JP6603799B2 - エンティティアイデンティティ有効性検証方法及びその装置 - Google Patents
エンティティアイデンティティ有効性検証方法及びその装置 Download PDFInfo
- Publication number
- JP6603799B2 JP6603799B2 JP2018517783A JP2018517783A JP6603799B2 JP 6603799 B2 JP6603799 B2 JP 6603799B2 JP 2018517783 A JP2018517783 A JP 2018517783A JP 2018517783 A JP2018517783 A JP 2018517783A JP 6603799 B2 JP6603799 B2 JP 6603799B2
- Authority
- JP
- Japan
- Prior art keywords
- entity
- signature
- message
- trusted
- ttp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Transfer Between Computers (AREA)
Description
メッセージ3をTTPBへ送信し、前記メッセージ3にはTTPA自身によって生成される乱数RTPA及びトークンTokenTPABが含まれ、前記トークンTokenTPABには、ResA、RA、IB、RB及びTTPAの署名が含まれ、前記TTPAの署名の署名オブジェクトにはRA、IB、ResA及びRBが含まれ、
メッセージ4をTTPAへ返し、メッセージ4には、トークンTokenTPBAが含まれ、前記トークンTokenTPBAには、ResA、ResB、TTPBの第1の署名、TTPBの第2の署名、及びTTPBの第3の署名が含まれ、前記TTPBの第1の署名のオブジェクトには、ResA、RBが含まれ、前記TTPBの第2の署名のオブジェクトには、ResB、RAが含まれ、前記TTPBの第3の署名のオブジェクトには、RTPAが含まれ、
メッセージ3をTTPBへ送信し、前記メッセージ3にはTTPA自身によって生成される乱数RTPA及びトークンTokenTPABが含まれ、前記トークンTokenTPABには、ResA、RA、IB、RB及びTTPAの署名が含まれ、前記TTPAの署名の署名オブジェクトにはRA、IB、ResA及びRBが含まれ、
メッセージ4をTTPAへ返し、メッセージ4には、トークンTokenTPBAが含まれ、前記トークンTokenTPBAには、ResA、ResB、TTPBの第1の署名、TTPBの第2の署名、及びTTPBの第3の署名が含まれ、前記TTPBの第1の署名のオブジェクトには、ResA、RBが含まれ、前記TTPBの第2の署名のオブジェクトには、ResB、RAが含まれ、前記TTPBの第3の署名のオブジェクトには、RTPAが含まれ、
処理ユニット32は、さらに前記第1のエンティティアイデンティティ有効性検証装置の公開鍵PAを抽出し、
処理ユニット32は、さらにCertAの有効性をチェックする。
処理ユニットはさらに、前記第2のエンティティアイデンティティ有効性検証装置の公開鍵PBを抽出し、
処理ユニットはさらにCertBの有効性をチェックする。
12 送受信ユニット
13 処理ユニット
21 記憶ユニット
22 送受信ユニット
23 処理ユニット
31 送受信ユニット
32 処理ユニット
41 送受信ユニット
42 処理ユニット
Claims (13)
- エンティティアイデンティティ有効性検証方法であって、エンティティA、エンティティB、第1の信頼できる第三者TTPA及び第2の信頼できる第三者TTPBに関し、エンティティAのアイデンティティ有効性がTTPAによって検証でき、エンティティ装置Bのアイデンティティ有効性がTTPBによって検証でき、エンティティ装置AがTTPAとTTPBを信頼し、エンティティ装置BがTTPBを信頼し、前記方法は、以下のステップを含み、
ステップ1)前記エンティティ装置Bは、メッセージ1を前記エンティティ装置Aに送信し、前記メッセージ1にはエンティティ装置Bのアイデンティティ情報IB及びエンティティ装置Bによって生成される乱数RBが含まれ、
ステップ2)前記エンティティ装置Aは、前記メッセージ1を受信した後に、メッセージ2をTTPAへ送信し、前記メッセージ2にはエンティティ装置Aのアイデンティティ情報IA、エンティティ装置Aによって生成される乱数RA、IB及びRBが含まれ、
ステップ3)TTPAは、エンティティ装置Aによって送信される前記メッセージ2を受信した後に、IAに基づいてエンティティ装置Aのアイデンティティを検証して、エンティティ装置Aのアイデンティティ検証結果ResAを取得し、
メッセージ3をTTPBへ送信し、前記メッセージ3にはTTPA自身によって生成される乱数RTPA及びトークンTokenTPABが含まれ、前記トークンTokenTPABには、ResA、RA、IB、RB及びTTPAの署名が含まれ、前記TTPAの署名の署名オブジェクトにはRA、IB、ResA及びRBが含まれ、
ステップ4)TTPBは、TTPAによって送信されるメッセージ3を受信した後に、まず、TokenTPABにおけるTTPAの署名を検証し、検証に合格した後に、IBに基づいてエンティティ装置Bのアイデンティティを検証して、エンティティ装置Bのアイデンティティ検証結果ResBを取得し、
メッセージ4をTTPAへ返し、前記メッセージ4には、トークンTokenTPBAが含まれ、前記トークンTokenTPBAには、ResA、ResB、TTPBの第1の署名、TTPBの第2の署名、及びTTPBの第3の署名が含まれ、前記TTPBの第1の署名のオブジェクトには、ResA、RBが含まれ、前記TTPBの第2の署名のオブジェクトには、ResB、RAが含まれ、前記TTPBの第3の署名のオブジェクトには、RTPAが含まれ、
ステップ5)TTPAは、TTPBによって送信されるメッセージ4を受信した後に、TokenTPBAに含まれたTTPBの第3の署名を検証し、検証に合格した後に、メッセージ4から得られたRTPAが、自身がメッセージ3でTTPBに送信した乱数RTPAと一致するかどうかをチェックし、一致すれば、TTPAがメッセージ5を構築しエンティティ装置Aに送信し、前記メッセージ5には、トークンTokenTAが含まれ、前記トークンTokenTAには、ResA、ResB、TTPBの第1の署名及びTTPBの第2の署名が含まれ、
ステップ6)エンティティ装置Aは、TTPAからのメッセージ5を受信した後に、まず、TokenTAに含まれたTTPBの第2の署名を検証し、検証に合格した後に、メッセージ5から得られたRAが、自身がメッセージ2でTTPAに送信した乱数RAと一致するかどうかをチェックし、一致すれば、エンティティ装置Aは検証結果ResBに基づいてエンティティ装置Bのアイデンティティの有効性を判断して、メッセージ6を構築しエンティティ装置Bに送信し、前記メッセージ6にはTTPBの第1の署名が含まれ、
ステップ7)エンティティ装置Bは、メッセージ6を受信した後に、まず、TTPBの第1の署名を検証し、検証に合格した後に、メッセージ6から得られたRBが、自身がメッセージ1でエンティティ装置Aに送信した乱数RBと一致するかどうかをチェックし、一致すれば、エンティティ装置Bは検証結果ResAに基づいてエンティティ装置Aのアイデンティティの有効性を判断する、
ことを特徴とするエンティティアイデンティティ有効性検証方法。 - 前記ステップ3)では、TTPAは、エンティティ装置Aによって送信されるメッセージ2を受信した後に、IAに基づいてエンティティ装置Aのアイデンティティを検証することは、具体的には、
IAがエンティティ装置Aの指定子であれば、TTPAがエンティティ装置Aの公開鍵PAを抽出し、この時、ResAはPAを含み、
IAがエンティティ装置Aの証明書CertAであれば、TTPAがCertAの有効性をチェックし、この時、ResAはCertAの有効性ステータスを含み、
エンティティ装置Aの公開鍵又は証明書の有効性がTTPAによって得られない場合、ResAは検証に失敗したことを示す内容を含む、
ことを含むことを特徴とする請求項1に記載のエンティティアイデンティティ有効性検証方法。 - 前記ステップ4)では、TTPBは、TTPAによって送信されるメッセージ3を受信した後に、まず、TokenTPABにおけるTTPAの署名を検証し、その後、IBに基づいてエンティティ装置Bのアイデンティティを検証することは、具体的には、
IBがエンティティ装置Bの指定子であれば、TTPBがエンティティ装置Bの公開鍵PBを抽出し、この時、ResBはPBを含み、
IBがエンティティ装置Bの証明書CertBであれば、TTPBがCertBの有効性をチェックし、この時、ResBはCertBの有効性ステータスを含み、
エンティティ装置Bの公開鍵又は証明書の有効性がTTPBによって得られない場合、この時、ResBは検証に失敗したことを示す内容を含む、
ことを含むことを特徴とする請求項1に記載のエンティティアイデンティティ有効性検証方法。 - 前記ステップ5)では、TTPAがメッセージ4からRTPAを取得する具体的な方式は、TTPAがTTPBの第3の署名を検証する際に第3の署名からRTPAを復元できると、TTPAが、TTPBの第3の署名の検証に合格した後に、当該署名からRTPAを直接的に復元し、TTPAが第3の署名を検証する際にRTPAを復元できないと、メッセージ4にさらにRTPAフィールドが含まれ、TTPAがメッセージ4からRTPAを直接的に取得し、
前記ステップ6)では、エンティティ装置Aがメッセージ5からRAを取得する具体的な方式は、エンティティ装置AがTTPBの第2の署名を検証する際に第2の署名からRAを復元できると、エンティティ装置AがTTPBの第2の署名の検証に合格した後に、当該署名からRAを直接的に復元し、エンティティ装置Aが第2の署名を検証する際にRAを復元できないと、メッセージ5にさらにRAフィールドが含まれ、エンティティ装置Aがメッセージ5からRAを直接的に取得し、
前記ステップ7)では、エンティティ装置Bがメッセージ6からRBを取得する具体的な方式は、エンティティ装置BがTTPBの第1の署名を検証する際に第1の署名からRBを復元できると、エンティティ装置BがTTPBの第1の署名の検証に合格した後に、当該署名からRBを直接的に復元し、エンティティ装置Bが第1の署名を検証する際にRBを復元できないと、メッセージ6にさらにRBフィールドが含まれ、エンティティ装置Bがメッセージ6からRBを直接的に取得する、
ことを特徴とする請求項1に記載のエンティティアイデンティティ有効性検証方法。 - 前記ステップ3)において、TTPAは乱数RTPAを生成せず、前記ステップ4)及び5)におけるRTPAがRAに置き換えられることを特徴とする請求項1〜4のいずれか1項に記載のエンティティアイデンティティ有効性検証方法。
- 第1のエンティティアイデンティティ有効性検証装置であって、第1の信頼できる第三者装置及び第2の信頼できる第三者装置の参与で、第2のエンティティアイデンティティ有効性検証装置とアイデンティティ有効性検証を行い、前記第1のエンティティアイデンティティ有効性検証装置は、記憶ユニットと、送受信ユニットと、処理ユニットを含み、
前記処理ユニットは、乱数RAを生成し、
前記記憶ユニットは、前記第1のエンティティアイデンティティ有効性検証装置のアイデンティティ情報IAを記憶し、
前記送受信ユニットは、前記第2のエンティティアイデンティティ有効性検証装置によって送信されるメッセージ1を受信し、メッセージ2を前記第1の信頼できる第三者装置へ送信し、前記メッセージ1には、前記第2のエンティティアイデンティティ有効性検証装置のアイデンティティ情報IBと、前記第2のエンティティアイデンティティ有効性検証装置によって生成される乱数RBが含まれ、前記メッセージ2にはIA、RA、IB、RBが含まれ、
前記送受信ユニットは、さらに、前記第1の信頼できる第三者装置によって送信されるメッセージ5を受信し、メッセージ6を前記第2のエンティティアイデンティティ有効性検証装置へ送信し、
前記メッセージ5には、トークンTokenTAが含まれ、前記トークンTokenTAには、前記第1のエンティティアイデンティティ有効性検証装置のアイデンティティ検証結果ResA、前記第2のエンティティアイデンティティ有効性検証装置のアイデンティティ検証結果ResB、第2の信頼できる第三者装置の第1の署名及び第2の信頼できる第三者装置の第2の署名が含まれ、前記第2の信頼できる第三者装置の第1の署名の署名オブジェクトにはResA、RBが含まれ、前記第2の信頼できる第三者装置の第2の署名の署名オブジェクトにはResB、RAが含まれ、前記メッセージ6には、前記第2の信頼できる第三者装置の第1の署名が含まれ、
前記処理ユニットは、TokenTAに含まれた前記第2の信頼できる第三者装置の第2の署名を検証し、検証に合格した後、メッセージ5から得られたRAが、自身がメッセージ2で第1の信頼できる第三者装置に送信する乱数RAと一致するかどうかをチェックし、一致すれば、検証結果ResBに基づいて前記第2のエンティティアイデンティティ有効性検証装置のアイデンティティの有効性を判断し、前記メッセージ6を構築する、
ことを特徴とする第1のエンティティアイデンティティ有効性検証装置。 - 第2のエンティティアイデンティティ有効性検証装置であって、第1の信頼できる第三者装置及び第2の信頼できる第三者装置の参与で、第1のエンティティアイデンティティ有効性検証装置とアイデンティティ有効性検証を行い、前記第2のエンティティアイデンティティ有効性検証装置は、記憶ユニットと、送受信ユニットと、処理ユニットとを含み、
前記処理ユニットは、乱数RBを生成し、
前記記憶ユニットは、前記第2のエンティティアイデンティティ有効性検証装置のアイデンティティ情報IBを記憶し、
前記送受信ユニットは、メッセージ1を送信し、前記第1のエンティティアイデンティティ有効性検証装置によって送信されるメッセージ6を受信し、前記メッセージ1にはIBとRBが含まれ、前記メッセージ6にはRBと第2の信頼できる第三者装置の第1の署名が含まれ、前記第2の信頼できる第三者装置の第1の署名の署名オブジェクトにはResA、RBが含まれ、
なお、前記第1のエンティティアイデンティティ有効性検証装置は、前記第1の信頼できる第三者装置からのメッセージ5を受信した後に、メッセージ6を構築し前記第2のエンティティアイデンティティ有効性検証装置に送信し、前記メッセージ5には、トークンTokenTAが含まれ、前記トークンTokenTAには、前記第1のエンティティアイデンティティ有効性検証装置のアイデンティティ検証結果Res A 、前記第2のエンティティアイデンティティ有効性検証装置のアイデンティティ検証結果Res B 、前記第2の信頼できる第三者装置の第1の署名及び前記第2の信頼できる第三者装置の第2の署名が含まれ、前記第2の信頼できる第三者装置の第1の署名のオブジェクトには、Res A 、R B が含まれ、前記第2の信頼できる第三者装置の第2の署名のオブジェクトには、Res B 、前記第1のエンティティアイデンティティ有効性検証装置によって生成されるR A が含まれ、
前記処理ユニットは、さらに、前記第2の信頼できる第三者装置の第1の署名を検証し、検証に合格した後、メッセージ6から得られたRBが、自身がメッセージ1でエンティティAに送信した乱数RBと一致するかどうかをチェックし、一致すれば、検証結果ResAに基づいて前記第1のエンティティアイデンティティ有効性検証装置のアイデンティティの有効性を判断する、
ことを特徴とする第2のエンティティアイデンティティ有効性検証装置。 - 第1の信頼できる第三者装置であって、第2の信頼できる第三者装置と共に、第1のエンティティアイデンティティ有効性検証装置と第2のエンティティアイデンティティ有効性検証装置との間のアイデンティティ有効性検証に参与し、前記第1の信頼できる第三者装置は、送受信ユニットと、処理ユニットとを含み、
前記送受信ユニットは、前記第1のエンティティアイデンティティ有効性検証装置によって送信されるメッセージ2を受信し、前記メッセージ2には前記第1のエンティティアイデンティティ有効性検証装置のアイデンティティ情報IA、前記第1のエンティティアイデンティティ有効性検証装置によって生成される乱数RA、前記第2のエンティティアイデンティティ有効性検証装置のアイデンティティ情報IB、及び前記第2のエンティティアイデンティティ有効性検証装置によって生成される乱数RBが含まれ、
前記処理ユニットは、前記IAに基づいて前記第1のエンティティアイデンティティ有効性検証装置のアイデンティティを検証して検証結果ResAを取得し、
前記送受信ユニットは、さらに、メッセージ3を前記第2の信頼できる第三者装置へ送信し、前記メッセージ3には、前記第1の信頼できる第三者装置によって生成される乱数RTPA及びトークンTokenTPABが含まれ、前記トークンTokenTPABには、第1のエンティティアイデンティティ有効性検証装置のアイデンティティ検証結果ResA、RA、IB、RB及び前記第1の信頼できる第三者装置の署名が含まれ、前記第1の信頼できる第三者装置の署名の署名オブジェクトにはRA、IB、ResA及びRBが含まれ、
前記送受信ユニットは、さらに、前記第2の信頼できる第三者装置によって送信されるメッセージ4を受信し、前記メッセージ4にはトークンTokenTPBAが含まれ、前記トークンTokenTPBAにはResA、第2のエンティティアイデンティティ有効性検証装置のアイデンティティ検証結果ResB、前記第2の信頼できる第三者装置の第1の署名、前記第2の信頼できる第三者装置の第2の署名及び前記第2の信頼できる第三者装置の第3の署名が含まれ、前記第2の信頼できる第三者装置の第1の署名の署名オブジェクトにはResA、RBが含まれ、前記第2の信頼できる第三者装置の第2の署名の署名オブジェクトにはResB、RAが含まれ、前記第2の信頼できる第三者装置の第3の署名の署名オブジェクトにはRTPAが含まれ、
前記処理ユニットは、さらに、TokenTPBAに含まれた前記第2の信頼できる第三者装置の第3の署名を検証し、検証に合格した後、メッセージ4から得られたRTPAが、自身がメッセージ3でTTPBに送信した乱数RTPAと一致するかどうかをチェックし、一致すれば、メッセージ5を構築し、前記メッセージ5にはトークンTokenTAが含まれ、前記トークンTokenTAにはResA、ResB、前記第2の信頼できる第三者装置の第1の署名及び前記第2の信頼できる第三者装置の第2の署名が含まれ、
前記送受信ユニットは、さらに、前記メッセージ5を前記第1のエンティティアイデンティティ有効性検証装置へ送信する、
ことを特徴とする第1の信頼できる第三者装置。 - 前記第1の信頼できる第三者TTPAが前記第1のエンティティアイデンティティ有効性検証装置によって送信されるメッセージ2を送信した後に、IAに基づいて前記第1のエンティティアイデンティティ有効性検証装置のアイデンティティを検証する場合に、
IAが前記第1のエンティティアイデンティティ有効性検証装置の指定子であれば、
処理ユニットは、さらに前記第1のエンティティアイデンティティ有効性検証装置の公開鍵PAを抽出し、
IAが前記第1のエンティティアイデンティティ有効性検証装置の証明書CertAであれば、
処理ユニットは、さらにCertAの有効性をチェックする、
ことを特徴とする請求項8に記載の第1の信頼できる第三者装置。 - 前記メッセージ3で、第1の信頼できる第三者装置は乱数R TPA を生成せず、前記メッセージ4におけるR TPA はR A に置き換えられることを特徴とする請求項8又は9に記載の第1の信頼できる第三者装置。
- 第2の信頼できる第三者装置であって、第1の信頼できる第三者装置と共に、第1のエンティティアイデンティティ有効性検証装置と第2のエンティティアイデンティティ有効性検証装置との間のアイデンティティ有効性検証に参与し、前記第2の信頼できる第三者装置は、送受信ユニットと、処理ユニットとを含み、
前記送受信ユニットは、前記第1の信頼できる第三者装置によって送信されるメッセージ3を受信し、前記メッセージ3には、トークンTokenTPAB及び前記第1の信頼できる第三者装置によって生成される乱数RTPAが含まれ、前記トークンTokenTPABには、前記第1のエンティティアイデンティティ有効性検証装置のアイデンティティ検証結果ResA、前記第1のエンティティアイデンティティ有効性検証装置によって生成される乱数RA、前記第2のエンティティアイデンティティ有効性検証装置のアイデンティティ識別情報IB、前記第2のエンティティアイデンティティ有効性検証装置によって生成される乱数RB及び前記第1の信頼できる第三者装置の署名が含まれ、前記第1の信頼できる第三者装置の署名の署名オブジェクトにはRA、IB、ResA及びRBが含まれ、
前記処理ユニットは、TokenTPABにおける前記第1の信頼できる第三者装置の第1の署名を検証し、その後、IBに基づいてエンティティBのアイデンティティを検証して、エンティティBのアイデンティティ検証結果ResBを取得し、
前記送受信ユニットは、さらに、メッセージ4を前記第1の信頼できる第三者装置へ送信し、前記メッセージ4にはトークンTokenTPBAが含まれ、前記トークンTokenTPBAにはResA、ResB、前記第2の信頼できる第三者装置の第1の署名、前記第2の信頼できる第三者装置の第2の署名及び前記第2の信頼できる第三者装置の第3の署名が含まれ、前記第2の信頼できる第三者装置の第1の署名の署名オブジェクトにはResA、RBが含まれ、前記第2の信頼できる第三者装置の第2の署名の署名オブジェクトにはResB、RAが含まれ、前記第2の信頼できる第三者装置の第3の署名の署名オブジェクトにはRTPAが含まれる、
ことを特徴とする第2の信頼できる第三者装置。 - 前記第2の信頼できる第三者装置が、前記第1の信頼できる第三者装置によって送信されるメッセージ3を受信した後に、まず、TokenTPABにおける前記第1の信頼できる第三者装置の第1の署名を検証し、その後、IBに基づいて前記第2のエンティティアイデンティティ有効性検証装置のアイデンティティを検証する場合に、
IBが前記第2のエンティティアイデンティティ有効性検証装置の指定子であれば、処理ユニットはさらに、前記第2のエンティティアイデンティティ有効性検証装置の公開鍵PBを抽出し、
IBが前記第2のエンティティアイデンティティ有効性検証装置の証明書CertBであれば、処理ユニットはさらにCertBの有効性をチェックする、
ことを特徴とする請求項11に記載の第2の信頼できる第三者装置。 - 前記メッセージ3で、第1の信頼できる第三者装置は乱数RTPAを生成せず、前記メッセージ4におけるRTPAはRAに置き換えられることを特徴とする請求項11又は12に記載の第2の信頼できる第三者装置。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510655011.8A CN106572066B (zh) | 2015-10-10 | 2015-10-10 | 一种实体身份有效性验证方法及其装置 |
CN201510655011.8 | 2015-10-10 | ||
PCT/CN2016/095470 WO2017059737A1 (zh) | 2015-10-10 | 2016-08-16 | 一种实体身份有效性验证方法及其装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018530266A JP2018530266A (ja) | 2018-10-11 |
JP6603799B2 true JP6603799B2 (ja) | 2019-11-06 |
Family
ID=58487264
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018517783A Active JP6603799B2 (ja) | 2015-10-10 | 2016-08-16 | エンティティアイデンティティ有効性検証方法及びその装置 |
Country Status (6)
Country | Link |
---|---|
US (1) | US10812480B2 (ja) |
EP (1) | EP3361691B1 (ja) |
JP (1) | JP6603799B2 (ja) |
KR (1) | KR102085466B1 (ja) |
CN (1) | CN106572066B (ja) |
WO (1) | WO2017059737A1 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106572066B (zh) * | 2015-10-10 | 2019-11-22 | 西安西电捷通无线网络通信股份有限公司 | 一种实体身份有效性验证方法及其装置 |
US10630682B1 (en) * | 2016-11-23 | 2020-04-21 | Amazon Technologies, Inc. | Lightweight authentication protocol using device tokens |
US11575513B2 (en) * | 2020-04-18 | 2023-02-07 | Cisco Technology, Inc. | Applying attestation tokens to multicast routing protocols |
Family Cites Families (35)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FI980591A (fi) * | 1998-03-17 | 2000-01-03 | Sonera Oy | Menetelmä ja järjestelmä sopimusosapuolen luotettavaksi ja turvallisek si tunnistamiseksi |
US7181017B1 (en) * | 2001-03-23 | 2007-02-20 | David Felsher | System and method for secure three-party communications |
KR100419484B1 (ko) * | 2001-09-07 | 2004-02-19 | 한국전자통신연구원 | 공개키 기반구조에서 검증서버를 이용한 인증서의 유효성검증 장치 및 방법 |
JP3889004B2 (ja) | 2003-01-27 | 2007-03-07 | 松下電器産業株式会社 | デジタルコンテンツ配信システム |
US7350079B2 (en) * | 2003-11-20 | 2008-03-25 | International Business Machines Corporation | Apparatus and method for inter-program authentication using dynamically-generated public/private key pairs |
WO2006003532A1 (en) | 2004-06-29 | 2006-01-12 | Koninklijke Philips Electronics N.V. | System and methods for efficient authentication of medical wireless ad hoc network nodes |
CN100389555C (zh) | 2005-02-21 | 2008-05-21 | 西安西电捷通无线网络通信有限公司 | 一种适合有线和无线网络的接入认证方法 |
US8549592B2 (en) * | 2005-07-12 | 2013-10-01 | International Business Machines Corporation | Establishing virtual endorsement credentials for dynamically generated endorsement keys in a trusted computing platform |
US7450010B1 (en) * | 2006-04-17 | 2008-11-11 | Tc License Ltd. | RFID mutual authentication verification session |
CN101064606A (zh) * | 2006-04-29 | 2007-10-31 | 华为技术有限公司 | 一种用于鉴权的系统、装置及方法 |
US20090125996A1 (en) * | 2007-09-19 | 2009-05-14 | Interdigital Patent Holdings, Inc. | Virtual subscriber identity module |
CN100553193C (zh) * | 2007-10-23 | 2009-10-21 | 西安西电捷通无线网络通信有限公司 | 一种基于可信第三方的实体双向鉴别方法及其系统 |
CN101286844B (zh) * | 2008-05-29 | 2010-05-12 | 西安西电捷通无线网络通信有限公司 | 一种支持快速切换的实体双向鉴别方法 |
US8793758B2 (en) * | 2009-01-28 | 2014-07-29 | Headwater Partners I Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
US10846683B2 (en) * | 2009-05-15 | 2020-11-24 | Visa International Service Association | Integration of verification tokens with mobile communication devices |
CN101662366B (zh) | 2009-05-27 | 2011-09-21 | 西安西电捷通无线网络通信股份有限公司 | 基于哈希函数的双向认证方法及系统 |
CN101640593B (zh) * | 2009-08-28 | 2011-11-02 | 西安西电捷通无线网络通信股份有限公司 | 一种引入在线第三方的实体双向鉴别方法 |
CN101651690A (zh) * | 2009-09-08 | 2010-02-17 | 中兴通讯股份有限公司 | 信任关系的建立方法及对等系统 |
CN102036235A (zh) * | 2009-09-28 | 2011-04-27 | 西门子(中国)有限公司 | 一种用于身份认证的装置和方法 |
CN101674182B (zh) | 2009-09-30 | 2011-07-06 | 西安西电捷通无线网络通信股份有限公司 | 引入在线可信第三方的实体公钥获取、证书验证及鉴别的方法及系统 |
US8862879B2 (en) * | 2009-10-13 | 2014-10-14 | Sergio Demian LERNER | Method and apparatus for efficient and secure creating, transferring, and revealing of messages over a network |
US8984621B2 (en) * | 2010-02-27 | 2015-03-17 | Novell, Inc. | Techniques for secure access management in virtual environments |
US8627422B2 (en) * | 2010-11-06 | 2014-01-07 | Qualcomm Incorporated | Authentication in secure user plane location (SUPL) systems |
CN101984577B (zh) | 2010-11-12 | 2013-05-01 | 西安西电捷通无线网络通信股份有限公司 | 匿名实体鉴别方法及系统 |
CN101997688B (zh) | 2010-11-12 | 2013-02-06 | 西安西电捷通无线网络通信股份有限公司 | 一种匿名实体鉴别方法及系统 |
GB2499184B (en) * | 2012-01-23 | 2019-01-30 | Youview Tv Ltd | Authorisation system |
US10038679B2 (en) * | 2012-12-24 | 2018-07-31 | Intel Corporation | Centralized secure device pairing |
US11349675B2 (en) * | 2013-10-18 | 2022-05-31 | Alcatel-Lucent Usa Inc. | Tamper-resistant and scalable mutual authentication for machine-to-machine devices |
CN104618307B (zh) * | 2013-11-04 | 2018-10-23 | 航天信息股份有限公司 | 基于可信计算平台的网银交易认证系统 |
US9330247B2 (en) * | 2014-04-18 | 2016-05-03 | The Boeing Company | Apparatus and method for managing multiple user accounts on a memory card |
US9807612B2 (en) * | 2014-04-25 | 2017-10-31 | Tendyron Corporation | Secure data interaction method and system |
CN104283688B (zh) * | 2014-10-11 | 2017-12-29 | 东软集团股份有限公司 | 一种USBKey安全认证系统及安全认证方法 |
US20160364787A1 (en) * | 2015-06-09 | 2016-12-15 | Intel Corporation | System, apparatus and method for multi-owner transfer of ownership of a device |
CN106572066B (zh) * | 2015-10-10 | 2019-11-22 | 西安西电捷通无线网络通信股份有限公司 | 一种实体身份有效性验证方法及其装置 |
US10708054B2 (en) * | 2017-10-12 | 2020-07-07 | Visa International Service Association | Secure microform |
-
2015
- 2015-10-10 CN CN201510655011.8A patent/CN106572066B/zh active Active
-
2016
- 2016-08-16 US US15/766,322 patent/US10812480B2/en active Active
- 2016-08-16 KR KR1020187011063A patent/KR102085466B1/ko active IP Right Grant
- 2016-08-16 WO PCT/CN2016/095470 patent/WO2017059737A1/zh active Application Filing
- 2016-08-16 EP EP16853043.4A patent/EP3361691B1/en active Active
- 2016-08-16 JP JP2018517783A patent/JP6603799B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
EP3361691B1 (en) | 2022-02-09 |
US20180295131A1 (en) | 2018-10-11 |
JP2018530266A (ja) | 2018-10-11 |
KR20180056715A (ko) | 2018-05-29 |
CN106572066B (zh) | 2019-11-22 |
KR102085466B1 (ko) | 2020-03-05 |
EP3361691A4 (en) | 2018-11-07 |
EP3361691A1 (en) | 2018-08-15 |
WO2017059737A1 (zh) | 2017-04-13 |
US10812480B2 (en) | 2020-10-20 |
CN106572066A (zh) | 2017-04-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11050762B2 (en) | High throughput secure multi-party computation with identifiable abort | |
JP6603799B2 (ja) | エンティティアイデンティティ有効性検証方法及びその装置 | |
JP6893919B2 (ja) | マルチttpが参与するエンティティアイデンティティ有効性検証方法及び装置 | |
CN112636904B (zh) | 随机数生成与验证方法、装置、电子设备及可读存储介质 | |
JP6687728B2 (ja) | マルチttpが参与するエンティティアイデンティティ有効性検証方法及び装置 | |
JP6543768B2 (ja) | マルチttpが参与するエンティティアイデンティティ有効性検証方法及び装置 | |
WO2017059755A1 (zh) | 一种实体身份有效性验证方法及其装置 | |
WO2017059736A1 (zh) | 一种实体身份有效性验证方法及其装置 | |
CN106571920B (zh) | 一种多ttp参与的实体身份有效性验证方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180406 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190116 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190218 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190520 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190917 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191011 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6603799 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |