JP6856626B2 - マルチユーザクラスタアイデンティティ認証のための方法および装置 - Google Patents

マルチユーザクラスタアイデンティティ認証のための方法および装置 Download PDF

Info

Publication number
JP6856626B2
JP6856626B2 JP2018510780A JP2018510780A JP6856626B2 JP 6856626 B2 JP6856626 B2 JP 6856626B2 JP 2018510780 A JP2018510780 A JP 2018510780A JP 2018510780 A JP2018510780 A JP 2018510780A JP 6856626 B2 JP6856626 B2 JP 6856626B2
Authority
JP
Japan
Prior art keywords
key
user cluster
identification code
digital signature
public
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018510780A
Other languages
English (en)
Other versions
JP2018528691A (ja
JP2018528691A5 (ja
Inventor
アン カイゴー
アン カイゴー
イン イエチー
イン イエチー
ルー イージュン
ルー イージュン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Publication of JP2018528691A publication Critical patent/JP2018528691A/ja
Publication of JP2018528691A5 publication Critical patent/JP2018528691A5/ja
Application granted granted Critical
Publication of JP6856626B2 publication Critical patent/JP6856626B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3249Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Theoretical Computer Science (AREA)
  • Burglar Alarm Systems (AREA)
  • Automobile Manufacture Line, Endless Track Vehicle, Trailer (AREA)

Description

[関連出願への相互参照]
この出願は、2015年8月25日出願に係る中国特許出願第201510526904.2号による優先権を主張し、その内容は全体として参照により本明細書に編入される。
本出願の実施形態は、情報セキュリティの分野に関し、特に、マルチユーザアイデンティティ認証を提供する方法および装置に関する。
クラウドコンピューティングの進歩に伴い、サービス指向のプロセスも徐々に拡大しつつある。特にクラウドサービスが一度に幾つかのサービス指向のプロセスを提供する場合、複数のユーザのサービス指向のアクセス許可を管理することが技術的な課題である。
現在、各ユーザクラスタが専用のサービスモジュールを有する場合、サービスモジュールのアクションスコープがユーザを識別するために使用される。しかしながら、この方法は現在のクラスタについてのみ有効である。
アクセス許可を検証するための既存のアプローチは、主として、サーバに鍵を提供すること、および対応する識別情報をもつ要求をサービス指向型ノード(例えば、サービスを提供するデバイス)に送信することを含む。鍵が処理され、サービス指向型ノードがアクセスを完結/認証する。
しかしながら、様々なモジュールのサービス指向の利用が進んでくると、複数のユーザクラスタが1つのサービスモジュールを共有することがある。さらに、アクセスの署名情報がネットワーク伝送の間に傍受されるかもしれず、ユーザの署名情報が解読されまたは漏洩するかもしれない。場合によっては、ユーザアイデンティティ認証情報は長い間変更されないままになるかもしれず、これは高い漏洩リスクにつながる。OpenSSL(Open Secure Sockets Layer)プロトコルにおける検証プロセスの効率性は大規模分散環境においては高くなく、サービス指向型ノードを用いて認証を行うことはサービス指向型ノードの負荷を増大させる。
従って、複数のユーザクラスタのアクセスを支援するために、複数のユーザクラスタに対する同じサービス指向型ノードの認証を完結させることができることについて大きなニーズがある。
本発明の実施形態は、1つまたは複数のユーザクラスタからのサービスデバイスにアクセスする要求に応答して当該ユーザクラスタまたは複数のユーザクラスタに対してアイデンティティ認証を行う方法および装置を説明する。
一実施形態によれば、鍵管理装置を用いたマルチユーザクラスタアイデンティティ認証の方法が説明される。この方法は、公開鍵と秘密鍵とからなる複数のペアで構成される鍵セットおよびこの鍵セットに対応する識別コードをユーザクラスタデバイスに配布し、サービスデバイスによって送信された認証要求を取得し、認証要求内のユーザクラスタデバイスのデジタル署名に基づいてユーザクラスタデバイスに対してアイデンティティ認証を行い、認証結果をサービスデバイスに返すことを含み、デジタル署名はユーザクラスタデバイスの識別コードと、秘密鍵を用いて暗号化されたクラスタ検証情報とを含む。
別の実施形態によれば、マルチユーザクラスタアイデンティティ認証の方法が開示される。この方法は、アクセス要求をユーザクラスタデバイスから取得し、アクセス要求は、ユーザクラスタデバイスのデジタル署名を含み、デジタル署名は、識別コードと、鍵セットの秘密鍵を用いて暗号化されたクラスタ検証情報とを含み、このアクセス要求に従って、ユーザクラスタデバイスのデジタル署名を含む認証要求を鍵管理装置に送信し、認証要求に基づいて鍵管理装置によって返されるユーザクラスタデバイスの認証結果を取得することを含む。
追加的な実施形態によれば、マルチユーザクラスタアイデンティティ認証を行うための鍵管理装置が開示される。この装置は、メインメモリと、メインメモリと通信可能に結合されたプロセッサとを備え、このプロセッサは、公開鍵と秘密鍵とのペアで構成される鍵セットと鍵に対応する識別コードとをユーザクラスタデバイスに配布し、ユーザクラスタデバイスのデジタル署名を含む認証要求を取得し、デジタル署名を用いてユーザクラスタデバイスに対してアイデンティティ認証を行い、認証結果をサービスデバイスに返す。デジタル署名は、ユーザクラスタデバイスの識別コードと、秘密鍵を用いて暗号化されたクラスタ検証情報とを含む。
本出願の他の特徴、目的および利点は、以下の添付図面を参照しつつ非限定的な実施形態についてする詳細な説明の読解によって、より一層明らかになるであろう。
本発明の実施形態に従って記載されたマルチユーザクラスタアイデンティティ認証を行うための例示的システムを示した図である。 本発明の実施形態に従って記載されたマルチユーザクラスタアイデンティティ認証をサポートするための例示的鍵管理装置、例示的サービスデバイスおよび例示的ユーザクラスタデバイスを示した図である。 本発明の実施形態に係るマルチユーザクラスタアイデンティティ認証をサポートするための例示的鍵管理装置、例示的サービスデバイスおよび例示的ユーザクラスタデバイスを記載した図である。 本発明の実施形態に係るマルチユーザクラスタアイデンティティ認証方法を行うためのコンピュータで実装されたステップの例示的順序を記載した流れ図である。 本発明の実施形態に係るマルチユーザクラスタアイデンティティ認証方法を行うためのコンピュータで実装されたステップの例示的順序を記載した流れ図である。
図中の同一または類似の参照符号は、同一または類似の構成要素を表す。
本出願について、添付図面を参照しながら以下でさらに詳細に説明する。
図1に関して、マルチユーザクラスタアイデンティティ認証を行うための例示的システムが本発明の実施形態に従って記載されている。このシステムは、鍵管理装置1と、複数のサービスデバイス2と、複数のユーザクラスタデバイス3とを備える。鍵管理装置1は、ユーザクラスタデバイス3がサービスデバイス2にアクセスする要求を行ったときに、鍵(例えば、鍵セットまたは鍵のリスト)および当該鍵セットに対応する識別コードをユーザクラスタデバイス3に配布し、サービスデバイス2はユーザクラスタデバイス3のデジタル署名を含む認証要求を鍵管理装置1に送信し、鍵管理装置1はユーザクラスタデバイス3に対するアイデンティティ認証を行い、認証結果をサービスデバイス2に返す。
鍵管理装置1は、ネットワークデバイスであってもよく、またはネットワークデバイス上で実行されるスクリプト/プログラムであってもよい。サービスデバイス2は、限定されるものではないが、ユーザデバイスを含んでもよく、またはネットワークデバイス上で動作するネットワークサービスまたはスクリプト/プログラムを介してユーザデバイスとネットワークデバイスとを一体化することにより形成されたデバイスを含んでもよい。ユーザクラスタデバイス3はまた、限定されるものではないが、ユーザデバイスを含んでもよく、またはネットワークデバイス上で動作するネットワークサービスまたはスクリプト/プログラムを介してユーザデバイスとネットワークデバイスとを一体化することにより形成されたたデバイスであってもよい。
ユーザクラスタデバイス3は、一般に同じクラスタ内の1つまたは複数のデバイスをいい、ユーザクラスタデバイス3と鍵管理装置1とがネットワーク105を介して相互に接続されていてもよく、サービスデバイス2と鍵管理装置1とがネットワーク105を介して接続され、または同じネットワークデバイス内に配置されていてもよい。また、サービスデバイス2とユーザクラスタデバイス3とはまた、ネットワーク105を介して接続され、または同じデバイスクラスタ内に配置されていてもよい。1つのクラスタデバイスは他のユーザクラスタデバイスに対してサービスを提供するサービスデバイスとして機能してもよく、他のサービスデバイスからサービスを取得するための要求を行うユーザクラスタデバイスとして機能してもよい。
ネットワーク105は、限定されるものではないが、WCDMA(登録商標)、CDMA2000、TD−SCDMA、GSM(登録商標)、CDMA1x、WIFI、WAPI、WiMax、アドホックネットワーク等を使用してもよい。ネットワークデバイスは、例えば、命令セットを使用して数値計算および情報処理を自動的に行うことができる電子デバイスを含んでもよく、その構成要素は、限定されるものではないが、マイクロプロセッサ、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)、デジタル信号プロセッサ(DSP)、エンベデッドデバイス等を含んでもよい。ネットワーク105は、インターネット、ワイドエリアネットワーク、メトロポリタンエリアネットワーク、ローカルエリアネットワーク、VPNネットワークおよびアドホックネットワーク等を含んでもよいが、これらに限定されない。ネットワークデバイスは、単一のサーバまたはローカルエリアネットワークもしくはインターネットを介して接続される複数のサーバを含んでもよい。また、ネットワーク105は、複数のサーバからなるクラウドを含んでもよい。クラウドは、多数のコンピュータまたはクラウドコンピューティングに基づくネットワークサーバを含んでもよく、クラウドコンピューティングは、疎結合のコンピュータセットのグループからなる仮想コンピュータを含む分散コンピューティングを含んでもよい。ユーザデバイスは、タッチパッド、例えば、スマートフォン、PDA等、を介してユーザとヒューマン−コンピュータインタラクションを実行することができるモバイル電子デバイスを含んでもよいが、これらに限定されず、モバイル電子デバイスは、任意のオペレーティングシステム、例えば、アンドロイドオペレーティングシステム、iOSオペレーティングシステム等を用いてもよい。
当業者は、ネットワークおよび通信モードのほか、前述した鍵管理装置1、サービスデバイス2およびユーザクラスタデバイス3が単に説明のためのものであること、および、鍵管理装置1、サービスデバイス2およびユーザクラスタデバイス3の他のインスタンスが用いられてもよいことを理解するであろう。さらに、当業者は、鍵管理装置1が複数のサービスデバイス2および複数のユーザクラスタデバイス3とやり取りを行い、当該複数のユーザクラスタデバイス3に対して鍵および識別コードを配布し、および、1つまたは複数のサービスデバイス2からリアルタイムで、同時に認証要求を受信してもよいことを理解するであろう。さらに、サービスデバイス2は、複数のユーザクラスタデバイス3とやり取りを行い、当該複数のユーザクラスタデバイス3からのアクセス要求に従って、鍵管理装置1への認証要求を開始し、そして、認証結果を取得後、認証結果に基づいて、当該複数のユーザクラスタデバイス3に対して対応するサービスを提供してもよい。
図2は、本発明の実施形態に係るマルチユーザクラスタアイデンティティ認証を行うための例示的鍵管理装置、例示的サービスデバイスおよび例示的ユーザクラスタデバイスを記載する。鍵管理装置1は、鍵配布装置11とアイデンティティ認証装置12とを備えている。サービスデバイス2は、アクセス要求取得装置21と、認証要求装置22と、認証結果取得装置23とを備えている。ユーザクラスタデバイス3は、鍵取得装置31とアクセス要求開始装置32とを備えている。
鍵配布装置11は、鍵およびこの鍵に対応する識別コードをユーザクラスタデバイスに配布し、ここで鍵は公開鍵および秘密鍵のペアを含む。アイデンティティ認証装置12は、サービスデバイスによって送信される認証要求を取得し、認証要求内のユーザクラスタデバイスのデジタル署名に基づいてユーザクラスタデバイスに対してアイデンティティ認証を行い、認証結果をサービスデバイスに返し、ここでデジタル署名はユーザクラスタデバイスの識別コードと、秘密鍵を用いて暗号化されたクラスタ検証情報とを含む。
アクセス要求取得装置21はアクセス要求をユーザクラスタデバイスから取得し、ここでアクセス要求は、ユーザクラスタデバイスのデジタル署名を含み、デジタル署名は、ユーザクラスタデバイスの識別コードと、秘密鍵を用いて暗号化されたクラスタ検証情報とを含む。認証要求装置22は、アクセス要求に従って鍵管理装置に認証要求を送信し、ここで認証要求はユーザクラスタデバイスのデジタル署名を含む。認証結果取得装置23は、鍵管理装置によって返されるユーザクラスタデバイスに対するアイデンティティ認証の認証結果を取得する。
鍵取得装置31は、鍵管理装置によって送信された鍵セットと当該鍵セットに対応する識別コードとを取得し、この鍵セットは公開鍵/秘密鍵ペアを含む。アクセス要求開始装置32は、サービスデバイスへのアクセス要求を開始し、ここでアクセス要求はデジタル署名を含み、デジタル署名は、識別コードと、秘密鍵を用いて暗号化されたクラスタ検証情報とを含む。
鍵配布装置11が鍵セットをユーザクラスタデバイスに対して配布すると、鍵が配布される際に当該鍵に一意的に対応する識別コード(ID)が増大され/インクリメントされる。アイデンティティ認証装置12がアイデンティティ認証を行うと、アイデンティティ認証は、識別コードを有するデジタル署名に従ってユーザクラスタデバイスに対して行われてもよく、複数のユーザクラスタデバイスを検証することができる。従って、サービスは同じサービスデバイス上で複数のユーザクラスタデバイスに対して提供される。
鍵配布装置11は、鍵セットと鍵に対応する識別コードとをユーザクラスタデバイスに配布し、ここで鍵セットは公開鍵/秘密鍵ペアを含む。
鍵と識別コードとの間には一対一の関係があり、対応する鍵はその識別コードを用いて問い合わせることができる。例えば、対応する鍵の公開鍵を問い合わせ、識別コードは16バイトのフィールドであってもよく、単一のサービスデバイスが216のユーザクラスタデバイスに対してサービスを提供することができるように、鍵に対応する識別コード(例えば、0〜216)は増分的に再利用されてもよい。
鍵配布装置11は、鍵セットを対応するユーザクラスタデバイス3に配布する。さらに、鍵配布装置11は、署名の漏洩を回避し鍵を発行する際の効率性を増大させるために、セキュアなチャネルを用いて鍵を配布する。
アイデンティティ認証装置12は、サービスデバイスによって送信された認証要求を取得し、認証要求内のユーザクラスタデバイスのデジタル署名に基づいてユーザクラスタデバイスに対してアイデンティティ認証を行い、認証結果をサービスデバイスに返す。ここでデジタル署名は、ユーザクラスタデバイスの識別コードと、秘密鍵を用いて暗号化されたクラスタ検証情報とを含む。
クラスタ検証情報は、クラスタ名、クラスタ生成時間、公開鍵および秘密鍵の生成時間並びに公開鍵および秘密鍵の有効期限を含んでもよく、クラスタを検証するのに用いることができるその他の関連情報もまたクラスタ検証情報として用いてもよい。
ユーザクラスタデバイスがあるサービスデバイスにアクセスする要求を行うと、サービスデバイスは、認証要求として、当該アクセス要求に関連する情報を鍵管理装置1に送信し、鍵管理装置1はユーザクラスタデバイスに対するアイデンティティ認証を行う。鍵管理装置1のアイデンティティ認証装置12はデジタル署名内の識別コードに従ってユーザクラスタデバイスの公開鍵を検索し、特定された公開鍵を用いてクラスタ検証情報を復号し、クラスタ検証情報を認証する。
認証効率性を改善するために、サービスデバイスは、ユーザクラスタデバイスを永続的に格納するために用いられる公開鍵のリストを生成してもよく、この公開鍵のリストは、サービスデバイスにアクセスする要求を行ったユーザクラスタデバイスの公開鍵および識別コードを格納するために用いられる。鍵管理装置1によって取得されるサービスデバイスの認証要求は、サービスデバイスによって格納されたユーザクラスタデバイスの公開鍵のリストをさらに含んでもよく、アイデンティティ認証装置12は、アクセス要求内のデジタル署名に含まれた識別コードを用いて、識別コードに対応する公開鍵を公開鍵のリストから検索し、識別された公開鍵を用いてクラスタ検証情報を復号し、クラスタ検証情報を認証してもよい。
ユーザクラスタデバイスがサービスデバイスにアクセスする要求を初めて行うとき、またはユーザクラスタデバイスの鍵および識別コードが更新されてアイデンティティ認証装置12が対応する識別コードおよび公開鍵を公開鍵のリストから見つけることができないとき、アイデンティティ認証装置12は、対応する識別コード(例えば、鍵配布装置11が鍵および識別コードを配布した際に保存しておいた情報)に関連する公開鍵を取得し、この公開鍵を用いてユーザクラスタデバイスに対してアイデンティティ認証を行う。サービスデバイスが公開鍵および識別コードを公開鍵のリスト内にて更新する際に、アイデンティティ認証装置12は、後の時点でアクセス要求を行うまたはアイデンティティ認証を行うときにユーザクラスタデバイスによって用いられる、公開鍵のリスト内に存在しないユーザクラスタデバイスの公開鍵および識別コードをサービスデバイスに送信し、これにより認証効率性を改善する。
図3は、本発明の実施形態に係る、マルチユーザクラスタアイデンティティ認証をサポートするための例示的鍵管理装置、例示的サービスデバイス2および例示的ユーザクラスタデバイス3を記載する。鍵管理装置1’は、鍵配布装置11’と、アイデンティティ認証装置12’と、デジタル署名発行装置13’とを備えている。鍵配布装置11’は、ポーリングメカニズムを用いて、鍵および識別コードを配布し、ここで公開鍵と秘密鍵とのペアおよび識別コードが規則的に更新される。更新された鍵および識別コードは、ユーザクラスタデバイスに配布され、ここで識別コードは増分的に更新される。アイデンティティ認証装置12’は概ね図2に示すアイデンティティ認証装置12と同じである。鍵および識別コードが更新された後で、デジタル署名発行装置13’は、ユーザクラスタデバイス3からの要求の更新された鍵および識別コードを用いて対応するユーザクラスタデバイスについてデジタル署名を生成し、生成されたデジタル署名をユーザクラスタデバイス3に送信する。幾つかの実施形態によれば、デジタル署名発行装置13’は、セキュリティを強化するためセキュアなチャネルを用いて、生成されたデジタル署名をユーザクラスタデバイス3に送信する。鍵配布装置11’が鍵および識別コードを更新するたびに、デジタル署名発行装置13’は、更新された鍵および識別コードに基づいて、更新されたデジタル署名を生成し、鍵が変更されるのに応じて鍵ポーリングメカニズムがユーザクラスタデバイス上のデジタル署名を変化させることによりセキュリティが強化される。
サービスデバイス2’は、アクセス要求取得装置21’と、認証要求装置22’と、認証結果取得装置23’と、公開鍵リスト管理装置24’とを備えている。公開鍵リスト管理装置24’は、公開鍵のリストを生成し、ユーザクラスタデバイスに対するアイデンティティ認証が認証に合格したことを示す認証結果を鍵管理装置が返した後、アクセスの要求を行うユーザクラスタデバイスの公開鍵および識別コードを鍵管理装置から取得する。公開鍵リスト管理装置24’は、公開鍵および識別コードを公開鍵のリストに格納する。公開鍵のリストは、サービスデバイス2’にアクセスしたユーザクラスタデバイス3’であって鍵管理装置1’によって認証された当該ユーザクラスタデバイス3’の公開鍵と、この公開鍵に対応する識別コードとを含む。公開鍵のリストは、クォーラムディレクトリ(例えば、処理ディレクトリ)に永続的に格納されてもよい。認証要求装置22’によって鍵管理装置に送信される認証要求においては、認証要求は、公開鍵のリストをさらに含み、鍵管理装置1’がユーザクラスタデバイス3’に対してアイデンティティ認証を行うと、公開鍵のリストは、復号のために用いられてもよく、それにより認証効率性を改善する。アクセス要求取得装置21’および認証結果取得装置23’は、概ね図2に示すアクセス要求取得装置21および認証結果取得装置23と同じものである。
ユーザクラスタデバイス3’は、鍵取得装置31’と、アクセス要求開始装置32’と、デジタル署名生成装置33’とを備えており、デジタル署名生成装置33’は、鍵および識別コードに従ってデジタル署名を生成するために用いられる。鍵および識別コードは、一対一の関係を有し、対応する鍵は識別コードを用いて、例えば、対応する鍵の公開鍵を用いて、問い合わせることができる。鍵が更新されるたびに、対応する識別コードが増分的に更新される。例えば、0〜216の値を有する識別コードの16バイトフィールドが更新されるたびに、識別コードは1だけ大きくなる。識別コードを大きくする態様は逐次的増分に限らず、例えばランダムな増加を含んでもよい。さらには、識別コードが最大値(例えば、216)に達すると、識別コードは更新され0から再開する。
クラスタ検証情報は、クラスタ名、クラスタ生成時間、公開鍵および秘密鍵の生成時間並びに公開鍵および秘密鍵の有効期限を含んでもよく、クラスタを検証するのに用いることができるその他の関連情報もまたクラスタ検証情報として用いられてもよい。
幾つかの実施形態によれば、ユーザクラスタデバイス3は、デジタル署名生成装置33’に展開開始時にデジタル署名を生成させてもよく、または、デジタル署名発行装置13’から更新を取得してもよい。
図4は、本発明の実施形態に係るマルチユーザクラスタアイデンティティ認証方法を行うためのコンピュータで実装されたステップの例示的順序を記載する。
ステップS11は、公開鍵/秘密鍵ペアを含む鍵セットおよびこの鍵セットの識別コードをユーザクラスタデバイスに配布することを含む。
ステップS12は、サービスデバイス2へのアクセス要求を開始することを含み、このアクセス要求はデジタル署名を含み、このデジタル署名は識別コードおよび秘密鍵を用いて暗号化されたクラスタ検証情報を含む。
ステップS13は、アクセス要求に従って認証要求を鍵管理装置1に送信することを含み、この認証要求はユーザクラスタデバイス3のデジタル署名を含む。
ステップS14は、サービスデバイス2によって送信される認証要求を取得し、認証要求内のユーザクラスタデバイス3のデジタル署名に基づいて、鍵管理装置1を用いてユーザクラスタデバイス3に対してアイデンティティ認証を行うことを含む。
ステップS15は、認証結果をサービスデバイス2に返すことを含む。
ステップS16は、認証結果に従ってユーザクラスタデバイス3に対して対応するサービスを提供することを含む。
ステップS11において、鍵配布装置11は、鍵をセキュアなチャネルで対応するユーザクラスタデバイス3に配布し、これは署名の漏洩を回避し、鍵ネゴシエーションプロセスを節減し、鍵発行効率を改善する。ステップS14において、鍵管理装置1がアイデンティティ認証を行うと、アイデンティティ認証は、複数のユーザクラスタデバイス3が検証されるように、識別コードを有するデジタル署名に従ってユーザクラスタデバイス3に対して行われてもよい。このようにして、同じサービスデバイス2上で複数のユーザクラスタデバイス3に対してサービスが提供される。
幾つかの実施形態によれば、鍵と識別コードとは一対一で対応し、対応する鍵は、識別コードを用いて問い合わせ/配置することができる。例えば、対応する鍵の公開鍵が問い合わせられると、識別コードは、16バイトのフィールドであってもよく、全ての鍵に対応する識別コードは、単一のサービスデバイスが216のユーザクラスタデバイスに対してサービスを提供することができるように、0〜216の範囲で増分的に用いられてもよい。クラスタ検証情報は、クラスタ名、クラスタ生成時間、公開鍵および秘密鍵の生成時間および公開鍵および秘密鍵の有効期限を含んでもよく、クラスタを検証するのに用いることができるその他の関連情報もまたクラスタ検証情報として用いられてもよい。
ステップS14においては、鍵管理装置1はユーザクラスタデバイス3に対してアイデンティティ認証を行い、鍵管理装置1はデジタル署名内の識別コードに従ってユーザクラスタデバイス3の公開鍵を検索し、特定された公開鍵を用いてクラスタ検証情報を復号し、クラスタ検証情報を認証する。
図5は、本発明の実施形態に係る鍵管理装置側においてユーザクラスタデバイスを検証する方法を記載する。
ステップS11’は、図3に示すステップS11と類似のものであり、ここで鍵管理装置1は、ポーリングメカニズムを用いて鍵および識別コードを配布する。公開鍵/秘密鍵ペアおよび識別コードは、規則的に更新されてユーザクラスタデバイスに配布され、ここで識別コードは、使用に応じて増分的に更新される。
ステップS17’において、鍵管理装置1は、更新された鍵および識別コードを用いてユーザクラスタデバイス3についてデジタル署名を生成し、生成されたデジタル署名を更新して、更新された生成されたデジタル署名を対応するユーザクラスタデバイス3に送信する。鍵および識別コードが更新された後で、ユーザクラスタデバイス1の要求または呼び出しに基づいて、デジタル署名は、更新された鍵および識別コードを用いて対応するユーザクラスタデバイスについて生成され、生成されたデジタル署名はユーザクラスタデバイスに送信される。幾つかの実施形態によれば、鍵管理装置1は、セキュリティを強化するためにセキュアなチャネルを用いて、生成されたデジタル署名をユーザクラスタデバイス3に送信する。鍵および識別コードがステップS11’において更新されると、ステップS17’において、更新された鍵および識別コードに従って、更新されたデジタル署名が生成され、更新されたデジタル署名は、ユーザクラスタデバイス3に送信される。
ステップS12’は、図3に示すステップS12と同じまたは基本的に同じであり、これは、簡略化のため参照によりここに編入される。
ステップS13’は、図3に示すステップS13と類似のものである。認証要求はアクセス要求に従って鍵管理装置1’に送信され、ここで、認証要求は、ユーザクラスタデバイス3’のデジタル署名を含む。認証要求は、サービスデバイス2’によって格納された公開鍵のリストを含む。公開鍵のリストは、サービスデバイス2’にアクセスし、かつ鍵管理装置1’によって認証されたユーザクラスタデバイス3の公開鍵と、この公開鍵に対応する識別コードを含む。幾つかの実施形態によれば、公開鍵のリストは、永続的にクォーラムディレクトリ(例えば、処理ディレクトリ)に格納される。
認証効率性を増大させるため、サービスデバイスは、公開鍵のリストを生成し、サービスデバイスにアクセスする要求を行ったユーザクラスタデバイスの公開鍵のリストおよび識別コードを格納してもよい。鍵管理装置1によって取得されたサービスデバイスの認証要求は、サービスデバイスによって永続的に格納されたユーザクラスタデバイスの公開鍵のリストをさらに含んでもよく、公開鍵のリストは、アクセス要求内のデジタル署名の識別コードを用いて識別コードに対応する公開鍵を見つけるために検索されてもよい。クラスタ検証情報は、クラスタ検証情報を認証すべく、特定された公開鍵を用いて復号されてもよい。
幾つかの実施形態によれば、ユーザクラスタデバイスがサービスデバイスにアクセスする要求を初めて行うとき、またはユーザクラスタデバイスの鍵および識別コードが更新されて対応する識別コードおよび公開鍵が公開鍵のリストから見つけることができないとき、識別コードに対応する公開鍵は、格納された情報(例えば、鍵および識別コードが配布された際に保存された情報)から取得される。アイデンティティ認証は、公開鍵を用いてユーザクラスタデバイスに対して行われる。公開鍵のリストにもともと存在していなかったユーザクラスタデバイスの公開鍵および識別コードは、ユーザクラスタデバイスがアクセスのための要求を行う際にユーザクラスタデバイスによって用いるため、および、次回サービスデバイスが公開鍵のリストを更新した際にアイデンティティ認証を行うために、サービスデバイスに送信される。
ステップS14’は、図3に示すステップS14と同様のものである。ユーザクラスタデバイス3の公開鍵は、デジタル署名内の識別コードに従って、ステップS13’において提供された公開鍵のリストから特定される。より具体的には、公開鍵のリスト内の識別コードは、デジタル署名内の識別コードに従って発見され、公開鍵のリストにおいて発見された識別コードに従って、対応する公開鍵が検索され、そして、対応する公開鍵が公開鍵のリストから発見された場合、ユーザクラスタデバイス3によって暗号化されたクラスタ検証情報は当該特定された公開鍵を用いることにより復号される。
加えて、対応する公開鍵が公開鍵のリストから発見され、ユーザクラスタデバイス3がアクセスする要求を行い、またはユーザクラスタデバイス3の鍵および識別コードが更新された場合、鍵管理装置1は、自装置の鍵のリストおよび識別コードから識別コードに対応する公開鍵を見つけ、この公開鍵を用いてクラスタ検証情報を復号する。
ステップS18’において、ユーザクラスタデバイス3の公開鍵および識別コードがサービスデバイス2に送信される。
ステップS19’において、サービスデバイス2’は、公開鍵および取得された識別コードを公開鍵のリスト内へ更新する。
ステップS15’およびステップS16’は、概ね図3に示すステップS15およびステップS16の内容と同じであり、これは、簡略化のため参照によりここに編入される。
幾つかの実施形態によれば、ユーザクラスタデバイスの鍵セットが鍵管理装置を用いて管理され、鍵および鍵セットの識別コードが鍵ネゴシエーションを必要とすることなくユーザクラスタデバイスに対して発行される。ユーザクラスタデバイスがあるサービスデバイスにアクセスする要求を行うと、サービスデバイスは、ユーザクラスタデバイスのデジタル署名を含む認証要求を鍵管理装置に送信し、鍵管理装置は、ユーザクラスタデバイスに対してアイデンティティ認証を行う。
さらに、鍵管理装置は、ポーリングメカニズムを用いて鍵セットと鍵セットの識別コードとを規則的に更新し、鍵セットと識別コードとをユーザクラスタデバイスに配布することができる。ユーザクラスタデバイスは、更新された鍵セットと識別コードとを用いてデジタル署名を更新し、漏洩リスクを含めセキュリティが改善される。
さらに、サービスデバイスは、認証効率性を改善すべく公開鍵および鍵セットの識別コードを永続的な態様で格納することができる。
本出願の趣旨および範囲から逸脱することなく本出願に様々な変更および変形がなされ得ることは当業者には明らかであろう。このようにして、本出願は、本出願の変更および変形を含むことが意図されている。
本出願は、ソフトウェアおよび/またはソフトウェアとハードウェアとの組み合わせで実装することができることに留意すべきである。例えば、本出願は、特定用途向け集積回路(ASIC)、汎用コンピュータ、または任意の他の同様のハードウェア装置を使用することによって実装することができる。幾つかの実施形態によれば、本出願のソフトウェアプログラムは、上述のステップまたは機能を実装するためにプロセッサによって実行されてもよい。同様に、本出願のソフトウェアプログラム(関連するデータ構造を含む)は、コンピュータ読み取り可能な記録媒体、例えば、RAMメモリ、磁気もしくは光学ドライブ、またはフロッピーディスクまたは同様の装置に格納することができる。さらに、本出願の幾つかのステップまたは機能は、ハードウェア、例えば、各ステップまたは機能を実行するためにプロセッサと協働する回路によって実装することができる。
加えて、本出願の部分は、コンピュータプログラム製品、例えばコンピュータプログラム命令として実装されてもよく、コンピュータによって命令が実行される場合、本出願による方法および/または技術的解決策は、コンピュータの動作によって呼び出されまたは提供されることができる。本出願の方法を呼び出すプログラム命令は、固定または取り外し可能な記録媒体に格納され、および/または他の信号収入媒体のブロードキャストまたはデータストリームを介して送信され、および/またはプログラム命令に従って実行されるコンピュータ装置のワーキングメモリに格納されてもよい。本願の幾つかの実施形態は装置を含み、この装置は、コンピュータプログラム命令を記憶するために用いられるメモリと、プログラム命令を実行するために用いられるプロセッサとを備えており、コンピュータプログラム命令がプロセッサによって実行されると、本出願に係る複数の実施形態に基づく方法および/または技術的解決策を実行するためにこの装置が起動される。
当業者であれば、本出願が上記例示的な実施形態の細部に限定されるものではなく、本出願の趣旨またはその基本的構成から逸脱することなく他の具体的形態において実装することができることは明らかである。従って、これらの実施形態はあらゆる観点において例示的かつ非限定的なものとみなされるべきであり、本出願の範囲は、上記の説明に代えて添付の請求項によって画定され、従って各請求項の均等な要素の意味および範囲に包含される全ての変更が含まれることを意図している。特許請求の範囲内のいかなる参照符号も、関係する請求項の限定事項とみなすことは不適切である。加えて、用語「含む」は、他のユニットまたはステップを排除せず、単数形は複数形を排除しない。装置クレームに記載された複数のユニットまたは装置は、ソフトウェアまたはハードウェアを介して1つのユニットまたは装置によって実装されてもよい。「第1」や「第2」といった単語は名称を指示するために用いられるが特定の順序を何ら示唆するものではない。

Claims (17)

  1. 鍵管理装置によって実行される、マルチユーザクラスタアイデンティティ認証の方法であって、前記方法は、
    鍵セットおよび前記鍵セットに対応する識別コードをユーザクラスタデバイスに配布することであって、前記鍵セットは、公開鍵および秘密鍵の複数のペアを備える、ことと、
    サービスデバイスによって送信される認証要求を取得することと、
    前記認証要求内の前記ユーザクラスタデバイスのデジタル署名に基づいて前記ユーザクラスタデバイスに対してアイデンティティ認証を行うことであって、前記デジタル署名は、前記ユーザクラスタデバイスの識別コードと、前記秘密鍵を用いて暗号化されたクラスタ検証情報とを備え、前記アイデンティティ認証を行うことは、前記デジタル署名内の前記識別コードを用いて前記ユーザクラスタデバイスの第1の公開鍵を検索することを備える、ことと、
    認証結果を前記サービスデバイスに返すことと、
    を備える方法。
  2. 前記認証要求内の前記ユーザクラスタデバイスのデジタル署名に基づいて前記ユーザクラスタデバイスに対してアイデンティティ認証を行うことは、
    前記第1の公開鍵を用いて前記クラスタ検証情報を復号することと、
    前記クラスタ検証情報を認証することと
    をさらに備える、請求項1の方法。
  3. 前記認証要求は、前記サービスデバイスに格納された前記ユーザクラスタデバイスの公開鍵のリストをさらに備え、前記公開鍵のリストは、前記ユーザクラスタデバイスの第2の公開鍵と第2の識別コードとを含み、前記ユーザクラスタデバイスは、前記サービスデバイスにアクセスするためのアクセス要求を行っており、
    前記認証要求内の前記ユーザクラスタデバイスのデジタル署名に基づいて前記ユーザクラスタデバイスに対してアイデンティティ認証を行うことは、
    前記デジタル署名内の前記識別コードに従って、前記公開鍵のリスト内の前記ユーザクラスタデバイスの前記第2の公開鍵を検索することと、
    前記第2の公開鍵を用いて前記クラスタ検証情報を復号することと
    を備える、請求項2の方法。
  4. 前記認証結果を前記サービスデバイスに返すことは、
    前記公開鍵のリストを更新するために前記ユーザクラスタデバイスの前記第2の公開鍵および前記第2の識別コードを前記サービスデバイスに送信することをさらに備える、請求項3の方法。
  5. 前記鍵セットおよび前記鍵セットに対応する前記識別コードを前記ユーザクラスタデバイスに配布することは、
    前記鍵セットおよび前記識別コードを更新することと、
    更新された前記鍵セットおよび前記識別コードを前記ユーザクラスタデバイスに配布することであって、前記識別コードは増分的に更新される、ことと
    を備える、請求項4の方法。
  6. 前記鍵セットおよび前記識別コードを更新した後で、
    対応するユーザクラスタデバイスからの要求に応答して、更新された前記鍵セットおよび前記識別コードを用いて前記対応するユーザクラスタデバイスについてデジタル署名を生成することと、
    生成した前記デジタル署名を前記対応するユーザクラスタデバイスに送信することと
    をさらに備える、請求項5の方法。
  7. 前記クラスタ検証情報は、クラスタ名、クラスタ生成時間、前記公開鍵および前記秘密鍵の生成時間、並びに前記公開鍵および前記秘密鍵の有効期限の少なくとも1つを含む、請求項6の方法。
  8. 前記鍵セットおよび前記識別コードは、セキュアなチャネルを用いて配布される、請求項7の方法。
  9. サービスデバイスによって実行される、マルチユーザクラスタアイデンティティ認証の方法であって、前記方法は、
    アクセス要求をユーザクラスタデバイスから取得することであって、前記アクセス要求は、前記ユーザクラスタデバイスのデジタル署名を備え、前記デジタル署名は、識別コードと、秘密鍵を用いて暗号化されたクラスタ検証情報とを含む、ことと、
    前記アクセス要求に従って、認証要求を鍵管理装置に送信することであって、前記認証要求は、前記ユーザクラスタデバイスの前記デジタル署名を備える、ことと、
    前記認証要求に基づいて前記鍵管理装置によって返される前記ユーザクラスタデバイスの認証結果を取得することと、
    公開鍵のリストを生成することと、
    前記認証結果を取得した後で、第1のユーザクラスタデバイスの第1の公開鍵および第1の識別コードを取得することであって、前記第1のユーザクラスタデバイスは、前記鍵管理装置を用いて、アクセスするための要求をした、ことと、
    前記第1の公開鍵および前記第1の識別コードを前記公開鍵のリストに格納することと
    を備える方法。
  10. マルチユーザクラスタアイデンティティ認証を行う鍵管理装置であって、前記鍵管理装置は、
    メインメモリと、
    前記メインメモリと通信可能に結合されたプロセッサと
    を備え、
    前記プロセッサは、
    公開鍵および秘密鍵の複数のペアを備える鍵セットおよび前記鍵セットに対応する識別コードをユーザクラスタデバイスに配布し、
    前記ユーザクラスタデバイスのデジタル署名を含む認証要求を取得し、
    前記デジタル署名を用いて前記ユーザクラスタデバイスに対してアイデンティティ認証を行い、
    認証結果をサービスデバイスに返し、
    前記デジタル署名は、前記ユーザクラスタデバイスの識別コードと、前記秘密鍵を用いて暗号化されたクラスタ検証情報とを含み、前記プロセッサは、前記デジタル署名内の前記識別コードに従って前記ユーザクラスタデバイスの第1の公開鍵を検索する、鍵管理装置。
  11. 前記プロセッサは、前記第1の公開鍵を用いて前記クラスタ検証情報を復号し、前記クラスタ検証情報を認証する、請求項10の鍵管理装置。
  12. 前記認証要求は、前記ユーザクラスタデバイスの公開鍵のリストをさらに備え、
    前記公開鍵のリストは、前記サービスデバイスにアクセスする要求をした第2のユーザクラスタデバイスの第2の公開鍵および第2の識別コードを含み、
    前記プロセッサは、前記デジタル署名内の前記識別コードに従って、前記公開鍵のリストにおいて前記第2のユーザクラスタデバイスの前記第2の公開鍵を検索し、前記第の公開鍵を用いて前記第2のユーザクラスタデバイスによって暗号化されたクラスタ検証情報を復号する、
    請求項11の鍵管理装置。
  13. 前記プロセッサは、前記第2のユーザクラスタデバイスの前記第2の公開鍵および前記第2の識別コードを前記サービスデバイスに送信し、前記サービスデバイスは、前記第2の公開鍵および前記第2の識別コードを用いて前記公開鍵のリストを更新する、請求項12の鍵管理装置。
  14. 前記プロセッサは、前記第2の公開鍵および前記第2の識別コードを更新し、前記第2の公開鍵および前記第2の識別コードを前記第2のユーザクラスタデバイスに配布し、前記識別コードは増分的に更新される、請求項13の鍵管理装置。
  15. 前記プロセッサは、前記第2のユーザクラスタデバイスからの第2の要求に従って、前記第2の公開鍵および前記第2の識別コードを用いて前記第2のユーザクラスタデバイスについてデジタル署名を生成し、生成された前記デジタル署名を前記第2のユーザクラスタデバイスに送信する、請求項14の鍵管理装置。
  16. 前記クラスタ検証情報は、クラスタ名、クラスタ生成時間、前記公開鍵および前記秘密鍵の生成時間、並びに前記公開鍵および前記秘密鍵の有効期限の少なくとも1つを含む、請求項15の鍵管理装置。
  17. 前記プロセッサは、前記鍵セットおよび前記識別コードをセキュアなチャネルを用いて配布する、請求項16の鍵管理装置。
JP2018510780A 2015-08-25 2016-08-25 マルチユーザクラスタアイデンティティ認証のための方法および装置 Active JP6856626B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
CN201510526904.2 2015-08-25
CN201510526904.2A CN106487743B (zh) 2015-08-25 2015-08-25 用于支持多用户集群身份验证的方法和设备
US15/245,690 2016-08-24
US15/245,690 US20170063554A1 (en) 2015-08-25 2016-08-24 Method and device for multi-user cluster identity authentication
PCT/US2016/048648 WO2017035333A1 (en) 2015-08-25 2016-08-25 Method and device for multi-user cluster identity authentication

Publications (3)

Publication Number Publication Date
JP2018528691A JP2018528691A (ja) 2018-09-27
JP2018528691A5 JP2018528691A5 (ja) 2019-09-26
JP6856626B2 true JP6856626B2 (ja) 2021-04-07

Family

ID=58096992

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018510780A Active JP6856626B2 (ja) 2015-08-25 2016-08-25 マルチユーザクラスタアイデンティティ認証のための方法および装置

Country Status (6)

Country Link
US (1) US20170063554A1 (ja)
EP (1) EP3341832A4 (ja)
JP (1) JP6856626B2 (ja)
CN (1) CN106487743B (ja)
TW (1) TWI797056B (ja)
WO (1) WO2017035333A1 (ja)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11038682B2 (en) * 2017-05-26 2021-06-15 Cloudminds (Shanghai) Robotics Co., Ltd. Communication method, apparatus and system, electronic device, and computer readable storage medium
CN107579817A (zh) * 2017-09-12 2018-01-12 广州广电运通金融电子股份有限公司 基于区块链的用户身份验证方法、装置及系统
CN107733652B (zh) * 2017-09-13 2021-05-25 捷德(中国)科技有限公司 用于共享交通工具的开锁方法和系统及车锁
CN107809311B (zh) * 2017-09-30 2020-01-03 飞天诚信科技股份有限公司 一种基于标识的非对称密钥签发的方法及系统
CN110086755B (zh) * 2018-01-26 2022-06-21 巍乾全球技术有限责任公司 实现物联网服务的方法、应用服务器、物联网设备和介质
EP3804259B1 (en) 2018-06-08 2024-02-28 Linxens Holding Encryption device, a communication system and method of exchanging encrypted data in a communication network
CN108989028A (zh) * 2018-07-16 2018-12-11 哈尔滨工业大学(深圳) 群密钥分发管理方法、装置、电子设备及存储介质
CN110798434B (zh) * 2018-08-03 2022-04-08 Emc Ip控股有限公司 计算机系统、计算装置所进行的方法和存储介质
CN109150540B (zh) * 2018-08-03 2021-04-16 广东工业大学 一种无人设备的系统更新验证方法及装置
CN109450621B (zh) * 2018-10-12 2021-06-18 广州杰赛科技股份有限公司 一种设备的信息校验方法与装置
CN111835520B (zh) * 2019-04-19 2023-04-07 株式会社理光 设备认证的方法、服务接入控制的方法、设备及存储介质
CN110688646B (zh) * 2019-10-14 2021-12-03 广州麦仑信息科技有限公司 一种应用于掌脉识别的多服务器集群的安全认证方法
CN111064569B (zh) * 2019-12-09 2021-04-20 支付宝(杭州)信息技术有限公司 可信计算集群的集群密钥获取方法及装置
CN113111335B (zh) * 2020-01-13 2023-12-29 深信服科技股份有限公司 一种认证方法、装置、设备及存储介质
CN111310132A (zh) * 2020-02-24 2020-06-19 山东爱城市网信息技术有限公司 一种基于java开发的集群证书认证方法
CN111737741B (zh) * 2020-06-19 2024-02-27 中国工商银行股份有限公司 分布式数据库集群访问方法及中间服务层
CN112422340B (zh) * 2020-11-18 2023-05-23 北京魔带互联科技有限公司 一种管理云服务集群的方法
CN113452519B (zh) * 2021-06-25 2022-07-19 深圳市电子商务安全证书管理有限公司 密钥同步方法、装置、计算机设备及存储介质
CN114286331B (zh) * 2021-12-03 2023-09-12 国网浙江省电力有限公司宁波供电公司 适用于电力物联网5g数据终端的身份认证方法及系统
US20220109581A1 (en) * 2021-12-15 2022-04-07 Intel Corporation Distributed attestation in heterogenous computing clusters

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2874916B2 (ja) * 1989-11-21 1999-03-24 株式会社東芝 携帯用暗号鍵記憶装置
US7107246B2 (en) * 1998-04-27 2006-09-12 Esignx Corporation Methods of exchanging secure messages
US6950522B1 (en) * 2000-06-15 2005-09-27 Microsoft Corporation Encryption key updating for multiple site automated login
JP4556308B2 (ja) * 2000-08-31 2010-10-06 ソニー株式会社 コンテンツ配信システム、コンテンツ配信方法、および情報処理装置、並びにプログラム提供媒体
US20020078382A1 (en) * 2000-11-29 2002-06-20 Ali Sheikh Scalable system for monitoring network system and components and methodology therefore
US7392546B2 (en) * 2001-06-11 2008-06-24 Bea Systems, Inc. System and method for server security and entitlement processing
JP2003242414A (ja) * 2002-02-15 2003-08-29 Nippon Telegr & Teleph Corp <Ntt> 課金方法及び課金システム及びストリーミングコンテンツ配送システム及びインターネット接続サービスシステム及びサービス提供サーバ及び認証課金サーバ及び課金プログラム及び課金プログラムを格納した記憶媒体
US7206934B2 (en) * 2002-09-26 2007-04-17 Sun Microsystems, Inc. Distributed indexing of identity information in a peer-to-peer network
US20050015471A1 (en) * 2003-07-18 2005-01-20 Zhang Pu Paul Secure cluster configuration data set transfer protocol
US20050027862A1 (en) * 2003-07-18 2005-02-03 Nguyen Tien Le System and methods of cooperatively load-balancing clustered servers
JP4761348B2 (ja) * 2005-05-02 2011-08-31 Kddi株式会社 ユーザ認証方法およびシステム
KR20080031965A (ko) * 2005-07-20 2008-04-11 베리메트릭스 인코퍼레이티드 네트워크 사용자 인증 시스템 및 방법
GB2442044B8 (en) * 2006-05-11 2011-02-23 Ericsson Telefon Ab L M Addressing and routing mechanism for web server clusters.
US8824686B1 (en) * 2007-04-27 2014-09-02 Netapp, Inc. Cluster key synchronization
JP5975594B2 (ja) * 2010-02-01 2016-08-23 沖電気工業株式会社 通信端末及び通信システム
CN102457772B (zh) * 2010-10-29 2014-04-02 华为终端有限公司 信息显示方法及设备
US9282085B2 (en) * 2010-12-20 2016-03-08 Duo Security, Inc. System and method for digital user authentication
US20120179904A1 (en) * 2011-01-11 2012-07-12 Safenet, Inc. Remote Pre-Boot Authentication
CN103843261A (zh) * 2011-08-05 2014-06-04 英特尔公司 用于蜂窝辅助设备对设备通信的移动设备和方法
CN102739687B (zh) * 2012-07-09 2016-03-23 广州杰赛科技股份有限公司 基于标识的应用服务网络访问方法及系统
EP2713574B1 (en) * 2012-09-26 2021-06-09 Alcatel Lucent Resilient packet data connectivity in a cellular network
WO2015055257A1 (en) * 2013-10-18 2015-04-23 Nokia Solutions And Networks Oy Selection and use of a security agent for device-to-device (d2d) wireless communications
CN104363217A (zh) * 2014-11-03 2015-02-18 深圳市远行科技有限公司 一种Web系统的CA数字签名认证系统及认证方法
US9813400B2 (en) * 2014-11-07 2017-11-07 Probaris Technologies, Inc. Computer-implemented systems and methods of device based, internet-centric, authentication

Also Published As

Publication number Publication date
CN106487743A (zh) 2017-03-08
JP2018528691A (ja) 2018-09-27
EP3341832A4 (en) 2019-03-27
EP3341832A1 (en) 2018-07-04
CN106487743B (zh) 2020-02-21
US20170063554A1 (en) 2017-03-02
WO2017035333A1 (en) 2017-03-02
TW201709691A (zh) 2017-03-01
TWI797056B (zh) 2023-04-01

Similar Documents

Publication Publication Date Title
JP6856626B2 (ja) マルチユーザクラスタアイデンティティ認証のための方法および装置
US11606352B2 (en) Time-based one time password (TOTP) for network authentication
US9674699B2 (en) System and methods for secure communication in mobile devices
US8984295B2 (en) Secure access to electronic devices
US8977857B1 (en) System and method for granting access to protected information on a remote server
US9219722B2 (en) Unclonable ID based chip-to-chip communication
JP2020527305A5 (ja)
WO2019095567A1 (zh) 单点登录的校验装置、方法及计算机可读存储介质
US20140079221A1 (en) Managing encrypted data and encryption keys
DE102016226311A1 (de) Authentifizierung eines lokalen gerätes
CN112671720B (zh) 一种云平台资源访问控制的令牌构造方法、装置及设备
CN102404314A (zh) 远程资源单点登录
US10826895B1 (en) System and method for secure authenticated user session handoff
CN110213263B (zh) 基于联盟区块链的身份验证方法、设备及存储介质
US11146552B1 (en) Decentralized application authentication
US20180007021A1 (en) Public key pinning for private networks
CN112187470A (zh) 物联网证书分发方法及装置、系统、存储介质、电子装置
CN111988262B (zh) 认证方法、装置及服务器、存储介质
US20220070002A1 (en) Multi-service scep-certificate based authentication
CN110771087B (zh) 私钥更新
CN110048842B (zh) 会话密钥处理方法、设备及计算机可读存储介质
JP2016139910A (ja) 認証システム、認証鍵管理装置、認証鍵管理方法および認証鍵管理プログラム
US10484379B2 (en) System and method for providing least privilege access in a microservices architecture
JP5620805B2 (ja) データベース暗号化装置、データベース暗号化システム、データベース暗号化方法及びプログラム
JP2016115162A (ja) 認証システム、認証端末装置、登録端末装置、認証方法、及びプログラム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190816

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190816

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201019

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201110

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210203

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210216

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210318

R150 Certificate of patent or registration of utility model

Ref document number: 6856626

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250