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250