JP7389754B2 - メッセージ・レベル・セキュリティを使用するメッセージングのための装置、方法及び製造品 - Google Patents
メッセージ・レベル・セキュリティを使用するメッセージングのための装置、方法及び製造品 Download PDFInfo
- Publication number
- JP7389754B2 JP7389754B2 JP2020560872A JP2020560872A JP7389754B2 JP 7389754 B2 JP7389754 B2 JP 7389754B2 JP 2020560872 A JP2020560872 A JP 2020560872A JP 2020560872 A JP2020560872 A JP 2020560872A JP 7389754 B2 JP7389754 B2 JP 7389754B2
- Authority
- JP
- Japan
- Prior art keywords
- web service
- server device
- client device
- client
- service token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title description 16
- 238000004519 manufacturing process Methods 0.000 title description 3
- 238000004891 communication Methods 0.000 description 28
- 238000010586 diagram Methods 0.000 description 5
- 230000002146 bilateral effect Effects 0.000 description 4
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Telephonic Communication Services (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Description
本発明的主題は、コンピュータ・ネットワーキング方法、装置、及び製造品に関し、より詳細には、コンピュータ・ネットワークにおけるセキュアな通信のための方法、装置及び製造品に関する。
ネットワーキング・アプリケーションは、一般に、様々な他の中間ノードを介した送信ノードと受信ノードとの間のメッセージの通信を伴う。これらの中間ノードを介して通信する必要があるので、そのような通信は、傍受、なりすまし、及び他の形態の攻撃を受けやすいことがある。たとえば、そのような通信は、攻撃者が中間ノードにおいて当事者からのメッセージを傍受し、当事者のうちの1人になりすますことによって当事者間の通信を変更する、いわゆる「中間者」(MITM:man in the middle)攻撃を受けやすいことがある。
MITM攻撃に対してセキュアにするための従来の技法は、一般に、当事者間のセキュアなチャネルを確立するために、また、セキュアなチャネルを使用して、当事者間の後続の通信をセキュアにするために使用されるべき1つ又は複数の暗号鍵を確立するために、何らかのタイプの認証を採用する。たとえば、トランスポート・レイヤ・セキュリティ(TLS:transport layer security)(及びそれの前身、セキュア・ソケット・レイヤ(SSL:secure sockets layer))は、一般に、セッション中に当事者間の通信のための対称鍵を確立するハンドシェイク・プロトコルを使用してセッションを開始することを伴う。ハンドシェイクは、一般に、1つ又は複数のセキュリティ証明の交換と、証明機関による交換された証明の検証と、証明の検証に応答した対称鍵の確立とを伴う。TLS(又はSSL)セッションの残りについて、対称鍵は、当事者間でメッセージを暗号化するために使用される。
本発明的主題のいくつかの実施例は、クライアントを動作させる方法を提供する。本方法は、ウェブ・サービスを与えるサーバとのトランスポート・レイヤ・セキュリティ接続を確立することと、接続においてウェブ・サービスとの通信のための少なくとも1つの暗号鍵を識別することと、接続を閉じることと、識別された少なくとも1つの暗号鍵に従って署名され、暗号化されたウェブ・サービス・トークンを使用してウェブ・サービスと通信することとを含む。いくつかの実施例では、ウェブ・サービス・トークンを使用するウェブ・サービスとの通信は、新しいトランスポート・レイヤ・セキュリティ接続の生成を必要としない。
いくつかの実施例によれば、少なくとも1つの暗号鍵を識別することは、クライアント秘密鍵(private key)(プライベート鍵、またはプライベートキー、ともいう)とサーバ公開鍵とを識別することを含み得、署名されたウェブ・サービス・トークンを使用してサーバと通信することは、クライアント秘密鍵に従って署名され、サーバ公開鍵に従って暗号化されたウェブ・サービス・トークンを送信することを含み得る。さらなる実施例によれば、少なくとも1つの暗号鍵を識別することは、クライアント公開鍵とサーバ秘密鍵とを識別することを含み得、署名されたウェブ・サービス・トークンを使用してサーバと通信することは、サーバ秘密鍵に従って署名され、クライアント公開鍵に従って暗号化されたウェブ・サービス・トークンを受信することを含む。
いくつかの実施例では、接続においてウェブ・サービスのための少なくとも1つの暗号鍵を識別することは、証明を送信することと、証明に対応するウェブ・サービスのための第1のウェブ・サービス・トークンを受信することと、少なくとも1つの暗号鍵を識別するために、第1のウェブ・サービス・トークンを使用してウェブ・サービスとセキュリティ証明を交換することとを含み得る。ウェブ・サービス・トークンを使用してウェブ・サービスと通信することは、識別された少なくとも1つの暗号鍵に従って署名され、暗号化された第2のウェブ・サービス・トークンと通信することを含み得る。
いくつかの実施例では、ウェブ・サービス・トークンは、署名され、暗号化されたJava(登録商標)Scriptオブジェクト表記法(JSON:Java(登録商標)Script Object Notation)ウェブ・サービス・トークン(JWT:JSON web service token)を含み得る。JWTは、JSONウェブ署名(JWS:JSON web signing)フォーマットとJSONウェブ暗号化(JWE:JSON web encryption)フォーマットとを使用し得る。
さらなる実施例は、上記で説明したようにクライアント動作を実行するように構成されたコンピュータを提供する。追加の実施例は、コンピュータによって実行されたとき、上記で説明したようにクライアント動作を実行する命令を記憶するコンピュータ可読媒体を含む。
本発明的主題のいくつかの実施例は、ウェブ・サービスを動作させる方法を提供する。本方法は、クライアントとのトランスポート・レイヤ・セキュリティ接続を確立することと、接続においてサーバによってホストされるウェブ・サービスとの通信のための少なくとも1つの暗号鍵を識別することと、接続を閉じることと、識別された少なくとも1つの暗号鍵に従って署名され、暗号化されたウェブ・サービス・トークンを使用してクライアントと通信することとを含む。ウェブ・サービス・トークンを使用するクライアントとの通信は、新しいトランスポート・レイヤ・セキュリティ接続の生成を必要としないことがある。
いくつかの実施例では、少なくとも1つの暗号鍵を識別することは、サーバ公開鍵とクライアント秘密鍵とを識別することを含み得、ウェブ・サービス・トークンを使用してサーバと通信することは、クライアント秘密鍵に従って署名され、サーバ公開鍵に従って暗号化されたウェブ・サービス・トークンを受信することを含み得る。さらなる実施例では、少なくとも1つの暗号鍵を識別することは、サーバ秘密鍵とクライアント公開鍵とを識別することを含み得、署名されたウェブ・サービス・トークンを使用してサーバと通信することは、サーバ秘密鍵に従って署名され、クライアント公開鍵に従って暗号化されたウェブ・サービス・トークンを送信することを含み得る。
いくつかの実施例によると、接続においてウェブ・サービスのための少なくとも1つの暗号鍵を識別することは、証明を受信することと、証明に対応するウェブ・サービスのための第1のウェブ・サービス・トークンを送信することと、少なくとも1つの暗号鍵を識別するために、第1のウェブ・サービス・トークンを使用してクライアントとセキュリティ証明を交換することとを含み得る。ウェブ・サービス・トークンを使用してクライアントと通信することは、識別された少なくとも1つの暗号鍵に従って署名され、暗号化された第2のウェブ・サービス・トークンと通信することを含み得る。
本発明的主題のまたさらなる実施例は、クライアントとウェブ・サービスとの間で通信する方法を提供する。本方法は、クライアントとウェブ・サービスを与えるサーバとの間のトランスポート・レイヤ・セキュリティ接続を確立することと、接続においてウェブ・サービスとの通信のための少なくとも1つの暗号鍵を識別することと、接続を閉じることと、識別された少なくとも1つの暗号鍵に従って署名され、暗号化されたウェブ・サービス・トークンを使用してクライアントとウェブ・サービスとの間で通信することとを含む。ウェブ・サービス・トークンを使用してクライアントとウェブ・サービスとの間で通信することは、新しいトランスポート・レイヤ・セキュリティ接続の生成を必要としないことがある。
さらなる実施例は、上記で説明したようにウェブ・サービス動作を実行するように構成されたコンピュータを提供する。追加の実施例は、コンピュータによって実行されたとき、上記で説明したようにウェブ・サービス動作を実行する命令を記憶するコンピュータ可読媒体を提供する。
次に、添付の図面を参照しながら、本発明的主題の特定の例示的な実施例について説明する。この発明的主題は、しかしながら、多くの異なる形態において実施され得、本明細書に記載された実施例に限定されると解釈されるべきではない。むしろ、これらの実施例は、本開示が徹底的で完全であり、本発明的主題の範囲を当業者に十分に伝達するように与えられる。図面において、同様の番号は同様のアイテムを指す。アイテムが別のアイテムに「接続」されている又は「結合」されていると呼ばれるとき、それが他のアイテムに直接接続又は結合され得るか、或いは介入するアイテムが存在し得ることが理解されよう。本明細書で使用する際、「及び/又は」という用語は、関連する記載されたアイテムのうちの1つ又は複数の任意の及びすべての組合せを含む。
本明細書で使用する用語は、特定の実施例について説明することのみが目的であり、本発明的主題を限定するものではない。本明細書で使用する際、単数形「a」、「an」及び「the」は、別段に明記されていない限り、複数形をも含むものとする。さらに、本明細書で使用されるとき、「含む(includes)」、「備える(comprises)」、「含む(including)」及び/又は「備える(comprising)」という用語は、述べられる特徴、整数、ステップ、動作、アイテム、及び/又は構成要素の存在を指定するが、1つ又は複数の他の特徴、整数、ステップ、動作、アイテム、構成要素、及び/又はそれのグループの存在又は追加を排除しないことが理解されよう。
別段に定義されていない限り、本明細書で使用する(技術用語及び科学用語を含む)すべての用語は、この発明的主題が属する当業者によって一般的に理解されるのと同じ意味を有する。さらに、一般的に使用される辞書において定義されている用語など、用語は、明細書及び関連技術のコンテキストにおけるそれらの意味に一致する意味を有するものと解釈されるべきであり、本明細書で明確にそのように定義されない限り、理想化された又は過度に形式的な意味で解釈されないことが理解されよう。
本発明的主題のいくつかの実施例は、バイラテラルな信頼の基点を確立する初期TLS(又はSSL)接続において確立される秘密鍵/公開鍵ペアに従って署名され、暗号化されたウェブ・サービス・トークン(たとえば、Java(登録商標)Scriptオブジェクト表記法(JSON)ウェブ・トークン(JWT))を使用するメッセージ・レベル・セキュリティ方式を使用して、クライアントとウェブ・サービスとの間のメッセージングによって、低減したオーバーヘッド及びMITM及び他の攻撃に対する潜在的に増加した抵抗が与えられ得ることの実現から起こる。ウェブ・サービス・トークンは、初期トランスポート・レイヤ・セキュア化接続が閉じられた後の通信のために使用され得、したがって、クライアントとサーバとの間の各通信セッションのための新しいTLS接続を確立する必要がない。ウェブ・サービス・トークンを生成するための鍵は、その中に含まれるペイロードに関する満了によって終了され得、及び/又はクライアント又はウェブ・サービスによって終了され得る。
この手法は、クライアントとウェブ・サービスとの間の通信セッションが散発的に行われるアプリケーションにおいて特に有利であり得る。本明細書で説明するように、たとえば、そのような技法は、ファームウェア・マネージャ・クライアントと、複数のメーター又は他の感知デバイスをサービスするタワー・ゲートウェイ基地局(TGB:tower gateway base station)によって与えられるウェブ・サービスとの間の通信において、有利に使用され得る。この手法は、そのような通信のためのオーバーヘッドを低減することができ、ウェブ・サービスにアクセスするための証明が傍受され得る可能性を低減することができ、また、信頼関係のバイラテラルな性質により、クライアントとウェブ・サービスの両方が通信を開始することを可能にすることができる。
図1は、本発明的主題の実施例が採用され得るネットワーク環境を示す。クライアント・デバイス110(たとえば、コンピュータ、モバイル端末又は他のデバイス)に常駐するクライアント112は、ネットワーク130を介して、サーバ120(たとえば、コンピュータ、基地局、又は他のデバイス)に常駐するウェブ・サービス122と通信するように構成される。クライアント112及びウェブ・サービス122は、TLS/SSLセッションの反復される生成の必要をなくすメッセージ・レベル・セキュリティを与えるメッセージ・レベル・セキュア化通信機能114及び124を与えるように構成される。
特に、図2を参照すると、ネットワーク130を介してクライアント112とウェブ・サービス122との間のトランスポート・レイヤ・セキュリティ(TLS)との接続が確立される(ブロック210)。接続が存在している間、クライアント112とウェブ・サービス122との間の後続の通信のための少なくとも1つの鍵ペアが識別される(ブロック220)。接続が閉じられた後(ブロック230)、クライアント112とウェブ・サービス122とは、少なくとも1つの鍵ペアに従って署名され、暗号化されたウェブ・サービス・トークンを使用して互いに通信し続けることができる(ブロック240)。これは、新しいトランスポート・レイヤ・セキュア化接続を再確立する必要なしに、通信が行われることを可能にする。
図3は、さらなる実施例による動作を示す。いくつかの知られている技法のいずれかを使用してクライアントとウェブ・サービスとの間のTLS接続が確立される(ブロック310)。バイラテラルな信頼の基点の確立を開始するために、クライアントはウェブ・サービスに証明(たとえば、ユーザ名/パスワード)を転送する(ブロック320)。応答して、ウェブ・サービスは、証明を認証し、クライアントに認証トークンを戻す(ブロック330)。認証トークンを使用して、クライアントとサーバとはセキュリティ証明を交換し、公開鍵/秘密鍵を識別する(ブロック340)。次いで、TLS接続が終了される(ブロック350)。その後、クライアントとサーバとは、識別された公開鍵/秘密鍵ペアを使用して署名され、暗号化されたウェブ・サービス・トークンを使用して通信する(ブロック360)。ウェブ・サービス・トークン鍵ペアは、その後、ウェブ・サービスによって、及び/又は、たとえば、所定の有効期間の満了又はクライアントからの要求に応答して、一方向に無効にされ得る。
上記のように、上記で説明したラインに沿った通信動作は、クライアントとウェブ・サービスとが散発的に通信するアプリケーションにおいて有利に使用され得る。たとえば、図1を参照すると、スマート・グリッド又は他のユーティリティ監視システムは、無線リンクを介してタワー・ゲートウェイ基地局(TGB)430にリンクされる、メーター440及びセンサー450など、複数のスマート・デバイスを採用し得る。TGB430は、ネットワーク420を介して、リモート・デバイス410に常駐するファームウェア・マネージャ・クライアント412にリンクされ得る。ファームウェア・マネージャ・クライアント412は、メーター440とセンサー450とからデータを収集するTGB430に常駐する1つ又は複数のウェブ・サービス432との通信を介して、TGB430上のファームウェアを更新するように構成され得る。
図5は、さらなる実施例による、そのようなマネージャ・クライアントとTGBウェブ・サービスとの間の登録のための代表的なメッセージ・フローを示す。TLSセッションの開始(501)の後、マネージャは、ユーザ名とパスワード証明とを含むログイン要求を送信する(502)。証明を検証した後、ウェブ・サービスは、認証プロセス(503)中に使用するためのJava(登録商標)Scriptオブジェクト表記法(JSON)ウェブ・サービス・トークン(JWT)を生成し、トークンをマネージャに送信する(504)。マネージャとウェブ・サービスとは、認証JWTを使用してセキュリティ証明を交換し、応答して、マネージャとサーバとのための秘密鍵/公開鍵ペアを識別する(505~512)。マネージャは、次いで、TGBウェブ・サービスに一意のIDを割り当て、TGBウェブ・サービスがIDを保存し、肯定応答する(513~515)。この後、マネージャは、TGBウェブ・サービスがファームウェア・パッケージをダウンロードするために使用することができるURLを送り、TGBウェブ・サービスがURLを保存し、肯定応答する(516~518)。マネージャは、その後、トークンが無効にされるための要求を送信し(519)、ウェブ・サービスは、応答して、トークンを無効にし、マネージャに無効化を示す(520及び521)。次いで、TLS接続が終了され得る(522)。
この登録プロセスの後、次いで、TLSセッション中に識別された秘密鍵/公開鍵ペアを使用してクライアントとウェブ・サービスとの間の通信が行われ得る。特に、クライアントは、たとえば、IETF RFC7515において定義されているようにJSONウェブ署名(JWS)コンパクト・シリアライゼーション・フォーマットを使用して、それの秘密鍵に従って署名され、たとえば、IETF RFC7516において定義されているようにJSONウェブ暗号化(JWE)コンパクト・シリアライゼーション・フォーマットを使用して、サーバの公開鍵に従って暗号化された、JWTを送信することによって、そのような通信を開始し得る。サーバは、それの秘密鍵を使用してそのようなトークンを復号し、トークンの署名がクライアントに対応することを検証することができる。同様に、サーバは、それの秘密鍵に従って署名され、クライアントの公開鍵に従って暗号化されたJWTを送信することによって、通信を開始することができる。
たとえば、図6は、図4のシステムにおけるタワーに常駐するソフトウェアの構成を監視するための動作を示す。マネージャは、所望の(最新の)マニフェストを所有するソフトウェア・リポジトリ(図6における「リポジトリ」)からのソフトウェア・パッケージのマニフェストのそれのコピーをリフレッシュするようにTGBに命令するメッセージを送信する(610)。送信は、事前に確立された鍵ペアを使用してJWTを生成し、したがってログインの必要はない。リポジトリのロケーションは、リポジトリのロケーション(たとえば、URL)と、リポジトリにアクセスするために必要とされる証明とを含むメッセージ中で、マネージャからTGBに事前に送信され得る。TGBは、事前に確立されたロケーションと証明とを使用してリポジトリにマニフェストのための要求を送信し(620)、リポジトリからマニフェスト・ファイルを受信する(630)。TGBは、マニフェスト・ファイルを保存し、それをTGBにおいて現在インストールされているパッケージと比較する(640及び650)。TGBは結果をマネージャに報告する(660)。
図7は、さらなる実施例による登録解除のための動作を示す。上記で説明したラインに沿って、マネージャとTGBとの間でTLSセッションが生成される(701)。マネージャは、ユーザ名とパスワードの組合せを含むログイン要求を送信し(702)、TGBは、後続のメッセージングにおいて使用するための鍵ペアを生成するために使用されるJWTを生成し、送信する(703及び704)。その後(たとえば、1つ又は複数のメッセージ交換の後)、マネージャは、「登録解除」要求メッセージを送信し得る(705)。応答して、TGBは、要求のためのJWTに関連する公開鍵を削除し(706)、登録解除要求に肯定応答する(707)。マネージャは、次いで、ログアウト要求を送信し得(708)、TGBは、応答して、トークンを無効にし得る(キーを無効にする)。マネージャとタワーとの間の後続のトークン対応通信は、図5に関して上記で説明したように、バイラテラルな信頼の基点の再確立を必要とする。
図4~図7に関して上記で説明した実装は単に例示の目的で与えられること、及び発明的主題はいくつかの異なるアプリケーションのいずれかにおいて実装され得ることが諒解されよう。
図面及び明細書において、本発明的主題の例示的な実施例を開示した。固有の用語が採用されているが、それらは、限定の目的ではなく一般的で説明的な意味でのみ使用され、発明的主題の範囲は以下の特許請求の範囲によって定義される。
Claims (10)
- ウェブ・サービスを提供するサーバ・デバイスとネットワークを介して電子的に通信するように構成されたクライアント・デバイスであって、当該クライアント・デバイスは、
前記サーバ・デバイスとのセキュアなトランスポート・レイヤ・セキュリティ接続を確立することと、
前記クライアントの証明をサーバ・デバイスに送信することと、
前記証明に対応するウェブ・サービスの第1のウェブ・サービス・トークンを前記ウェブ・サービスから受信することと、
少なくとも1つの暗号鍵を識別するために、前記第1のウェブ・サービス・トークンを使用して前記ウェブ・サービスとセキュリティ証明を交換することと、
前記セキュアなトランスポート・レイヤ・セキュリティ接続を閉じることと、
新しいトランスポート・レイヤ・セキュリティ接続を生成するために前記証明を前記サーバ・デバイスに再送信せずに前記クライアントと前記サーバ・デバイスの間でデータを通信するために、前記識別された少なくとも1つの暗号鍵に従ってデータを伝送する前記ウェブ・サービス及び前記クライアントのいずれかによって生成され、署名され、暗号化された第2のウェブ・サービス・トークンを使用して前記ウェブ・サービスとデータを通信することと
を実行するように構成された、クライアント・デバイス。 - 少なくとも1つの暗号鍵を識別することが、クライアント・デバイス秘密鍵とサーバ・デバイス公開鍵とを識別することを含み、前記第2のウェブ・サービス・トークンを使用して前記サーバ・デバイスと通信することが、前記クライアント・デバイス秘密鍵に従って署名され、前記サーバ・デバイス公開鍵に従って暗号化されたウェブ・サービス・トークンを送信することを含む、請求項1に記載のクライアント・デバイス。
- 少なくとも1つの暗号鍵を識別することが、クライアント・デバイス公開鍵とサーバ・デバイス秘密鍵とを識別することを含み、前記第2のウェブ・サービス・トークンを使用して前記サーバ・デバイスと通信することが、前記サーバ・デバイス秘密鍵に従って署名され、前記クライアント・デバイス公開鍵に従って暗号化されたウェブ・サービス・トークンを受信することを含む、請求項1に記載のクライアント・デバイス。
- 前記ウェブ・サービス・トークンが、署名され、暗号化されたJava(登録商標)Scriptオブジェクト表記法(JSON)ウェブ・サービス・トークン(JWT)を含む、請求項1に記載のクライアント・デバイス。
- 前記JWTが、JSONウェブ署名(JWS)フォーマットとJSONウェブ暗号化(JWE)フォーマットとを使用する、請求項4に記載のクライアント・デバイス。
- ネットワークを介してクライアント・デバイスと電子的に通信するように構成されたサーバ・デバイスであって、当該サーバ・デバイスは、
クライアント・デバイスとのセキュアなトランスポート・レイヤ・セキュリティ接続を確立することと、
証明を受信することと、
前記証明に対応するウェブ・サービスの第1のウェブ・サービス・トークンを伝送することと、
少なくとも1つの暗号鍵を識別するために、前記第1のウェブ・サービス・トークンを使用して前記クライアント・デバイスとセキュリティ証明を交換することと、
前記トランスポート・レイヤ・セキュリティ接続を閉じることと、
新しいトランスポート・レイヤ・セキュリティ接続を生成するために前記サーバ・デバイスで前記証明を再度受信することなく前記クライアント・デバイスと前記サーバ・デバイスの間でデータを通信するために、前記識別された少なくとも1つの暗号鍵に従ってデータを伝送する前記ウェブ・サービス及び前記クライアント・デバイスのいずれかによって生成され、署名され、暗号化された第2のウェブ・サービス・トークンを使用して前記クライアント・デバイスとデータを通信することと
を実行するように構成された、サーバ・デバイス。 - 少なくとも1つの暗号鍵を識別することが、サーバ・デバイス公開鍵とクライアント・デバイス秘密鍵とを識別することを含み、前記第2のウェブ・サービス・トークンを使用して前記クライアント・デバイスと通信することが、前記クライアント・デバイス秘密鍵に従って署名され、前記サーバ・デバイス公開鍵に従って暗号化されたウェブ・サービス・トークンを受信することを含む、請求項6に記載のサーバ・デバイス。
- 少なくとも1つの暗号鍵を識別することが、サーバ・デバイス秘密鍵とクライアント・デバイス公開鍵とを識別することを含み、前記第2のウェブ・サービス・トークンを使用して前記クライアント・デバイスと通信することが、前記サーバ・デバイス秘密鍵に従って署名され、前記クライアント・デバイス公開鍵に従って暗号化されたウェブ・サービス・トークンを送信することを含む、請求項6に記載のサーバ・デバイス。
- 前記第2のウェブ・サービス・トークンが、署名され、暗号化されたJava(登録商標)Scriptオブジェクト表記法(JSON)ウェブ・サービス・トークン(JWT)を含む、請求項6に記載のサーバ・デバイス。
- 前記JWTが、JSONウェブ署名(JWS)フォーマットとJSONウェブ暗号化(JWE)フォーマットとを使用する、請求項9に記載のサーバ・デバイス。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/881,151 | 2018-01-26 | ||
| US15/881,151 US11546310B2 (en) | 2018-01-26 | 2018-01-26 | Apparatus, methods and articles of manufacture for messaging using message level security |
| PCT/US2019/013652 WO2019147436A1 (en) | 2018-01-26 | 2019-01-15 | Apparatus, methods and articles of manufacture for messaging using message level security |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021511613A JP2021511613A (ja) | 2021-05-06 |
| JP7389754B2 true JP7389754B2 (ja) | 2023-11-30 |
Family
ID=65324584
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020560872A Active JP7389754B2 (ja) | 2018-01-26 | 2019-01-15 | メッセージ・レベル・セキュリティを使用するメッセージングのための装置、方法及び製造品 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US11546310B2 (ja) |
| EP (1) | EP3744062A1 (ja) |
| JP (1) | JP7389754B2 (ja) |
| KR (1) | KR20200118074A (ja) |
| CN (1) | CN111801924B (ja) |
| AU (1) | AU2019212026B2 (ja) |
| CA (1) | CA3089203A1 (ja) |
| MX (1) | MX2020007907A (ja) |
| WO (1) | WO2019147436A1 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3834449A4 (en) * | 2018-08-10 | 2022-05-04 | Nokia Technologies Oy | NETWORK FUNCTION AUTHENTICATION BASED ON A PUBLIC KEY BINDING IN AN ACCESS TOKEN IN A COMMUNICATION SYSTEM |
| US11528140B2 (en) | 2021-02-09 | 2022-12-13 | International Business Machines Corporation | Compromised access token invalidation in a singleton process |
| US11632362B1 (en) * | 2021-04-14 | 2023-04-18 | SHAYRE, Inc. | Systems and methods for using JWTs for information security |
| US20230171240A1 (en) * | 2021-11-26 | 2023-06-01 | Cisco Technology, Inc. | Web tokens for enhanced microservice obervability |
| CN114679276B (zh) * | 2022-02-18 | 2024-04-23 | 支付宝(杭州)信息技术有限公司 | 基于时间的一次性密码算法的身份认证方法和装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004535004A (ja) | 2001-06-13 | 2004-11-18 | サイトリックス システムズ, インコーポレイテッド | 通信セッションを介したユーザの認証 |
| US20100217975A1 (en) | 2009-02-25 | 2010-08-26 | Garret Grajek | Method and system for secure online transactions with message-level validation |
| JP2011118592A (ja) | 2009-12-02 | 2011-06-16 | Kddi Corp | アクセス制御システム、アクセス制御方法およびプログラム |
| US20130191884A1 (en) | 2012-01-20 | 2013-07-25 | Interdigital Patent Holdings, Inc. | Identity management with local functionality |
| JP2017046179A (ja) | 2015-08-26 | 2017-03-02 | 日本電信電話株式会社 | 端末支援システム、及び端末支援方法 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050154889A1 (en) | 2004-01-08 | 2005-07-14 | International Business Machines Corporation | Method and system for a flexible lightweight public-key-based mechanism for the GSS protocol |
| US7853995B2 (en) * | 2005-11-18 | 2010-12-14 | Microsoft Corporation | Short-lived certificate authority service |
| JP5179471B2 (ja) * | 2006-04-10 | 2013-04-10 | モデール ビー.ブイ. | データを安全に伝送するための装置および方法 |
| US8327142B2 (en) | 2006-09-27 | 2012-12-04 | Secureauth Corporation | System and method for facilitating secure online transactions |
| US8225096B2 (en) * | 2006-10-27 | 2012-07-17 | International Business Machines Corporation | System, apparatus, method, and program product for authenticating communication partner using electronic certificate containing personal information |
| US8543829B2 (en) * | 2007-01-05 | 2013-09-24 | Ebay Inc. | Token device re-synchronization through a network solution |
| US8527774B2 (en) * | 2009-05-28 | 2013-09-03 | Kaazing Corporation | System and methods for providing stateless security management for web applications using non-HTTP communications protocols |
| US8799640B2 (en) * | 2010-02-27 | 2014-08-05 | Novell, Inc. | Techniques for managing a secure communication session |
| FR2981531A1 (fr) | 2011-10-14 | 2013-04-19 | France Telecom | Procede de transfert du controle d'un module de securite d'une premiere entite a une deuxieme entite |
| US9426140B2 (en) * | 2013-09-09 | 2016-08-23 | Layer, Inc. | Federated authentication of client computers in networked data communications services callable by applications |
| US20180075677A1 (en) | 2016-09-09 | 2018-03-15 | Tyco Integrated Security, LLC | Architecture for Access Management |
| DE102017211267A1 (de) * | 2017-07-03 | 2019-01-03 | Siemens Aktiengesellschaft | Verfahren zum Schützen einer Zertifikatsanforderung eines Clienten-Rechners und entsprechendes Kommunikationssystem |
-
2018
- 2018-01-26 US US15/881,151 patent/US11546310B2/en active Active
-
2019
- 2019-01-15 KR KR1020207024583A patent/KR20200118074A/ko active IP Right Grant
- 2019-01-15 CA CA3089203A patent/CA3089203A1/en active Pending
- 2019-01-15 WO PCT/US2019/013652 patent/WO2019147436A1/en active Application Filing
- 2019-01-15 CN CN201980010055.1A patent/CN111801924B/zh active Active
- 2019-01-15 JP JP2020560872A patent/JP7389754B2/ja active Active
- 2019-01-15 MX MX2020007907A patent/MX2020007907A/es unknown
- 2019-01-15 EP EP19703837.5A patent/EP3744062A1/en active Pending
- 2019-01-15 AU AU2019212026A patent/AU2019212026B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004535004A (ja) | 2001-06-13 | 2004-11-18 | サイトリックス システムズ, インコーポレイテッド | 通信セッションを介したユーザの認証 |
| US20100217975A1 (en) | 2009-02-25 | 2010-08-26 | Garret Grajek | Method and system for secure online transactions with message-level validation |
| JP2011118592A (ja) | 2009-12-02 | 2011-06-16 | Kddi Corp | アクセス制御システム、アクセス制御方法およびプログラム |
| US20130191884A1 (en) | 2012-01-20 | 2013-07-25 | Interdigital Patent Holdings, Inc. | Identity management with local functionality |
| JP2015511348A (ja) | 2012-01-20 | 2015-04-16 | インターデイジタル パテント ホールディングス インコーポレイテッド | ローカル機能での識別管理 |
| JP2017046179A (ja) | 2015-08-26 | 2017-03-02 | 日本電信電話株式会社 | 端末支援システム、及び端末支援方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111801924A (zh) | 2020-10-20 |
| AU2019212026B2 (en) | 2023-06-01 |
| EP3744062A1 (en) | 2020-12-02 |
| KR20200118074A (ko) | 2020-10-14 |
| JP2021511613A (ja) | 2021-05-06 |
| CA3089203A1 (en) | 2019-08-01 |
| CN111801924B (zh) | 2023-05-12 |
| AU2019212026A1 (en) | 2020-08-13 |
| US20190238518A1 (en) | 2019-08-01 |
| US11546310B2 (en) | 2023-01-03 |
| WO2019147436A1 (en) | 2019-08-01 |
| MX2020007907A (es) | 2020-09-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7389754B2 (ja) | メッセージ・レベル・セキュリティを使用するメッセージングのための装置、方法及び製造品 | |
| US10880294B2 (en) | End-to-end authentication at the service layer using public keying mechanisms | |
| Tschofenig et al. | Transport layer security (tls)/datagram transport layer security (dtls) profiles for the internet of things | |
| JP6508688B2 (ja) | エンドツーエンドサービス層認証 | |
| CN101371550B (zh) | 自动安全地向移动通信终端的用户供给在线服务的服务访问凭证的方法和系统 | |
| WO2018045817A1 (zh) | 移动网络的认证方法、终端设备、服务器和网络认证实体 | |
| US20220217152A1 (en) | Systems and methods for network access granting | |
| US10158608B2 (en) | Key establishment for constrained resource devices | |
| JP2010086529A (ja) | 連続する再認証を必要としないsipシグナリング | |
| EP2532139A1 (en) | Digital identity authentication system and method | |
| Fossati | RFC 7925: Transport Layer Security (TLS)/Datagram Transport Layer Security (DTLS) Profiles for the Internet of Things | |
| CN110855561A (zh) | 一种物联网智能网关 | |
| Liu et al. | An efficient privacy protection solution for smart home application platform | |
| JP2014147039A (ja) | 暗号通信装置、代行サーバ、暗号通信システム、暗号通信装置プログラム及び代行サーバプログラム | |
| Gao et al. | SecT: A lightweight secure thing-centered IoT communication system | |
| Sigholt et al. | Keeping connected when the mobile social network goes offline | |
| CN107835196B (zh) | 一种基于hdlc的安全通信方法 | |
| Santos et al. | A federated lightweight authentication protocol for the internet of things | |
| Lewi et al. | Scaling Backend Authentication at Facebook | |
| KR102345093B1 (ko) | 무선 인터넷의 보안 세션 제어 시스템 및 보안 세션 제어 방법 | |
| JP5107823B2 (ja) | 認証メッセージ交換システムおよび認証メッセージ交換方法 | |
| UPADHYAYA et al. | WEAKNESS OF EAP, THREAT ANALYSIS IN WIRELESS LAN AND PROPOSED SOLUTION | |
| Li et al. | Improving the WTLS by means of Kerberos | |
| Singh et al. | Mechanisms for Security and Authentication of Wi-Fi devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220113 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230127 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230131 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20230428 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20230630 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230728 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231024 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231117 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7389754 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |