JP7002767B2 - 署名付きメッセージを用いるトークンベースの認証 - Google Patents
署名付きメッセージを用いるトークンベースの認証 Download PDFInfo
- Publication number
- JP7002767B2 JP7002767B2 JP2019503483A JP2019503483A JP7002767B2 JP 7002767 B2 JP7002767 B2 JP 7002767B2 JP 2019503483 A JP2019503483 A JP 2019503483A JP 2019503483 A JP2019503483 A JP 2019503483A JP 7002767 B2 JP7002767 B2 JP 7002767B2
- Authority
- JP
- Japan
- Prior art keywords
- message
- token
- computer system
- user
- signed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Description
アプリケーションおよびデータへのアクセスは、主張された識別が首尾良く検証されて初めて認められることになる。
この手順には、ユーザが、エラーが発生しやすくかつユーザにとって煩わしいパスワード入力を行わなければならないという欠点がある。
また、静的パスワードの照会には、通常、安全なパスワードを打ち込む必要があり、よって、そのパスワードを非認可者によって記録される可能性があるという欠点もある。
一方で、単純なパスワードが選択されていれば、これは、容易に推測される可能性があり、よって、例えばプロービング(「ブルート・フォース・アタック」)により、かなり短時間で決定され得る。
携帯電話は、ユーザ識別を保存する集積回路を含んでいる。
ユーザ識別および現在時刻は、署名鍵で署名されてサーバへ送信される。
サーバは、同じ署名鍵、よってユーザとサーバとの共通鍵として機能する署名鍵、を用いて署名の有効性を検証する。
データストリームから、電子署名により生成されるハッシュデータが生成される。
対応する公開鍵を持つサービスプロバイダは、これを復号化できなくても有効な識別を結論づけることができる。
これにより、入力デバイスは、プレーンテキストまたは暗号化されたパスワード等の事前に規定されたキーストロークを対称法によってコンピュータシステムに送信することができる。
チャレンジレスポンス方式は、認証のための秘密(共有秘密鍵)を送信することではなく、認証機関に対してチャレンジを設定することにより、付随する危険を減らす。
認証されるべきユーザのレスポンスに基づいて、認証機関は、ユーザがその秘密を知っていると認識することができる。
公開鍵基盤の各ユーザには、公開鍵および秘密鍵の両方が割り当てられる。
この鍵ペアは、各々の公開鍵および秘密鍵を関連ユーザにバインドする信用のある認証局により発行される証明書に関連づけられることが可能である。
多くの場合、秘密鍵と公開鍵、および証明書を保存し、かつ秘密鍵に関連づけられる暗号計算を実行するためには、スマートカードまたはUSBトークンが使用される。
スマートカードは、受信されるメッセージに署名して、署名付きのメッセージを確認のためにアプリケーションへ送信する。
本発明の場合、(i)メッセージに特定の設定で署名し、(ii)署名の有効性を非対称暗号化方式で検証し、かつ(iii)メッセージの特定の構造に基づいて、妥当な時間間隔内で既に受信されているメッセージの繰り返された検証を認識することが不可欠である。
認証に必要なデータは、全て、公知であってもよい。
トークン内に実装される計数ユニットを利用することにより、カウンタ値を生成するステップであって、生成されるカウンタ値の少なくとも一部分は、厳密な単調数列を形成するステップと、
生成されたカウンタ値に依存してメッセージを生成するステップと、
生成されたメッセージに、ユーザの秘密鍵を利用することにより署名するステップであって、秘密鍵は、トークンに記憶され、かつ秘密鍵またはそのコピーは、コンピュータシステム(70)へ提供されないステップと、
署名付きメッセージをコンピュータシステムへ送信するステップと、を含む。
署名付きメッセージの送信は、署名付きメッセージを入力データとして、具体的には(例えば、キーボード・スキャン・コードによる)キーボード入力データとして、符号化しかつ送信することを含んでもよい。
カウンタ値は、計数ユニットが再びポーリングされると増分されるカウンタ数値、例えば整数、であってもよい。
しかしながら、他のタイプのカウンタ値も企図される。
したがって、例えば、タイムスタンプとしての日付を含む時間表示が提供されてもよい。
時間表示に含まれる日付は、例えばグレゴリオ暦である従来のカレンダに従ってコード化されてもよい。
また、日付は、例えば、最初の日付以降の秒単位で数値表現されてもよい。
カウンタ値は、タイムスタンプを含んでもよい。
この場合、メッセージにおいてコード化されるカウンタ値は、例えば、タイムスタンプに基づくものであっても、カウンタ数値に加えて存在するものであってもよい。
この規則は、少なくとも、連続して生成されるカウンタ値の大部分に適用されなければならない。
これに関しては、生成される同じタイプのカウンタ値の一部分の厳密な単調さが当てはまる。
「部分」という用語は、共にカウンタ値の一部分を形成する、互いの直後に生成される所定数のカウンタ値を含む。
カウンタ値の少なくとも一部分に適用されるべき厳密な単調さの境界条件は、記憶および処理の間のカウンタ値の限度から生じる。
所定数のカウンタ値が生成されると、カウンタ値は上限値に達するが、これは、カウンタがオーバーフローする前に発生する。
この場合、遅くとも、カウンタは、次の計数の継続を、下限に対応するカウンタ値を用いて行わなければならない。
安全上の理由から、カウンタの幅は相応に大きいものとなる。
ある好適な実施形態では、カウンタは、32ビットを含み、よって約40億のカウンタ値を区別することができる。
識別特徴は、受信側のコンピュータシステムがトークンに関連づけられるユーザを識別できるようにする。
この情報は、受信されるメッセージの署名を検証するために必要な関連の公開鍵を識別するために要求される。
関連の公開鍵を別の方法でも決定できる限り、署名付きメッセージにおける識別特徴の送信は、必須ではない。
ユーザは、コンピュータシステムにおける認証プロセスの一部としてのユーザ選択を、例えばキーボードを介して自分のユーザ名を手動入力(ログイン)することにより行ってもよい。
受信側コンピュータシステムは、コード化されたプロトコルバージョンに依存してメッセージを様々に処理できることから、受信されるメッセージからプロトコルバージョンを抽出することは、生成されるメッセージ用に異なるフォーマットを用いることを可能にする。
フラグは、署名付きメッセージの作成における問題点を示すために使用可能である。
好ましくは、フラグは、トークンにおける電源故障を示す。
したがって、フラグは、場合により存在するトークン内のリアルタイムクロックが、このリアルタイムクロックが電源故障の間に開始値にリセットされたか、停止されたために、正確なタイムスタンプを生成できていない状態を示す。
代替的または追加的に、フラグは、受信側コンピュータシステムが続いて、上限ではなく下限に対応するカウンタ値を解釈し得るように、目下のカウンタオーバーランをシグナリングしてもよい。
ユーザ定義のプレフィクスは、好ましくは、トークンをグループ化するために、例えば会社の部門を識別するために使用される。
また、ユーザ定義のプレフィクスは、ユーザの様々なトークンを区別するため、例えば、ユーザの役割(プライベートトークン、ビジネストークン)を区別するために使用されることも可能である。
署名されるべきメッセージが最小長さより短い場合、これは、定義されたパディング規則に従ってパディングバイトでパディングされることが可能である。
パディングバイトは、署名が生成された後に、再び取り除くことができる。
パディングバイトがメッセージの送信前に署名付きメッセージから除去される場合、パディング規則は、未送信のパディングバイトが検証されるべき署名付きメッセージへ追加し戻されて署名が正しく検証されるように、認証側コンピュータシステムに知らされなければならない。
パディングバイトは、署名されるべきメッセージにおける定義されたロケーションに位置決めされる単一のASCII文字であってもよい。
署名は、好ましくは、各々1バイトである64文字を含み、メッセージに添付される。
従って、署名付きメッセージは、87バイトを含み、そのうちの23バイトがパディングバイト除去後のメッセージ用であり、64バイトが、32バイトまで拡張されるメッセージの署名用である。
Microsoft社のWindowsシリーズのオペレーティングシステムの場合、パスワードの入力限度は、127バイトである。
これに関しては、受信されるメッセージを、パスワード入力フィールドに読み込むことが可能である。
この実施形態では、メッセージは、要求されるパスワードにも依存して生成される。
あるいは、署名付きメッセージと共に、パスワードが送信される。
ある好適な実施形態では、署名付きメッセージと共に、または署名付きメッセージ内でパスワードを送信するために8バイトが留保される。
Base64エンコーディングは、アルファベット26文字の小文字および大文字(a~z、A~Z)、数字0~9およびASCII文字であるプラス(「+」)およびスラッシュ(「/」)を含む64個のASCII文字の使用を基礎とする。
ある好適な実施形態では、プラス(「+」)およびスラッシュ(「/」)の代わりに、ASCII文字であるカンマ(「,」)およびセミコロン(「;」)を有するBase64派生語が使用される。
好ましくは、署名されかつ場合により符号化されたメッセージは、コンピュータシステム上にヒューマン・インタフェース・デバイスとして登録されかつ例えばUSBまたはブルートゥースキーボードとして認識されるトークンにより、コンピュータシステムへ擬似キーボード入力として送信される。署名されかつ場合により符号化されたメッセージの送信は、キーボード・スキャン・コードを介して行われることが可能である。
キーボード・スキャン・コードは、コンピュータシステムにおけるASCIIコードが割り当てられているキーボード上のキーストロークの符号化を表す。
ASCII文字とキーボード・スキャン・コードとの間の割当てが、コンピュータシステムの言語設定に依存することは留意されるべきである。
多くのキーボード・スキャン・コードは、設定言語とは無関係であるが、現行キーボードの所与の言語に依存して、個々のASCII文字が異なるキーボード・スキャン・コードによって表されることはある。
第2の例は、英語キーボード上の「z」キーのキーボード・スキャン・コードであって、フランス語キーボード上ではこれが「w」として解釈される。
さらに、フランス語キーボード上のキー「;」は、ドイツ語キーボード上ではキー「,」に換えられる。
キリル文字のキーボードでは、ほとんどすべての英語キーボード・スキャン・コードが、異なるASCIIコードを有する特殊キリル文字に対応する。
これに関しては、言語の違いを含む以前に合意された2つの異なるASCII文字のキーボード・スキャン・コードを生成し、かつコンピュータシステムにより生成されるASCIIコードを検索することによって、設定された言語構成を推測することが可能である。
検証コードは、異なる言語設定を区別することに適する、先に合意された少なくとも2つのASCII文字のキーボード・スキャン・コードを含む。
好ましくは、メッセージの検証コードは、接頭辞として付けられる。
検証コードとしては、例えば、既定言語から選択される次のような文字ペア、すなわちドイツ語キーボード上の「y」および「,」、これに対応する英語キーボード上のキー「z」および「;」のうちの一方が区別のために使用され得る。
実施形態によっては、検証コードは、署名されるべきメッセージ内に1つの属性として包含される。
実施形態によっては、Base64エンコーディングの64文字は、アルファベット26文字(a~z)のキーボード・スキャン・コード、数字0~9、シフトキー、およびカンマ(「,」)のキーボード・スキャン・コードによって表現される。
シフトキーは、アルファベットおよびカンマ記号に作用することから、文字A~Zおよびセミコロン(=ドイツ語キーボードではシフトキーとカンマ)または「小なり」記号(=英語キーボードではシフトキーとカンマ)は、合計64文字を表示できるようにシフトキーと組み合わせて表示されることが可能である。
トークンおよびコンピュータシステムが同じ言語設定を使用すれば、コンピュータシステムは、キーボード・スキャン・コードから、識別される言語設定により生じるASCII文字へのマッピングを適用することによって、受信されるメッセージのキーボード・スキャン・コードを、ASCII文字として符号化された署名付きメッセージに変換することができる。
秘密鍵は、ユーザを認証すべくコンピュータシステムにアクセス可能にされる必要はない。
好ましくは、秘密鍵は、セキュリティチップへメッセージに署名するための機能を提供することに留まらない。
セキュリティチップは、秘密鍵を読み取って記憶するためのインタフェースを含んでもよい。
好ましくは、セキュリティチップは、秘密鍵および関連する公開鍵を生成するための機能と、公開鍵を読み取るための機能とを有する。
ハードウェアカウンタは、上限に達すると、例えば、カウンタオーバーフローの直前に、下限から再開することができる。
上限への到達または下限からの継続は、コンピュータシステムへメッセージで伝達されてもよい。
コンピュータシステムには、カウンタ値の構造が通知されてもよく、よって、上限に達すると下限から継続されることが分かり得る。
リアルタイムクロックは、精度を高めるための温度補償を有することが可能である。
リアルタイムクロックは、GPS信号から時間を抽出することができるGPS受信機であってもよい。
リアルタイムクロックは、DCF77等の電波時計受信機であってもよい。
また、リアルタイムクロックは、認証プロセスにおいてトークンが関連づけられるコンピュータシステムの時刻を受信するためのユニットであってもよい。
リアルタイムクロックは、さらに、インターネット上で通信するためのユニットであってもよく、時間は、1つ以上のタイムサーバから取得される。
したがって、処理ユニットの別々のコンポーネントがメッセージへの署名を担当してもよく、かつ1つ以上の異なるコンポーネントが1つ以上のカウンタ値の生成を担当してもよい。
好ましくは、トークンは、トークンが送信ユニットを介してコンピュータシステムに接続されると認証されるべき、コンピュータシステムに対するキーボードとしての機能を表す。
「キーボード」という動作モードに加えて、送信ユニットは、例えばトークンに記憶されているキーを送信するための他の動作モードも有することが可能である。
トークンが、別個のセキュリティ機能を2ファクタ認証の一部として送信する場合、このセキュリティ機能は、送信ユニットの別個の動作モードで送信されることが可能である。
トークンは、好ましくは、無線インタフェース、例えばブルートゥースおよび/または近距離無線通信(NFC)を含む。
アドオンモジュールは、例えばユニバーサル・シリアル・バス(USB)によるインタフェースである他のインタフェースを用いてトークンを拡張することができる。
特にトークンのリアルタイムクロックを供給する必要がある場合、内部電源は、外部電源を許容する有線インタフェースを有するトークンにとっても有利であり得る。
内部電源は、例えば、アキュムレータ、バッテリまたは太陽電池であってもよい。
トークンは、外部電源へのインタフェースを有してもよい。
送信ユニットは、ユーザをソフトウェアトークンがインストールされるデバイスに対して認証するために、デバイスのオペレーティングシステムまたはアプリケーションプログラムへのソフトウェアインタフェースを含んでもよい。
第1の制御エレメントは、署名付きメッセージの生成および送信を実行するためにユーザにより操作されるボタンであってもよい。
ヒューマン・インタフェース・デバイスとして登録されるデバイスの場合、コンピュータシステムには、トークンが、第1の制御エレメントを押すと署名付きメッセージを表現する擬似キーストロークを生成するキーボードのように現出する。
公開鍵は、トークンにおける署名付きメッセージの生成には不要である。
しかしながら、ユーザを認証するためには、公開鍵は、トークンが添付されるあらゆるコンピュータシステムにアクセス可能でなければならない。
この点に関しては、公開鍵を要求に応じてコンピュータシステムにインポートできるように、公開鍵をトークンに入れることが効果的である。
第2の制御エレメントは、ボタンであってもよい。
公開鍵は、キーボード・スキャン・コードを介して送信されることが可能である。
トークンは、さらに、コンピュータシステムへ転送するために公開鍵を入れておくことができるUSBデータキャリアとして設計されることが可能である。
カウンタ値を生成するための計数ユニットであって、生成されるカウンタ値の少なくとも一部分が、厳密な単調数列を形成する計数ユニットと、前記ユーザに関連づけられる秘密鍵を記憶するためのメモリと、生成される前記カウンタ値に依存してメッセージを生成し、かつ生成された前記メッセージに前記秘密鍵を利用して署名するための処理ユニットと、前記署名付きメッセージを前記コンピュータシステムに送信するための送信ユニットとを含み、前記送信ユニットが、前記署名付きメッセージを入力データとして符号化しかつ送信することを含み、前記入力データが、定義される言語設定のキーボード・スキャン・コードとして符号化され、かつ前記メッセージが、前記キーボード・スキャン・コードの異なる言語設定を区別することに適する、先に合意された少なくとも2つのASCII文字の前記キーボード・スキャン・コードを含むチェックコードを含み、前記コンピュータシステムへ入力デバイス(ヒューマン・インタフェース・デバイス)としてログオンするように適合化されたトークンから署名付きメッセージを受信するステップであって、前記署名付きメッセージは、本発明の第2の態様によるトークンのカウンタ値に依存するステップと、
識別特徴を利用して、ユーザを署名付きメッセージに割り当てるステップと、
ユーザの公開鍵を用いて署名付きメッセージの署名を検証するステップと、
メッセージから抽出されるカウンタ値を、ユーザの先行する認証プロセスのカウンタ値と比較するステップとを含み、ユーザの連続する認証プロセスのカウンタ値の少なくとも一部分は、厳密な単調数列を形成し、
前記コンピュータシステム(70)は、前記トークン(10)が前記コンピュータシステム(70)に入力デバイス(ヒューマン・インタフェース・デバイス)としてログオンすることをサポートするように適合化され、
前記署名付きメッセージを受信する前記ステップ(62)は、前記署名付きメッセージを入力データとして復号することを含み、かつ、
前記入力データは、定義される言語設定のキーボード・スキャン・コードとして符号化され、かつ前記メッセージは、前記キーボード・スキャン・コードの異なる言語設定を区別することに適する、先に合意された少なくとも2つのASCII文字の前記キーボード・スキャン・コードを含むチェックコードを含む。
トークンは、署名付きメッセージを、キーボード・スキャン・コードで符号化された擬似キーボード入力として送信してもよい。
好ましくは、受信されるメッセージに検証コードが先行し、または、検証コードが署名付きメッセージに組み込まれる。
検証コードは、異なる言語設定を区別することに適する、先に合意された少なくとも2つのASCII文字のキーボード・スキャン・コードを含む。
トークンとコンピュータシステムとの間には、検証コードにおいて提出されるべきASCII文字に関する合意があることから、コンピュータシステムは、受信されるキーボード・スキャン・コードにどの言語設定が対応するかを決定して、このキーボード・スキャン・コードを個々の割り当てられたASCII文字に割り当てることができる。
受信されたメッセージは、これで、それがトークンにより符号化されたものであれば、Base64に従って復号されることが可能である。
このためには、受信されるメッセージをユーザに割り当てて、決定されたユーザから関連の公開鍵を決定することが必要である。
したがって、ユーザの認証に際して、ユーザおよびコンピュータシステムは、ユーザの秘密鍵等の秘密特徴を共有する必要がない。
ユーザは、署名付きメッセージにおける識別子から決定されることが可能である。
ユーザは、他の関連づけによって、例えば、パスワード入力がトークンによって開始される間に、コンピュータシステム上のキーボードを介してユーザ名を入力すること(ログイン)によって識別されることも可能である。
その結果、識別特徴をメッセージに統合することは、不可欠ではない。
コンピュータシステムまたはコンピュータシステムのアプリケーションへのアクセスは、入力されたパスワードおよびトークンの署名付きメッセージの検証が肯定的である場合にのみ許可される。
ユーザ認証にトークンを用いる異なるコンピュータシステムのセキュリティ要件および同期に依存して、厳密な単調さの検証は、さらに、検証されるカウンタ値が検証された最新のカウンタ値のずれのない増分を表すことの検証を含んでもよい。
しかしながら、この場合、非認可者は、第1のコンピュータシステム上のメッセージを改竄して、傍受したメッセージを、第1のコンピュータシステム上の認証プロセスについてまだ知らされていない第2のコンピュータシステムへインポートする可能性もある。
トークン検証の誤った肯定結果を防ぐためには、コンピュータシステム間で検証済みカウンタ値の同期をとることができる。
代替的または追加的に、メッセージに、メッセージの短い有効期間を保証するタイムスタンプまたは同等の属性を包含することができる。
この目的に沿って、メッセージに含まれる、受信されたメッセージの使用を定義された時間期間内でのみ許容するタイムスタンプを使用することができる。
これにより、傍受されたメッセージが他の非同期のコンピュータシステム上で首尾良く再生されることが防止される。
したがって、本発明による認証プロセスは、LDAP認証モジュールにより呼び出されるダイナミックライブラリに実装されることが可能である。
したがって、オペレーティングシステムおよびアプリケーションプログラムの観点から、なおも規格準拠のLDAP認証が想定されている。
本発明による認証の組み入れは、好ましくは、オープン・ソース・ソフトウェアpGinaを介して行われ、これは、拡張可能なプラグインアーキテクチャを有し、かつWindowsのクレデンシャル管理APIのプログラミングインターフェースを用いる。
本発明による認証は、pGinaを介してWindowsのクレデンシャル管理APIに接続されるLDAPサーバに実装されることが可能である。
LDAPサーバは、好ましくは、ユーザに割り当てられる静的パスワードを記憶し、これが検証のためにWindowsのクレデンシャル管理APIへ送られる。
あるいは、静的パスワードは、トークンに記憶されてコンピュータシステムへ送信されてもよい。
静的パスワードは、Windowsがユーザのパスワードを用いてユーザデータを暗号化することに起因して、Windowsシリーズのオペレーティングシステム上で必要とされる。
したがって、コンピュータシステムは、アクセス制御および/または時間記録のための端末および電子ドアロックも含んでもよい。
コンピュータシステム上の認証は、たとえばWindowsのアクティブディレクトリ、SMBおよびCIFSの下でのディレクトリログオンに使用可能である。
さらに、コンピュータシステムに対する認証は、アプリケーションプログラム、サービス、ウェブアプリケーションおよびVPNへのアクセス制御を提供してもよい。
好ましくは、セットアップおよびメンテナンスプログラムは、秘密鍵と対応する公開鍵とから成る鍵ペアを生成するための関数、または鍵ペアを生成するためのトークンをプロンプトする関数を有する。
セットアップおよびメンテナンスプログラムは、トークンのリアルタイムクロックの時刻を設定しかつ/または読み取るために、例えば、初めて時刻を設定するため、またはトークンのリアルタイムクロックの停止またはリセットに至っている停電の後に時刻を設定するために使用されてもよい。
セットアップおよびメンテナンスプログラムは、ユーザ定義のプレフィクスを設定しかつ/または読み取るための関数を有してもよい。
セットアップおよびメンテナンスプログラムは、カウンタ値を設定しかつ/または読み取るための関数を含んでもよい。
本発明は、好ましくは、ユーザをオペレーティングシステムにログインするために使用される。
また、本発明は、アプリケーションプログラムまたはウェブアプリケーションにおける認証、例えばソーシャルネットワークにおける認証、にも使用可能である。
本発明は、トークンに割り当てられるユーザの識別を検証することに適する。
トークンは、専用ハードウェアに、スタンドアロン電子デバイス、またはより包括的な電子デバイスの一部、の双方として統合されてもよい(「ハードウェアトークン」)。
トークンは、コンピュータ、タブレットコンピュータ、スマートフォン、ネットブック、ノートブックまたはラップトップ等のモバイル・ポータブル・コンピュータにおいて、これがモバイルデバイスを用いてコンピュータシステム、特殊アプリケーションプログラムまたはデータにアクセスすることになる時点で使用するためのソフトウェアにおける実装(「ソフトウェアトークン」)にも適する。
また、ソフトウェアトークンは、ソフトウェアトークンがインストールされるモバイルデバイスでの認証にも使用可能である。
ハードウェアトークンとしての好ましい使用法は、単に適用分野としての1つの可能性と見なされるべきである。
しかしながら、実施形態はこれに限定されるものではなく、同様の方法で、本発明の各実施形態およびその開示される特徴は、あらゆる適用分野に当てはまる。
この例証は、本発明を明確にし、かつより良く理解するためのものである。本発明の他の特徴から独立している本発明の特徴は、必要に応じて任意に組み合わされてもよい。
計数ユニット12は、1つ以上のカウンタ値20、22を生成するために使用される。
例えば、数値であるカウンタ値20および/またはタイムスタンプ22は、カウンタ値20、22として使用されてもよい。
メモリ14は、トークン10のユーザに関連づけられる秘密鍵24を記憶する。
秘密鍵24は、ユーザを認証すべくコンピュータシステムにアクセス可能にされる必要はない。
メモリ14は、さらに、秘密鍵24に関連づけられる公開鍵26を含んでもよい。
認証のためにコンピュータシステムにアクセス可能とされるものは、公開鍵26またはそのコピーに限定されなければならない。
処理ユニット16は、計数ユニット12に少なくとも1つのカウンタ値20、22を生成させることによりメッセージ30を生成するように構成される。
生成される少なくとも1つのカウンタ値20、22は、生成される少なくとも1つのカウンタ値20、22を用いてメッセージ30を生成するためのベースとして機能する。
生成されるカウンタ値20、22は、カウンタ値20、22が、先に生成されたカウンタ値20、22に対して新たなカウンタ値20、22が生成される度に、生成される後続のカウンタ値として識別され得ることを特徴とする。
この条件は、少なくとも、連続値内に最小数のカウンタ値を有する連続値のカウンタ値に適用されなければならない。
数値に制限はなく、生成されるコンテンツを、十分に大きい画定された連続するコンテンツ内で、先に生成されたコンテンツに対する続いて生成されたコンテンツとして識別できる限り、カウンタ値20、22として如何なるコンテンツが提供されてもよい。
実施形態によっては、「続いて」という用語は、すぐ後に続くものとして理解されてもよいが、他の実施形態では、所定数のカウンタ値20、22が、生成される現行のカウンタ値と先のカウンタ値20、22との間であってもよい。
処理ユニット16は、さらに、生成されたメッセージ30に秘密鍵24で署名するように構成される。
署名付きメッセージは、送信ユニット18が署名されかつ場合により符号化されたメッセージをコンピュータシステム70へ送信する前に、送信経路および受信側コンピュータシステムの要件に従って適切に符号化されてもよい。
コンピュータシステム70は、署名されかつ場合により符号化されたメッセージを受信し、署名付きメッセージに基づいてユーザを認証する。
メッセージ30は、好ましくは、例えばASCIIである1つ以上の文字エンコーディングに属する32文字を、1文字につき1バイトで含んでもよい。
メッセージ30は、例えば、互いに隣接して配置されかつ場合により分離子によって互いから分離される1つ以上の属性から生成される。
このメッセージ例30は、以下の6つの属性から成る。
プロトコルバージョン32は、例えば3バイトで符号化されることが可能である。
フラグ34は、例えば1バイトで符号化されてもよい。
トークン10の識別特徴36は、例えば6バイトで符号化されることが可能である。
ユーザ定義のプレフィクス38は、例えば4バイトで符号化されてもよい。
符号化された第1のカウンタ値40は、計数ユニット12により生成されるカウンタ値20、22に対応するか、生成されるカウンタ値20、22に基づいて計算される。
符号化された第1のカウンタ値40は、例えば4バイトで符号化される数値としてのカウンタ値20であってもよい。
符号化された第2のカウンタ値42は、計数ユニット12により生成されるカウンタ値20、22に対応するか、生成されるカウンタ値20、22に基づいて計算される。
符号化された第2のカウンタ値42は、タイムスタンプ22であってもよく、例えば5バイトで符号化されてもよい。
これで、生成されたメッセージ30に署名することができる。
挿入される追加のコンポーネントは、署名が生成された後にメッセージから再び除去することができ、よって、これらは、署名を生成しかつこれを後に検証するためにのみメッセージに含まれ、メッセージの送信中には含まれない。
生成されるカウンタ値20、22は、少なくとも1つのカウンタ値20、22が、先に生成された1つのカウンタ値20、22に対して新たなカウンタ値20、22が生成される度に、生成される後続のカウンタ値として識別され得ることを特徴とする。
これに関して、生成されるカウンタ値20、22の少なくとも一部分は、厳密な単調数列を形成する。
この目的に沿って、少なくとも1つのカウンタ値20、22は、関連する符号化されたカウンタ値40、42に変換されることが可能である。
メッセージ30には、より多くの属性および固定コンポーネントが追加されてもよい。
秘密鍵24は、トークン10内に記憶されてもよい。
署名付きメッセージは、メッセージを受信するコンピュータシステム70および選択される送信経路に依存して符号化されてもよい。
この目的に沿って、適切な識別特徴36が検証される。
識別特徴36は、好ましくは、受信されるメッセージにおける1つの属性として符号化される。
識別特徴36は、他の入力チャネルを介して、例えばキーボードを介する手動データ入力によって、またはユーザの選択によっても提供されることが可能である。
ユーザは、マッピングテーブルを用いることによって識別特徴36から導出されてもよい。
受信されたメッセージがユーザに関連づけられる秘密鍵24を用いて署名されると、コンピュータシステム70は、決定された公開鍵26を用いて、受信されたメッセージの信憑性を検証することができる。
この目的に沿って、受信されたメッセージに含まれる少なくとも1つのカウンタ値20、22がメッセージから抽出され、かつユーザの先の認証プロセス60の個々に割り当てられた先のカウンタ値20、22と比較される。この場合、新しく受信される1つ以上のカウンタ値は、各々、先行する認証プロセス60と比較した後続の値として識別されなければならない。
例示的な実施形態によっては、受信されるカウンタ値のうちの1つ以上が直後で続くこと、または、新しく受信される個々のカウンタ値と先に受信された関連のカウンタ値との距離が限界値を下回ることが検証される。
代替的または追加的に、メッセージの有効期間も、例えばメッセージに含まれるタイムスタンプ22に基づいて検証されることが可能である。
図5は、本発明によるトークンがハードウェアトークン10Aとして統合されるモバイルデバイス80Aを示す。
モバイルデバイス80Aは、トークンの機能のために特に設計され、かつコンピュータシステムと通信するためのインタフェースを装備してもよい。
また、モバイルデバイスは、場合により第2のデバイスまたはそれ以上のデバイスへのインタフェースを有するモバイルコンピュータ、例えばタブレットコンピュータ、ネットブック、ノートブックまたはスマートフォンであってもよい。
ハードウェアトークン10Aの定義は、それがトークンの機能を実現するための命令が実行されるプロセッサを含むことを排除するものではなく、その限りにおいて、ハードウェアトークンの機能は、ソフトウェアによっても実行される。
ハードウェアトークンとしての分類にとって決定的なことは、ソフトウェアがハードウェアトークンの閉システム内で実行されるという事実にある。
図6は、本発明によるトークンがソフトウェアトークン10Bとして統合されるモバイルデバイス80Bを示す。
ソフトウェアトークン10Bは、モバイルデバイス80Bのアプリケーションプログラム(「App」)として、ミドルウェア内に、またはオペレーティングシステム内に統合されてもよい。
ソフトウェアトークンは、モバイルデバイス80Bの少なくとも1つのプロセッサ82上で実行される命令を含む。
これまでの例示的な実施形態において述べたトークンの個々のコンポーネント間のタスク分配は、一例として理解されるべきである。
トークンのコンポーネント間には、本発明の記載された特徴を同等の形で実現する、考え得る他の区分もある。
多くの変形が可能であって、それらは、当業者に直ちに明らかである。
具体的には、これは、本明細書に開示している個々の実施形態の特徴の組合せを含む変形例に関する。
したがって、本発明の範囲は、例示された実施形態ではなく、添付の特許請求の範囲およびその法的な等価物によって決定されるべきである。
Claims (16)
- コンピュータシステム(70)に対してユーザを認証するための方法(50)であって、前記方法は、トークン(10)内で実行される以下のステップ、すなわち、
前記トークン(10)内に実装される計数ユニット(12)を利用することにより、カウンタ値(20、22)を生成するステップ(52)であって、生成されるカウンタ値(20、22)の少なくとも一部分は、厳密な単調数列を形成するステップ(52)と、
生成された前記カウンタ値(20、22)に依存してメッセージ(30)を生成するステップ(54)と、
生成された前記メッセージ(30)に、前記ユーザの秘密鍵(24)を利用することにより署名するステップ(56)であって、前記秘密鍵(24)は、前記トークン(10)に記憶され、かつ前記秘密鍵(24)またはそのコピーは、前記コンピュータシステム(70)へ提供されないステップ(56)と、
前記署名付きメッセージを前記コンピュータシステム(70)へ送信するステップ(58)と、を含み、
前記トークン(10)は、前記コンピュータシステム(70)へ入力デバイス(ヒューマン・インタフェース・デバイス)としてログオンするように適合化され、
前記署名付きメッセージを送信するステップ(58)は、前記署名付きメッセージを入力データとして符号化しかつ送信することを含み、
前記入力データは、定義される言語設定のキーボード・スキャン・コードとして符号化され、かつ前記メッセージは、前記キーボード・スキャン・コードの異なる言語設定を区別することに適する、先に合意された少なくとも2つのASCII文字の前記キーボード・スキャン・コードを含むチェックコードを含む、
方法(50)。 - 署名されるべき前記メッセージは、32バイトの最小長さを有する、
請求項1に記載の方法(50)。 - 送信される前記メッセージは、最大127バイトを含む、
請求項1または2に記載の方法(50)。 - 前記署名付きメッセージは、前記メッセージの長さが4/3の割合で増加するように、Base64または同等のフォーマットに従って符号化される、
請求項1~3のいずれか一項に記載の方法(50)。 - 署名されるべき前記メッセージは、前記署名付きメッセージの送信時に送信されないパディングバイトを含む、
請求項1~4のいずれか一項に記載の方法(50)。 - 前記メッセージ(30)は、さらに、前記トークン(10)の識別特徴(36)に依存して生成される、
請求項1~5のいずれか一項に記載の方法(50)。 - 前記計数ユニット(12)は、クロックを含み、かつ前記カウンタ値(20、22)は、タイムスタンプ(22)を含む、
請求項1~6のいずれか一項に記載の方法(50)。 - 前記署名付きメッセージを送信する前記ステップ(58)は、ユニバーサル・シリアル・バス(USB)、ブルートゥースまたは近距離無線通信(NFC)を介する、
請求項1~7のいずれか一項に記載の方法(50)。 - コンピュータシステム(70)に対してユーザを認証するためのトークン(10)であって、
カウンタ値(20、22)を生成する(52)ための計数ユニット(12)であって、生成されるカウンタ値(20、22)の少なくとも一部分は、厳密な単調数列を形成する計数ユニット(12)と、
前記ユーザに関連づけられる秘密鍵(24)を記憶するためのメモリ(14)と、
生成される前記カウンタ値(20、22)に依存してメッセージ(30)を生成し(54)、かつ生成された前記メッセージ(30)に前記秘密鍵(24)を利用して署名する(56)ための処理ユニット(16)と、
前記署名付きメッセージを前記コンピュータシステム(70)に送信するための送信ユニット(18)とを含み、
前記トークン(10)は、前記コンピュータシステム(70)へ入力デバイス(ヒューマン・インタフェース・デバイス)としてログオンするように適合化され、
前記送信ユニット(18)は、前記署名付きメッセージを入力データとして符号化しかつ送信することを含み、
前記入力データは、定義される言語設定のキーボード・スキャン・コードとして符号化され、かつ前記メッセージは、前記キーボード・スキャン・コードの異なる言語設定を区別することに適する、先に合意された少なくとも2つのASCII文字の前記キーボード・スキャン・コードを含むチェックコードを含む、
トークン(10)。 - 前記トークン(10)は、認証プロセス(50)を開始するための第1の制御エレメントを含む、
請求項9に記載のトークン(10)。 - 前記メモリ(14)は、前記秘密鍵(24)に関連づけられる公開鍵(26)を含む、
請求項9または請求項10に記載のトークン(10)。 - 前記トークン(10)は、前記コンピュータシステム(70)への公開鍵(26)の送信を開始するための第2の制御エレメントを含む、
請求項11に記載のトークン(10)。 - ユーザを認証するための方法(60)であって、前記方法は、コンピュータシステム(70)内で実行される以下のステップ、すなわち、
カウンタ値(20、22)を生成する(52)ための計数ユニット(12)であって、生成されるカウンタ値(20、22)の少なくとも一部分が、厳密な単調数列を形成する計数ユニット(12)と、前記ユーザに関連づけられる秘密鍵(24)を記憶するためのメモリ(14)と、生成される前記カウンタ値(20、22)に依存してメッセージ(30)を生成し(54)、かつ生成された前記メッセージ(30)に前記秘密鍵(24)を利用して署名する(56)ための処理ユニット(16)と、前記署名付きメッセージを前記コンピュータシステム(70)に送信するための送信ユニット(18)とを含み、前記送信ユニット(18)が、前記署名付きメッセージを入力データとして符号化しかつ送信することを含み、前記入力データが、定義される言語設定のキーボード・スキャン・コードとして符号化され、かつ前記メッセージが、前記キーボード・スキャン・コードの異なる言語設定を区別することに適する、先に合意された少なくとも2つのASCII文字の前記キーボード・スキャン・コードを含むチェックコードを含み、前記コンピュータシステム(70)へ入力デバイス(ヒューマン・インタフェース・デバイス)としてログオンするように適合化されたトークン(10)から署名付きメッセージを受信するステップ(62)であって、前記署名付きメッセージは、前記トークン(10)のカウンタ値(20、22)に依存するステップ(62)と、
識別特徴(36)によって前記ユーザを前記署名付きメッセージに割り当てるステップ(64)と、
前記ユーザの公開鍵(26)を利用することにより、前記署名付きメッセージの前記署名を検証するステップ(66)と、
前記メッセージ(30)から抽出される前記カウンタ値(20、22)を、前記ユーザの先行する認証プロセス(60)の前記カウンタ値(20、22)と比較するステップ(68)とを含み、
前記ユーザの連続する認証プロセスのカウンタ値(20、22)の少なくとも一部分は、厳密な単調数列を形成し、
前記コンピュータシステム(70)は、前記トークン(10)が前記コンピュータシステム(70)に入力デバイス(ヒューマン・インタフェース・デバイス)としてログオンすることをサポートするように適合化され、
前記署名付きメッセージを受信する前記ステップ(62)は、前記署名付きメッセージを入力データとして復号することを含み、かつ、
前記入力データは、定義される言語設定のキーボード・スキャン・コードとして符号化され、かつ前記メッセージは、前記キーボード・スキャン・コードの異なる言語設定を区別することに適する、先に合意された少なくとも2つのASCII文字の前記キーボード・スキャン・コードを含むチェックコードを含む、
方法(60)。 - ハードウェア実装トークン(10A)を含むモバイルデバイス(80A)であって、前記ハードウェア実装トークン(10A)は、請求項9~12のいずれか一項に記載のトークン(10)を含む、
モバイルデバイス(80A)。 - ソフトウェアトークンとして実装されたソフトウェア実装トークン(10B)を含むモバイルデバイス(80B)であって、前記ソフトウェア実装トークン(10B)は、前記モバイルデバイス(80B)のプロセッサ(82)上で実行されると請求項1~8のいずれか一項に記載の方法(50)のステップを実装する命令を含む、
モバイルデバイス(80B)。 - プロセッサ(72、82)上で実行されると請求項1~8または13のいずれか一項に記載の方法(50、60)のステップを実装する命令を含む、
コンピュータ・プログラム・プロダクト。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102016213104.4A DE102016213104A1 (de) | 2016-07-18 | 2016-07-18 | Token-basiertes Authentisieren mit signierter Nachricht |
DE102016213104.4 | 2016-07-18 | ||
PCT/EP2017/068161 WO2018015402A1 (de) | 2016-07-18 | 2017-07-18 | Token-basiertes authentisieren mit signierter nachricht |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019527518A JP2019527518A (ja) | 2019-09-26 |
JP7002767B2 true JP7002767B2 (ja) | 2022-01-20 |
Family
ID=59366435
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019503483A Active JP7002767B2 (ja) | 2016-07-18 | 2017-07-18 | 署名付きメッセージを用いるトークンベースの認証 |
Country Status (7)
Country | Link |
---|---|
US (1) | US10972286B2 (ja) |
EP (1) | EP3485603B1 (ja) |
JP (1) | JP7002767B2 (ja) |
CN (1) | CN109644137B (ja) |
CA (1) | CA3030963A1 (ja) |
DE (1) | DE102016213104A1 (ja) |
WO (1) | WO2018015402A1 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
IL274674A (en) * | 2020-05-14 | 2021-12-01 | Zion Kopelovitz Ben | System and method to support message authentication |
US20220374368A1 (en) * | 2021-05-19 | 2022-11-24 | Hughes Network Systems, Llc | System and method for enhancing throughput during data transfer |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002041223A (ja) | 2000-07-17 | 2002-02-08 | Internatl Business Mach Corp <Ibm> | コンピュータシステム、オンスクリーン・キーボード生成方法、パワー・オン・パスワード照合方法及びメモリ |
JP2009043037A (ja) | 2007-08-09 | 2009-02-26 | Nippon Telegr & Teleph Corp <Ntt> | ユーザ認証方法、ユーザ認証装置、プログラム及び記録媒体 |
JP2009049916A (ja) | 2007-08-22 | 2009-03-05 | Sony Corp | リモートコントロールシステム、受信装置および電子機器 |
JP2009521032A (ja) | 2005-12-23 | 2009-05-28 | トラステ ロジク | チップカードを備えるオンボードコンピュータシステム上に安全なカウンタを作成する方法 |
JP2009140275A (ja) | 2007-12-07 | 2009-06-25 | Hitachi Ltd | 非接触icカード認証システム |
WO2009097260A1 (en) | 2008-01-30 | 2009-08-06 | Vasco Data Security, Inc. | Two-factor use authentication token |
JP2010049420A (ja) | 2008-08-20 | 2010-03-04 | Felica Networks Inc | 情報処理装置、情報処理方法、情報処理プログラムおよび情報処理システム |
JP2014530371A (ja) | 2011-09-22 | 2014-11-17 | 騰訊科技(深▲せん▼)有限公司Tencent Technology(Shenzhen) Companylimited | ファイル暗号化方法及び装置、ファイル復号方法及び装置 |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8225089B2 (en) * | 1996-12-04 | 2012-07-17 | Otomaku Properties Ltd., L.L.C. | Electronic transaction systems utilizing a PEAD and a private key |
US8001612B1 (en) * | 2003-11-03 | 2011-08-16 | Wieder James W | Distributing digital-works and usage-rights to user-devices |
US8806586B2 (en) | 2006-04-24 | 2014-08-12 | Yubico Inc. | Device and method for identification and authentication |
NZ547903A (en) * | 2006-06-14 | 2008-03-28 | Fronde Anywhere Ltd | A method of generating an authentication token and a method of authenticating an online transaction |
US20080114980A1 (en) * | 2006-11-13 | 2008-05-15 | Thangapandi Sridhar | System, method and apparatus for using standard and extended storage devices in two-factor authentication |
DE102009027681A1 (de) * | 2009-07-14 | 2011-01-20 | Bundesdruckerei Gmbh | Verfahren und Lesen von Attributen aus einem ID-Token |
DE102009027682A1 (de) * | 2009-07-14 | 2011-01-20 | Bundesdruckerei Gmbh | Verfahren zur Erzeugung eines Soft-Tokens |
DE102010011022A1 (de) * | 2010-03-11 | 2012-02-16 | Siemens Aktiengesellschaft | Verfahren zur sicheren unidirektionalen Übertragung von Signalen |
WO2012027708A2 (en) * | 2010-08-27 | 2012-03-01 | Wherepro, Llc | Operation of a computing device involving wireless tokens |
JP5665528B2 (ja) * | 2010-12-24 | 2015-02-04 | 三菱電機株式会社 | 時刻認証システム、時刻認証方法および移動体通信基地局 |
US8967477B2 (en) * | 2011-11-14 | 2015-03-03 | Vasco Data Security, Inc. | Smart card reader with a secure logging feature |
CN102611556B (zh) * | 2012-03-31 | 2014-10-29 | 飞天诚信科技股份有限公司 | 一种动态令牌的工作方法 |
AT13290U1 (de) * | 2012-11-08 | 2013-10-15 | Xitrust Secure Technologies Gmbh | Verfahren und System zum Bereitstellen von Daten auf einem Endgerät |
US9916601B2 (en) * | 2014-03-21 | 2018-03-13 | Cisco Technology, Inc. | Marketplace for presenting advertisements in a scalable data broadcasting system |
US9813400B2 (en) * | 2014-11-07 | 2017-11-07 | Probaris Technologies, Inc. | Computer-implemented systems and methods of device based, internet-centric, authentication |
CN106161368B (zh) * | 2015-04-07 | 2020-04-14 | 阿里巴巴集团控股有限公司 | 一种用于对云应用进行远程访问的方法、装置及系统 |
SG10202012073XA (en) * | 2015-12-04 | 2021-01-28 | Visa Int Service Ass | Secure token distribution |
KR102424055B1 (ko) * | 2015-12-08 | 2022-07-25 | 한국전자통신연구원 | 두 개의 api 토큰을 이용한 api 인증 장치 및 방법 |
-
2016
- 2016-07-18 DE DE102016213104.4A patent/DE102016213104A1/de not_active Withdrawn
-
2017
- 2017-07-18 JP JP2019503483A patent/JP7002767B2/ja active Active
- 2017-07-18 CN CN201780053315.4A patent/CN109644137B/zh active Active
- 2017-07-18 WO PCT/EP2017/068161 patent/WO2018015402A1/de active Search and Examination
- 2017-07-18 EP EP17740746.7A patent/EP3485603B1/de active Active
- 2017-07-18 CA CA3030963A patent/CA3030963A1/en active Pending
- 2017-07-18 US US16/319,128 patent/US10972286B2/en active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002041223A (ja) | 2000-07-17 | 2002-02-08 | Internatl Business Mach Corp <Ibm> | コンピュータシステム、オンスクリーン・キーボード生成方法、パワー・オン・パスワード照合方法及びメモリ |
JP2009521032A (ja) | 2005-12-23 | 2009-05-28 | トラステ ロジク | チップカードを備えるオンボードコンピュータシステム上に安全なカウンタを作成する方法 |
JP2009043037A (ja) | 2007-08-09 | 2009-02-26 | Nippon Telegr & Teleph Corp <Ntt> | ユーザ認証方法、ユーザ認証装置、プログラム及び記録媒体 |
JP2009049916A (ja) | 2007-08-22 | 2009-03-05 | Sony Corp | リモートコントロールシステム、受信装置および電子機器 |
JP2009140275A (ja) | 2007-12-07 | 2009-06-25 | Hitachi Ltd | 非接触icカード認証システム |
WO2009097260A1 (en) | 2008-01-30 | 2009-08-06 | Vasco Data Security, Inc. | Two-factor use authentication token |
JP2010049420A (ja) | 2008-08-20 | 2010-03-04 | Felica Networks Inc | 情報処理装置、情報処理方法、情報処理プログラムおよび情報処理システム |
JP2014530371A (ja) | 2011-09-22 | 2014-11-17 | 騰訊科技(深▲せん▼)有限公司Tencent Technology(Shenzhen) Companylimited | ファイル暗号化方法及び装置、ファイル復号方法及び装置 |
Also Published As
Publication number | Publication date |
---|---|
EP3485603A1 (de) | 2019-05-22 |
CN109644137B (zh) | 2021-11-02 |
EP3485603B1 (de) | 2020-10-07 |
US10972286B2 (en) | 2021-04-06 |
US20190280876A1 (en) | 2019-09-12 |
WO2018015402A1 (de) | 2018-01-25 |
JP2019527518A (ja) | 2019-09-26 |
CN109644137A (zh) | 2019-04-16 |
DE102016213104A1 (de) | 2018-01-18 |
CA3030963A1 (en) | 2018-01-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108092776B (zh) | 一种基于身份认证服务器和身份认证令牌的系统 | |
US9525549B2 (en) | Method and apparatus for securing a mobile application | |
US10929524B2 (en) | Method and system for verifying an access request | |
EP3319292A1 (en) | Method for checking security based on biological features, client and server | |
US8769289B1 (en) | Authentication of a user accessing a protected resource using multi-channel protocol | |
WO2020155779A1 (zh) | 数字签名的认证方法、装置、计算机设备和存储介质 | |
US20140006781A1 (en) | Encapsulating the complexity of cryptographic authentication in black-boxes | |
CN103067399A (zh) | 无线发射/接收单元 | |
JP2000222360A (ja) | 認証方法、認証システム及び認証処理プログラム記録媒体 | |
CN112425114A (zh) | 受公钥-私钥对保护的密码管理器 | |
CN112313648A (zh) | 认证系统、认证方法、应用提供装置、认证装置以及认证用程序 | |
CN106790166A (zh) | 一种安全认证的方法、装置及系统 | |
KR102250430B1 (ko) | Pki 기반의 일회성 아이디를 사용하여 서비스를 사용하는 방법, 및 이를 사용한 사용자 단말 | |
CN113709115A (zh) | 认证方法及装置 | |
JP7002767B2 (ja) | 署名付きメッセージを用いるトークンベースの認証 | |
CN111241492A (zh) | 一种产品多租户安全授信方法、系统及电子设备 | |
KR20090096258A (ko) | 우회네트워크를 이용한 일회용암호 기반의 인증방법과 이를지원하는 시스템 | |
Jack et al. | FIDO Metadata Statement | |
CN117178304A (zh) | 用于合并lacs认证的pacs修改 | |
WO2020144560A1 (en) | Method for certifying transfer and content of a transferred file | |
CN108306883A (zh) | 一种身份验证方法和装置 | |
CN106790026A (zh) | 一种基于Hadoop的多租户网盘鉴权方法及系统 | |
CN104184593A (zh) | 一种事件型动态口令装置及实现方法 | |
Kemp et al. | FIDO UAF Authenticator Metadata Statements v1. 0 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20190117 |
|
A529 | Written submission of copy of amendment under section 34 (pct) |
Free format text: JAPANESE INTERMEDIATE CODE: A529 Effective date: 20190314 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200703 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210730 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210824 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211027 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211207 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211221 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7002767 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |