[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP4499575B2 - ネットワークセキュリティ方法およびネットワークセキュリティシステム - Google Patents

ネットワークセキュリティ方法およびネットワークセキュリティシステム Download PDF

Info

Publication number
JP4499575B2
JP4499575B2 JP2004571510A JP2004571510A JP4499575B2 JP 4499575 B2 JP4499575 B2 JP 4499575B2 JP 2004571510 A JP2004571510 A JP 2004571510A JP 2004571510 A JP2004571510 A JP 2004571510A JP 4499575 B2 JP4499575 B2 JP 4499575B2
Authority
JP
Japan
Prior art keywords
client
server
smart card
certificate
program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004571510A
Other languages
English (en)
Other versions
JP2006526184A (ja
Inventor
トーマス ウォルター
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Publication of JP2006526184A publication Critical patent/JP2006526184A/ja
Application granted granted Critical
Publication of JP4499575B2 publication Critical patent/JP4499575B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

【技術分野】
【0001】
本発明はリソースと外部エンティティ間の通信に関する。
【0002】
外部ユーザは、多数のデバイスに囲まれている。業務タスクを実行中、ユーザは単一のデバイスだけでなく、タスクの遂行に最も適したあらゆる実行可能な組み合わせを用いる。図1はこのシナリオを示したものである。企業ドメイン200の視点から見れば、プライベートドメイン100およびパーソナルドメイン300は信頼された環境である。一方、ベアラードメイン400は信頼されないドメインまたは信頼されたドメインである。
【0003】
最新の分散アプリケーションは、リモートクライアントを始点とするトランザクション処理に多数のサーバが関与する多層アーキテクチャに基づく。これまで、クライアントは企業ネットワークドメイン200に統合されるか、遠隔地に位置する場合はダイヤルイン接続、インターネット、仮想プライベートネットワーク(VPN)、またはインターネットセキュリティIPsecの中の1つあるいはそれらの組み合わせで接続される。
【0004】
無線技術によって、ユーザと各種の機器101、102、301、302、および303の相互間および企業ネットワーク200とのモビリティが実現されるので、企業ネットワークリソース201、202、および203へのアクセスを許可する安全なモバイルアプリケーションに対する解決策が望まれている。
【0005】
したがって、利用可能な認証メカニズムと、当該メカニズムの環境に対する適切な度合いを考えることが必要である。
【背景技術】
【0006】
認証とは、人間、機械、あるいは処理を含むいずれかのエンティティ同士で行われる処理のことである。エンティティ同士は、データを交換してお互いのアイデンティティを確立する。
【0007】
図2は一般的な認証プロトコルの流れを示す。この例は、PPP(Point to Point)拡張認証プロトコル(EAP)を取り上げている。EAPは、ポイントツーポイントリンク上の通信相手同士の通信で使われる認証プロトコルである。基本的に、認証者200はクライアント101に身元証明をリクエストする。この身元証明は、たとえばワンタイムパスワードやチャレンジ/レスポンス型認証の簡単なもの、あるいはセッションキーの配布とネゴシエーションを行う拡張認証プロトコル/トランスポート層セキュリティプロトコル(EAP―TLS)などの複雑なプロトコルである。
【0008】
認証のリクエスト14は、認証者200から通信相手またはクライアント101に送られる。通信相手101は、レスポンス15を返答し、このレスポンスは認証者200によって認証される。認証の結果に基づいて、正のまたは負のフィードバック16がクライアント101へ送信される。
【0009】
図3に示されるラディウスプロトコルは、把握している通信中のすべてのエンティティに関する個々の識別データを保存する中央サーバ202に対して認証が行われる間接認証方式である。
【0010】
ラディウスと同様に、図4に示されるケルベロスは間接認証方式である。ケルベロスはユーザを認証し、サービスごとに認証を行う。
【0011】
所有者が他のエンティティと認証を行うことを可能にする、チケットと呼ばれる認証処理データの一部分が生成されると、認証プロトコルで2つのステップが行われる。第一にエンティティは、エンティティのアイデンティティを認証してチケット保証チケット125と呼ばれるチケットを返送するケルベロスサーバで認証を行う。第二に、その後特定リソース203へのアクセスを希望する場合、既に発行されているチケット保証チケット125を使ってエンティティは、チケット保証サービスと呼ばれる他のサーバに対してリソース特定チケット126の発行をリクエストする。このチケットを使って、自身の認証とリソース203へのアクセスをするために、エンティティは認承メッセージ127を作り、リソースをホストするサーバへ認承メッセージとリソース特定チケット126を送信する。
【0012】
ケルベロスでは、認証処理を行っている間、ケルベロスサーバによってセッションキーが生成され、当該キーは生成されたチケットの一部として配布される。セッションキーは、データ送信の際の暗号化を行うために使われ、データの受信側で同じ鍵で復号化される。データの送受信に関連するすべての当事者は、使われた暗号鍵に関する同じ情報を共有する。
【0013】
一般的に用いられる他の方法は、公開鍵暗号方式である。公開鍵暗号方式は暗号化および復号化に利用されるRSAアルゴリズムなどのシステムを構築するために用いられる。公開鍵暗号方式はデジタル署名や鍵交換での使用にも好都合である。公開鍵暗号方式では、公開鍵と秘密鍵という鍵のペアを用いる。これらの鍵は暗号化および相互の復号化に用いられる。まず鍵のペアが生成される。秘密鍵はエンティティが保持し、公開鍵は第三者に公開される。公開鍵を公開する一般的な方法は、公開鍵インフラストラクチャ(PKI)を使うことである。PKIは、証明書の概念を中心にする。簡単に言えば、証明書は身元証明である。証明書は、他のエンティティの固有データ中に、エンティティの公開鍵を含む。証明書は通常、認証機関(CA)として知られる第三者機関によって署名される。署名は認証機関の秘密鍵を用いて行われる。あるエンティティが他のエンティティと認証を行う場合、自分の証明書を使う。認証を呼びかけられたエンティティは、認証機関の公開鍵を用いて、認証を呼びかけたエンティティを認証する。エンティティが証明書を持つのは上記の理由からである。通信エンティティの公開鍵は、認証に加えて、特にセッションキーを交換するために公衆網を介してデータを送信する場合、当該データの暗号化に使われる。
【0014】
エンティティにアイデンティティを与えるのは証明書という方法に限られない。セルフ・デリゲーションとして知られる方法では、プライマリキーとセカンダリキーのペアの概念を用いる。これは、プライマリキーのペアは秘密に保持され、セカンダリキーのペアは信頼されていないデバイスに転送されるという考えである。セカンダリキーのペアには、
プライマリ秘密鍵で署名され、セカンダリキーのペアのあらゆる身元証明はプライマリキーの身元証明と同じ効力があると記述された委任証明書が添付されている。
【0015】
このシステムは、各々のセルフ・デリゲーションには限られた量の秘密情報のみが開示されるように設計されている。情報が限られているので、そこから有益なことは得ることができない。一方で、セルフ・デリゲーションの増加が一定数に達すると、エネミーが効率的にプライマリ秘密鍵を計算できるように制御されている。
【0016】
上記のシナリオは新たな要望を生ぜしめる。第一に、基本的なネットワーク接続をユーザに提供するための適切な技術に関する要望である。第二に、企業ネットワークドメインへのアクセス制御に関する要望である。第三に、モバイルデバイスと企業ネットワーク間で送受信されるデータの秘匿性、インテグリティ、およびアカウンタビリティに関する要望である。ここで、上記の技術における安全性のあるモバイルデバイス用分散アプリケーションに対する要望を検討する。特に、提供されなければならないメカニズムは、次の点に対応する必要がある。
・ モバイルクライアントデバイス同士、およびモバイルクライアントデバイスと企業ネットワーク間の認証。
関連するすべての当事者が、その通信相手が保証されたエンティティであるという信用証明を持つように、相互認証が必要とされる。
・ 交換されたメッセージに秘匿性および統一性を与えるために、モバイルデバイス同士、およびモバイルデバイスと企業ネットワーク間など、当事者であるすべてのエンティティ間での安全なエンドツーエンド通信リンクの確立。
・ 通信への参加の間違った承認拒否に対する保護策としての、否認防止あるいは通信イベントのアカウンタビリティ。
【0017】
拡張認証プロトコル、ラディウス、ケルベロス、公開鍵インフラストラクチャ、デリゲーションはいずれも複数のクライアントを対象とするものの、拡張認証プロトコル、ラディウス、ケルベロスはクライアントとサーバ間の相互認証は認めず、デリゲーションはそのような機能をサポートするようには必ずしも構成されていない。上述の技術は、いずれも異なるクライアント間の相互認証には対応していない。デリゲーション、公開鍵インフラストラクチャ、およびケルベロスは、キーネゴシエーションに対応しており、公開鍵インフラストラクチャで使われる証明書が必要になるが、PPP−EAP−TLS認証プロトコルが実行されると、その機能がEAPにおいてもサポートされる。EAP、ケルベロス、公開鍵インフラストラクチャではすでにハッシュ機能が使われているが、データの統一性は問題とされておれず、上述の方法からはデータの統一性はなんら導かれない。しかしながら、データの認証は必要であって、キーイングデータの配布における余分な労力も考慮されなければならない。最後に、公開鍵インフラストラクチャおよびデリゲーションだけが否認防止を十分に考慮する。ケルベロスの場合、双方の通信エンティティが同じ鍵を持っていて、他方のエンティティのアイデンティティを模倣することができるので、セッションキーは否認防止の目的で使われない。
【0018】
ゆえに本発明の目的は、安全な通信およびデータネットワークを確立するための既存の技術を改良した方法、システム、およびデバイスを提供することである。
本発明の目的は、独立項の主要部によって解決される。好都合な実施形態は従属項に示す。
【0019】
本発明は、クライアントとリソースの間で安全なネットワーク通信を確立する方法に関する。この方法は次のステップを含む。
セキュリティマネージャとクライアント間で信頼関係を確立。
セキュリティマネージャで第1識別子124を生成し、それをセキュリティマネージャからクライアントへ送信。
第1識別子124をクライアントからリソースへ転送。
リソースで第1識別子124の有効性を確立し、リソースからクライアントへ第1暗号化データ131へ送信。
第1暗号化データ131を使って、クライアントとリソース間でその後のネットワーク通信12を実行。
【0020】
クライアントとリソースの間で安全なネットワーク通信を確立する方法は、
第1クライアントメディエータおよび第2クライアントメディエータが設けられたクライアントと、
第1リソースメディエータおよび第2リソースメディエータが設けられたリソースと、
第1識別子を生成し、それを第2クライアントメディエータへ送信するセキュリティマネージャとを備える。
【0021】
ここで、第2クライアントメディエータと第2リソースメディエータは、クライアントとリソースとの間で信頼関係を確立するように構成される。
【0022】
第2クライアントメディエータへの適合は、第2クライアントメディエータが、
セキュリティマネージャから第1識別子124を受信し、
認証のために、第1識別子124をリソースに送信し、
リソースから第1暗号化データ131を受信し、
第1暗号化データ131を使って、リソースとの安全なネットワーク通信12を行うように構成される。
【0023】
第2リソースメディエータへの適合は、第2リソースメディエータが、
第1識別子の有効性を確立し、
第1暗号化データ131をクライアントへ送信し、
第1暗号化データ131を使って、クライアントとその後のネットワーク通信12を行うように構成される。
【0024】
他の実施形態ではセキュリティマネージャは、第1識別子124を生成するとともに、この第1識別子124を、解読用にクライアントに組み込まれた第2クライアントメディエータに送信するように構成されている。第1識別子は、第2クライアントメディエータが当該命令を第2リソースメディエータに転送することを促す。また第1識別子は、
第2リソースメディエータが前記第1命令を有効化するための有効化処理9と、
第1暗号化データ131の第2クライアントメディエータへの送信と、
第1暗号化データ131を使用しているリソース12とその後の通信を行うことを促す。
【0025】
他の実施形態でクライアントは、リソースとの安全な通信を開始するように構成された、第1クライアントメディエータと第2クライアントメディエータを備えるように構成される。クライアントは、第1クライアントメディエータの動作によって、セキュリティマネージャと信頼関係を確立するように構成されている。第2クライアントメディエータと、リソースに組み込まれた第2リソースメディエータは、各々、クライアントとリソース間で信頼関係を確立するように構成される。
【0026】
第2クライアントメディエータへの適合は、第2クライアントメディエータが、
セキュリティマネージャによって生成された第1識別子124をセキュリティマネージャから受信し、
リソースから第1暗号化データ131を受信し、
第1暗号化データ131を使用しているリソース12とその後の通信を行うように構成される。
【0027】
第2リソースメディエータへの適合は、第2リソースメディエータが
第1識別子124の有効性を確立し、
第1暗号化データ131を送信し、
第1暗号化データを使用しているリソース12とその後の通信を行うように構成される。
【0028】
他の実施形態でリソースは、ネットワーク上での安全な通信を開始するように、第1リソースメディエータの動作によってセキュリティマネージャと信頼関係を確立するように構成される。第2リソースメディエータは、
セキュリティマネージャによって生成されてクライアントへ送信された後にリソースに転送された第1識別子124の有効性を確立し、
リソースにおいて第1暗号化データ131をクライアントへ送信し、
この第1暗号化データを使ってクライアントと新たな通信12を実行するように構成されている。
【0029】
次に、発明の理解を促進し、同じことがどのようにして実行されるかを示すための一例として、添付の図面に関する説明を行う。
【0030】
本発明は、リソースと、モバイルクライアントなどの外部クライアント間での安全な通信の確立に特に好適である。リソースは格納されるか、アプリケーションサーバを介してアクセス可能なソフトウェアアプリケーションである。図1を参照して上記で述べたように、本発明が実行される典型的な環境は、プライベートネットワーク内のリソース201と、外部ユーザが自身のパーソナルドメイン300などでリソースにアクセスするためのさまざまなネットワーククライアントデバイス301、302、または303のいずれか1つを含む。リソースは、ネットワークの一部202、203へのアクセスを制御することが可能なサーバ201など、プライベートネットワーク200の構成要素を含んでもよい。リソースは、サーバが有する所与のデータ203の集合や、ネットワークを通じて配信されるものであってもよい。外部ユーザのパーソナルドメイン内のエンドシステムは、スマートカードから携帯電話、そしてラップトップコンピュータに至るまでを対象とする。デバイス同士は、CPUパワー、メモリ、ディスプレイの大きさなどの観点から互いに明らかに異なる。末端の例としてはスマートカードなどが挙げられ、上端の例としてラップトップコンピュータが考えられる。他方で、システムはフレキシブルであるほど、セキュリティ面の危険およびそれに対する攻撃にさらされやすい。外部ユーザは、無線手段、有線経路または有線チャネル、光学チャネル、あるいは関連技術の当業者が容易に思い浮かぶさまざまなタイプの通信チャネルのいずれか、またはそれらの組み合わせによって、所有する機器が互いに接続されているモバイルユーザであってもよい。多数の機器のいくつかあるいは全ては、プライベートネットワークと直接あるいはインターネットなどの公衆網400を介して通信を行うための手段を備えている。通信は、無線手段、有線経路または有線チャネル、光学チャネル、あるいは関連技術の当業者に容易に思い浮かぶさまざまなタイプの通信チャネルのいずれか、あるいはそれらの組み合わせによって行われうる。接続の際には、認証プロトコルの実行に先立ってエンドツーエンドの接続が確立されるか、あるいは当該処理を中断することなく確立されることが前提である。
【0031】
従業員などの外部ユーザは、分散アプリケーションの実行環境をさまざまな外部デバイスから選ぶことができる。大きなスプレッドシートを更新するにはラップトップコンピュータを使い、仕事の割り当てをチェックするアプリケーションがプライベートネットワーク内の各データにアクセスするには携帯電話だけで済ませるのが合理的である。
【0032】
次の語句は明細書全体で使用される。補足説明は一例である。
【0033】
認証違反:エンティティが、使用すべきでないリソースを使用すること。
【0034】
アカウンタビリティ:すべての通信イベントの責任を負うエンティティを特定することが可能であるべきこと。
【0035】
認証:人間あるいは機械またはアプリケーションのいずれかのアイデンティティ認証を実行するプロセスのこと。
【0036】
利用可能性:アプリケーション、デバイス、およびサービスが利用可能であって、かつ、正確に動作すべきであること。
【0037】
ベアラーデバイス:セキュリティマネージャを物理的にホストするモバイルデバイス。
【0038】
証明書:信頼された第三者(認証機関)によって認証され、偽造から保護された、ユーザの信用証明の集合。
【0039】
クライアント同盟:セキュリティマネージャと認証を行っており、安全なチャネル上でのデータ交換が可能なすべてのクライアントデバイス。
【0040】
機密性:転送されるか格納されたデータは、その意図する閲覧者にのみ示されるべきであること。
【0041】
制御されたアクセス:認証されたエンティティのみが特定のサービスまたはデータにアクセス可能であるべきこと。
【0042】
データ保全性:データのあらゆる書き換えが検知されるべきであること。
【0043】
通信行為の拒否(拒絶):エンティティがトランザクションや通信イベントなどのイベントへの参加を不当に拒否すること。
【0044】
傍受:エンティティが読み取り目的でないデータを読み取ること。
【0045】
偽造:エンティティが他のエンティティ名義で新たなデータを作ること。
【0046】
データの喪失または修正:エンティティは、受信したデータパケットのシーケンスの1つまたは複数のパケットが喪失したことを検知することができる。エンティティは、受信したデータパケットまたはその一部が警告されたことを検知することができる。
【0047】
仮装:エンティティが他のエンティティであると主張すること。
【0048】
本発明に係る実施形態によれば、安全な通信は複数の外部クライアントデバイスとリソース間で確立される。これは、たとえばプライベートネットワーク内のサーバが、複数のクライアントデバイスとリソースを認証し、認証されたクライアント同士、および認証されたクライアントとリソース間で暗号鍵などの暗号化データを配布することによって行われる。とりわけ、さまざまな外部デバイスとリソース間の仲介役であると同時に、認証されていないデバイスや偽造されたデバイスが改変もしくは信頼できない状態で通信に参加しないことを保証するために、セキュリティマネージャが提供される。安全性が保証されたクライアントドメインは、クライアント同盟と呼ばれる。セキュリティマネージャは、クライアントデバイス内に搭載されるか、それ自身に固有のネットワーク通信能力を有する。
【0049】
企業の、すなわちリソースの所有者の視点から見た場合、セキュリティマネージャおよびその内部に保存されたユーザの信用証明は、外部ユーザのパーソナルドメイン内で唯一信頼される要素である。個々のクライアントデバイス間、およびクラインデバイスと企業ネットワーク間で安全なエンドツーエンドの接続を確立するために、セキュリティマネージャはクライアントデバイスを認証し、プライベートネットワークまたは企業ネットワークと認証をする際に使われる信用証明をクライアントデバイスに発行し、鍵の生成とデータ署名を実行するといった各機能を実現する。本発明は全体的には1つのクライアント、セキュリティマネージャ、およびサーバが含まれる通信を主題にしているが、当業者は、多数のクライアントデバイスが関連する通信への本発明の適用を正しく認識するだろう。
【0050】
第一のステップとして外部ユーザは、たとえば正しいパスフレーズ(個人識別番号またはパスワード)を、セキュリティマネージャをホストするデバイスに入力してセキュリティマネージャを起動させるなど、ユーザインタフェースに秘密情報を供給することで自分が合法的なユーザであることを証明する。
【0051】
クライアントデバイスは、他のクライアントデバイスと、プライベートネットワークの構成要素(私有サーバやその他のリソースなどの企業ドメイン)に対しても自己を証明する。リソースは、プライベートドメインまたは下記で示すネットワークに位置しうる。
【0052】
上述したように、本発明の環境では一定の安全性が確保されることが望ましい。これは、アプリケーションサーバの役割を担うサーバ201が、通信相手またはクライアントエンティティの身元証明を有することを含む。これは認証と呼ばれる。リソースへのアクセスは、適切な認証メカニズム、あるいは認可機関として知られるものによって許可されなければならない。言い換えると、リソースへのアクセスは認証されたエンティティのみに対して許可される。最後にすべての通信イベントが、後に記録をたどることができるように明らかにされなければならない。これは否認防止として知られる。
【0053】
クライアントを認証するために、リソースはまず認証要求をクライアントデバイスに送信する。この認証要求は、クライアントに関連するセキュリティマネージャに送信される。
【0054】
セキュリティマネージャは、たとえばホストまたはベアラーデバイスの通信機能を使って携帯電話に組み込まれるか又は関連付けられてネットワーク通信に参加し、ユーザからのからのパスフレーズを要求する。このコードは、個人識別番号またはパスワードなどである。パスフレーズの認証が成功すると、セキュリティマネージャは引き続き認証処理を行う。これは実際には、セキュリティマネージャが組み込まれたホストデバイスの電源が投入される都度行われる。
【0055】
セキュリティマネージャは、パラメータとしての自己の証明書など、自身の識別子とともに認証応答を返送する。この識別子は、リソースの所有者によって発行されることが好ましい。識別子は、たとえばセキュリティマネージャの公開鍵や、クライアントの公開鍵によって暗号化される。公開鍵は識別子に含まれてもよい。
【0056】
リソースは、受信した識別子証明書を認証して、セッションホストの公開鍵などのセッションキーを生成し、当該セッションキーをホストまたはベアラーデバイスに返送する。言い換えると、認証確認が送信される。
【0057】
相互認証が必要な場合、リソースは第一認証要求または認証確認のいずれかに対して自分の証明書などの識別子を送信する。ホストまたはベアラーデバイスは、あらかじめインストールされた認証機関の識別子を使って、リソースの識別子を認証することができる。
【0058】
このシナリオは、ラップトップなどの分離したクライアントデバイスを追加することで拡張することができる。上述の方法と同様に、セキュリティマネージャは携帯電話によってホストされる。こうして認証および鍵のネゴシエーションと交換が、双方のモバイルデバイスで行われ、最終的にエンドツーエンド(E2E)の安全な接続が確立される。
【0059】
クライアントデバイスは、セキュリティマネージャ・ホストデバイスおよびセキュリティマネージャを管理する企業によって発行されたものと同じ識別子を保持する。
【0060】
信頼されたセキュリティマネージャとクライアントデバイスのクライアント同盟において、セキュリティマネージャはラップトップが証明書の合法的な所有者であることを保証するに過ぎない。たとえば、企業ネットワークなどのプライベートネットワーク内のサーバは、セキュリティマネージャからの署名などによって認証された証明書のみを受け取る。
【0061】
次に、クライアントが第三者識別子を保持するケースを検討する。セキュリティマネージャは、識別子がエンティティに属するなど、識別子を認証するだけでなく、識別子とクライアントが互いに密接に関連することを認証する役割も担う。そして最後に、セキュリティマネージャはクライアントが信頼できることをリソースに証明しなければならない。
【0062】
次に、図5に関する本発明の実施形態を述べる。
【0063】
図5は、本発明の第一実施形態に係る、クライアントデバイスとリソース間で安全なネットワーク通信を確立する方法を示す。
【0064】
この方法では、クライアント111と、リソース112が提供される。先行技術を参照して述べたように、クライアントは1または複数の外部デバイスに設けられ、通信相手またはクライアントの役割を担う。第2ネットワークエンティティは、上述したように、プライベートネットワークなどに設けられたサーバまたはリソースである。前記クライアントは、このサーバまたはリソースと相互作用してデータを受信する。本明細書ではセキュリティマネージャ、リソース、サーバなどのネットワークエンティティを取り上げているが、これらは本発明で記載されたタスクおよびその他の必要な動作をデバイスに実行させる、複数の付属的ハードウェアやソフトウェアなどを包含する。特にサーバまたはリソースは、企業ネットワークなどの完全に私的なものを含む。
【0065】
本実施形態ではさらにセキュリティマネージャ1131が設けられる。セキュリティマネージャは、証明書および暗号鍵の格納と、暗号化・復号化、および鍵の生成とデータ署名の実行が可能な、不正操作が行われないデバイスである。
【0066】
第1ネットワークエンティティまたはクライアント111と、セキュリティマネージャ・ホストデバイス113は、各々、ソフトウェア、ハードウェア、あるいはそれらのあらゆる組み合わせによって実行される。第1ネットワークエンティティまたはクライアント、およびセキュリティマネージャ・ホストデバイスは、各々、パーソナルコンピュータ(特にラップトップコンピュータ)、電話(特に携帯電話)、ページャ、PDA、あるいはネットワーク通信が可能なあらゆるデバイスなど、適切なファームウェアおよびソフトウェアを含む、独立型のネットワークデバイスである。1つの実施形態では、第1ネットワークエンティティ111またはクライアントデバイスは、ネットワーク通信を確立する手段を備えるラップトップコンピュータを含む。セキュリティマネージャ1131は、SIMカード、スマートカード、専用シリコンチップ、あるいは適切なデータを有するカスタマイズ可能なチップまたはメモリや、適切な実施形態を実行するように構成されたソフトウェアルーティン、あるいは当業者が通常思い浮かべるさまざまな技術のいずれかを含む。
【0067】
リソースは、通信において安全性が求められるプライベートネットワークや、企業ネットワークなどのドメイン、あるいはネットワーク通信が可能な構成要素などのネットワークエンティティを含む。
【0068】
第1ネットワークエンティティまたはクライアントデバイスとセキュリティマネージャ・ホストデバイスは、GSM(移動体通信用グローバルシステム)、GPRS(汎用パケット無線サービス)、第3世代移動体通信システム、あるいは当業者が容易に思いつくあらゆる無線/有線通信システムなどの携帯電話通信網に接続する。あるいは第1ネットワークエンティティまたはクライアントデバイスとセキュリティマネージャ・ホストデバイスは、WLAN(無線LAN)などの無線ホットスポットに移動する。すべてのネットワーク技術は固有の認証方式およびセキュリティ方式を有しており、使われている方式の中にはプライベートドメインの制御が及ばないものがあることが考えられる。したがって、安全性のあるモバイル分散アプリケーションを実行するための実行可能な唯一の解決法は、必要とされるすべてのセキュリティ機構がプライベートドメインまたは企業ドメインによってサポートされ、かつ、プライベートネットワークまたは企業ネットワーク内だけでなく、モバイルデバイスとプライベートドメイン間にも適用可能なことである。
【0069】
この実施形態ではセキュリティマネージャは、仮の証明書としての第1識別子を生成して、それを前記セキュリティマネージャが組み込まれたセキュリティマネージャ・ホストデバイスのネットワークシステムによって第1ネットワークエンティティまたはクライアントへ送信する。第1ネットワークエンティティまたはクライアントは、セキュリティマネージャから第1識別子を受信して、それをリソースに転送する。リソースは、第1識別子を受信して、この識別子の有効性を確立するように構成されている。この有効化処理は、受信した識別子が前記セキュリティマネージャで実際に生成されたものであって、前記クライアントが前記リソースへアクセスする権利を与えることを決定するステップを含む。
【0070】
認証が行われると、リソース112は第1暗号化データを前記クライアントへ送信する。この第1暗号化データは、セッションキーや、暗号化されたもしくは安全な通信を保証するデータを含む。第1識別子は、仮の証明書である場合、たとえばセキュリティマネージャ1131の公開鍵や、クライアントの公開鍵を使って暗号化される。この場合、セキュリティマネージャの秘密鍵またはクライアントの秘密鍵で複合化される。この結果、第1暗号化データを使った、前記クライアントとリソース間の通信が開始される。クライアントとネージャ・ホストデバイスはいずれも、前記クライアントを介して、前記第2ネットワークエンティティまたはリソース112のデータへのアクセスを希望する外部ユーザによって使用される電子機器であってもよい。
【0071】
このようにして、クライアント111とセキュリティマネージャ・ホストデバイス113の信頼関係が確立され、これを受けてセキュリティマネージャ・ホストデバイス113はクライアント111に第1識別子124を送信する権限を有することになる。この識別子は、リソースに第1暗号化データ131を第1ネットワークエンティティまたはクライアント111へ提供して、前記第1暗号化データ131に基づいた安全な通信を開始するように指示するものである。
【0072】
したがってクライアント111は、セキュリティマネージャ1131から権限を与えられた場合のみ、リソースとの安全な通信を開始することができる。こうしてクライアントとリソース間の信頼関係が確立される。
【0073】
よって本発明は、クライアントとリソース間の安全なネットワーク通信を確立する方法に関する。この方法は、セキュリティマネージャとクライアント間で信頼関係を確立するステップと、セキュリティマネージャで第1識別子124を生成して、その識別子をセキュリティマネージャからクライアントに送信するステップと、第1識別子124をクライアントからリソースへ転送するステップと、リソースでの第1識別子124の有効性を確立し、リソースからクライアントへ第1暗号化データ131を転送するステップと、第1暗号化データ131を使って、クライアントとリソース間でその後のネットワーク通信12を行うステップを含む。
【0074】
この方法の他の形態として、セキュリティマネージャとクライアント間の信頼関係を確立するステップはさらに、クライアントに関する第2識別子123を、クライアントからセキュリティマネージャへ送信するステップと、セキュリティマネージャで第2識別子123の有効性を確立するステップを含む。
【0075】
この方法の他の形態として、第1識別子の生成に先立って、リソースとセキュリティマネージャ間の信頼関係を確立するステップが含まれる。
【0076】
本発明の他の実施形態では、前記リソースと前記セキュリティマネージャとの間の信頼関係を確立する前記ステップは、前記セキュリティマネージャに関する第3識別子122を前記セキュリティマネージャから前記リソースへ送信するステップと、前記リソースにおいて、前記第3識別子122の有効性を確立するステップとをさらに備える。
【0077】
本発明の他の実施形態では、前記リソースと前記セキュリティマネージャとの間の信頼関係を確立する前記ステップは、前記リソースに関する第2暗号化データ132を前記リソースから前記セキュリティマネージャへ送信するステップと、前記第2暗号化データ132を使用して、前記リソースと前記セキュリティマネージャとの間におけるその後のネットワーク通信11を実行するステップとをさらに備える。
【0078】
本発明の他の実施形態では、前記リソースと前記セキュリティマネージャとの間の信頼関係を確立するステップは、前記リソースに関する第4識別子121を前記リソースから前記セキュリティマネージャへ送信するステップと、前記セキュリティマネージャにおいて、前記第4識別子121の有効性を確立するステップとをさらに備える。
【0079】
本発明の他の実施形態では、前記リソースと前記セキュリティマネージャとの間の信頼関係を確立する前記ステップと、前記セキュリティマネージャと前記クライアントとの間の信頼関係を確立する前記ステップと、前記クライアントと前記リソースとの間の信頼関係を確立する前記ステップのうち、少なくとも1のステップが繰り返される。
【0080】
本発明の他の実施形態では、前記少なくとも1のステップの繰り返しは、予め定められた時間間隔もしくは任意の時間間隔で実行される。
【0081】
本発明は、クライアントとリソースとの間で安全なネットワーク通信を行うための通信ネットワークであって、第1クライアントメディエータおよび第2クライアントメディエータが設けられたクライアントと、第1リソースメディエータおよび第2リソースメディエータが設けられたリソースと、第1識別子を生成し、それを前記第2クライアントメディエータへ送信するセキュリティマネージャとを備える通信ネットワークという観点から説明されてもよい。
【0082】
前記第2クライアントメディエータと前記第2リソースメディエータは、前記クライアントと前記リソースとの間で信頼関係を確立するように構成される。
【0083】
前記第2クライアントメディエータの構成は、前記第2クライアントメディエータが、前記セキュリティマネージャから前記第1識別子124を受信し、前記第1識別子124を有効化のために前記リソースに送信し、前記リソースから第1暗号化データ131を受信し、前記第1暗号化データ131を使用して、前記リソースとの間で安全なネットワーク通信12を行う構成である。
【0084】
前記第2リソースメディエータの構成は、前記第2リソースメディエータが、前記第1識別子の有効性を確立し、前記第1暗号化データ131を前記クライアントへ送信し、前記第1暗号化データ131を使用して、前記クライアントとの間で、その後のネットワーク通信12を行う構成である。
【0085】
この方法は、ユーザが任意の数のモバイルデバイスを利用して分散アプリケーションによって企業ネットワークへアクセスし、当該アクセスの安全性が確保されなければならないシナリオに適用できる。言い換えると、複数のデバイスとプライベートネットワークは互いにセッションキーを交換し、少なくとも1つのエンティティが秘密鍵を保持してデータ署名を行うことで相互認証を行う。本発明は、たとえば企業対被雇用者のシナリオに非常に適している。
【0086】
この方法は、信用されないかもしれないネットワーク上を介して通信するあらゆる当事者間で信頼性を構築する際の先行技術の欠点を克服しており、その結果、企業ネットワークが、商取引などのあらゆる通信イベントに関連するすべてのエンティティの身元に関する証明を得ることができる。この仕組みと同様に、別々のデバイスの集まりに含まれるすべてのモバイルクライアントデバイスは、各々、同じ集まりに属する他のモバイルデバイスと企業ドメインの身元証明を持っている。またモバイルデバイス間、およびモバイルデバイスとネットワーク間で授受されるメッセージは傍受および修正(喪失を含む)から保護され、通信イベントが明らかにされるので、通信は拒絶されない。
【0087】
本方法は、クライアントデバイスの数と種類が不明であって、モバイルデバイス同士、およびモバイルデバイスと企業ネットワーク間が信頼されていない環境に適用できる。
【0088】
またセキュリティマネージャの公開鍵で第1暗号化データ131を暗号化することによって、セキュリティマネージャ(および間接的にリソース)の安全性は強化されることとなる。なぜなら、第1暗号化データを送信する際には、クライアントが第1暗号化データを使用するに先立ち、クライアント同盟が依然として機能していることが必要だからである。
【0089】
セキュリティマネージャとクライアントがクライアント同盟に属していることを証明するために、セキュリティマネージャとクライアント、およびクライアントとリソースの認証が一意のまたは任意の間隔で繰り返される。この思想に基づき、同盟に属することなくクライアントデバイスが極秘の企業データにアクセスするという可能性は排除することができる。
【0090】
図6は本発明の第2実施形態に係る、クライアントデバイスとリソース間で安全なネットワーク通信を確立する方法を示す。
【0091】
上述の実施形態を改良した、図6に示される本発明の実施形態によると、第1ネットワークエンティティまたはクライアント111には第1クライアントメディエータ1111および第2クライアントメディエータ1112が設けられており、第2ネットワークエンティティまたはリソース112には第1リソースメディエータ1123および第2リソースメディエータ1124が設けられている。これらのメディエータは、ハードウェア、ファームウェアまたはソフトウェア、あるいはそれらの組み合わせによって実行される。
【0092】
第1クライアントメディエータ1111はセキュリティマネージャ1131と相互作用して、第1ネットワークエンティティまたはクライアント111と、セキュリティマネージャ113を含むセキュリティマネージャ・ホストデバイスの信頼関係を確立する。第2クライアントメディエータ1112は、セキュリティマネージャ1131から前記第1識別子124を受け取って、それを第2ネットワークエンティティまたはリソース112の第2リソースメディエータへ転送する。次にリソースで、上述したように、第1識別子124を認証するプロセス9が実行される。第1識別子124が有効であると判断された場合、第2リソースメディエータは第1暗号化データ131をメッセージ10でクライアント111の第2クライアントメディエータへ送信する。これを受けて第2クライアントメディエータ1112は、第1暗号化データ131を使用してリソースの第2リソースメディエータと安全な通信12を開始する。
【0093】
セキュリティマネージャ・ホストデバイス113のセキュリティ部1131の安全性とは、セキュリティマネージャと第2ネットワークエンティティまたはリソースの間に信頼関係があることを意味する。すなわち、第1識別子が、信頼されたセキュリティ部で生成されたことが判明した場合、リソース112は、本発明で想定される、当該リソースとセキュリティマネージャ1131、およびクライアント111とセキュリティマネージャ1131間の信頼関係に基づいてクライアント111との通信を安全に開始することができる。
【0094】
セキュリティマネージャは不正操作できないように構成され、さらに、ユーザの信用証明を保持するように構成されている。セキュリティマネージャは、ベアラーデバイスまたはセキュリティマネージャ・ホストデバイスと一体であってもよい。ベアラーデバイスとクライアントデバイスなど、異なるモバイルデバイス間で通信リンクが確立される。これらのデバイスに、パスワード入力用のソフトウェアコンポーネントが設けられてもよい。
【0095】
図7は、本発明の第三実施形態に係る、クライアントデバイスとリソース間で安全なネットワーク通信を確立する第二の方法を示す。
【0096】
これまで述べてきた実施形態をさらに改良したものである図7は、クライアント111とセキュリティマネージャ・ホストデバイスの信頼関係が、各々、第1クライアントメディエータ1111およびセキュリティマネージャ1131によってどのように確立されるかをさらに具体的に示す。第1クライアントメディエータ1111は、第2識別子123をメッセージ5でセキュリティマネージャ・ホストデバイス113のセキュリティマネージャ1131へ送信する。そしてセキュリティマネージャ1131で処理ステップ6が実行され、第2識別子123の有効性が確立される。第2識別子123が適切なクライアントデバイスを表し有効であると判断された場合、第1識別子124がセキュリティマネージャ1131で生成される。第1識別子124は、クライアントにサーバへのアクセス権限を与える仮の証明書である。第1識別子124は、メッセージ7でクライアントデバイスへ送られる。そしてクライアントデバイスは、第1識別子をメッセージ8でサーバへ送信する。サーバはこの第1識別子に対して有効化処理9を実行する。この有効化処理は、たとえば、受信した識別子がセキュリティマネージャで実際に生成されたものであって、そのセキュリティマネージャがクライアントにリソースへのアクセス権限を与えたことを判定するステップを含む。この有効化処理9が成功した場合、サーバ112は暗号化または安全な通信を可能にするセッションキーやデータなどの第1暗号化データ131を生成し、当該データをメッセージ10でクライアントデバイスへ送信する。この第1暗号化データは、証明書である第1識別子124の公開鍵で暗号化される。
【0097】
次に、クライアントデバイスとサーバ間でセキュアチャネル12が確立され、プライベートネットワークへのアクセスが可能になる。セキュアチャネルは、サーバ112がセキュリティマネージャ・ホストデバイス113のセキュリティマネージャ1131を信頼し、これによってクライアント111との信頼関係を確立することが可能になるため、クライアント111からの第1識別子124の受信によってサーバまたはリソース112が、クライアント111も信頼できるとの認識に基づいて確立される。これに基づき、第2ネットワークエンティティまたはリソース112が、第1暗号化データ131を第1ネットワークエンティティまたはクライアント111に送信する。
【0098】
図8は、本発明の第4実施形態に係る、クライアントデバイスとリソース間で安全なネットワーク通信を確立する方法を示す。
【0099】
上述の実施形態を改良した同図では、リソース112とセキュリティマネージャ・ホストデバイス113のセキュリティマネージャ1131間の信頼関係がどのように確立されるかがさらに具体的に示される。この実施形態では、第3識別子122がセキュリティマネージャ1131からリソース112の第1リソースメディエータ1123へ送られる。この第3識別子122は、リソース112によって発行された証明書を含む。第1リソースメディエータ1123は、第3識別子112を受信するとともに、処理ステップ2において第3識別子122の有効性を判定する。第3識別子122が有効である、すなわち、第2ネットワークエンティティまたはリソースから信頼されたエンティティによって発行されたと判断されると、第2ネットワークエンティティまたはリソース112の第1リソースメディエータは、セキュリティマネージャ・ホストデバイス113のセキュリティマネージャ1131へ第2暗号化データ132を送信する。こうしてセキュリティマネージャ1131は、リソース112と安全な通信11を開始する。
【0100】
図9は、本発明の第5実施形態に係る、クライアントデバイスとリソース間で安全なネットワーク通信を確立する方法を示す。
【0101】
上述の各実施形態さらに改良した本実施形態によると、リソース112の第1リソースメディエータ1123はセキュリティマネージャ1131へ第4識別子121を送信する。そしてセキュリティマネージャ1131で処理ステップ4が実行され、第4識別子の有効性が確立される。この結果、安全な通信11の開始に先立ち、相互の信頼関係が確立される。この第4識別子は、リソースの証明書である。
【0102】
図10は本発明の実施形態に係るリソースをさらに具体的に示す。
【0103】
この実施形態では、リソース112は記憶手段1121と処理手段1122を備える。リソースは本来有する機能に加えて、処理機能、記憶機能、またはそれらの組み合わせを持つ独立の構成要素を含む拡張ネットワークを備えてもよい。このように、本発明のリソースのコンポーネントは複数の分離したエレメントに対して配布される。本発明のリソース112は、少なくとも本発明のクライアント(図示されていない)と通信を行う手段を備えてもよい。記憶手段1121は、リソースの証明書である第4識別子121を格納する。記憶手段1121はさらに、クライアント111が本発明におけるアクセスを試みるデータ1125を格納する。このデータは静的データ、アプリケーションデータ、通信データのストリーム、クライアントで生成されたデータをリソース内で処理することによって得られるデータ、または外部クライアントがアクセスを所望する多数のリソースのいずれかを含む。処理手段1122は第1リソースメディエータ1123および第2リソースメディエータ1124を備える。第1リソースメディエータ1123は、すでに述べたように、リソースに含まれる一般的な通信手段(図示されていない)によって、セキュリティマネージャ1131と通信を行う。また第1リソースメディエータ1123は、第2暗号化データ生成器1126および第3識別子バリデータ1127と通信を行う。第3識別子バリデータ1127は、本発明にしたがってセキュリティマネージャ1131から第3識別子122を受信し、その有効性を判断する。第3識別子バリデータ1127は、第2暗号化データ生成器1126と接続され、第2暗号化データ132の生成および発行を第2暗号化データ生成器1126に促す。第2暗号化データは、記憶手段に格納された第4識別子121とともに、セキュリティマネージャ1126へ返送される。また第2暗号化データ生成器は記憶手段1121に接続されて、その内部に格納された情報に基づいて第2暗号化データ132を生成する。
【0104】
第2リソースメディエータ1124は、リソースに含まれる一般的な通信手段(図示されていない)によって、第2クライアントメディエータ1121と通信を行う。また第2リソースメディエータ1124は、第1暗号化データ生成器1128および第1識別子バリデータ1129と通信を行う。本発明に係る第1識別子バリデータ1129は、第2クライアントメディエータから第1識別子124を受信し、その有効性を判断する。第1識別子バリデータ1129は、第1暗号化データ生成器1128に連結されており、これによって、第2クライアントメディエータ1121に返送する第1暗号化データ131の生成および発行を第1暗号化データ生成器1128に促す。また第1暗号化データ生成器は記憶手段1121に連結されており、その内部に格納された情報に基づいて第1暗号化データ132を生成する。
【0105】
本発明は、ネットワーク上での安全な通信を開始するように、第1リソースメディエータの動作によってセキュリティマネージャと信頼関係を確立するように構成されたリソースにおいて具体化される。第2リソースメディエータは、セキュリティマネージャによって生成されてクライアントへ送信された後にリソースに転送された第1識別子124の有効性を確立し、リソースにおいて第1暗号化データ131をクライアントへ送信し、この第1暗号化データを使ってクライアントと新たな通信12を実行するように構成されている。
【0106】
図11は本発明の実施形態に係るセキュリティマネージャをさらに具体的に示す。
【0107】
図11に示されるように、セキュリティマネージャ1131が組み込まれたセキュリティマネージャ・ホストデバイス113が提供される。セキュリティマネージャは、処理手段1138と記憶手段1137、およびセキュリティマネージャに割り当てられたタスク(以下で述べる)を実行するために必要な他の構成要素を備える。図11に示されるようにセキュリティマネージャは、第1リソースメディエータによって提供された第4識別子の有効性を確立するための第4識別子バリデータ1134と、第1クライアントメディエータによって提供された第2識別子の有効性を確立するための第2識別子バリデータを備える。この有効化処理は、上述した有効化処理4および有効化処理6である。これらの機能は実質的には処理手段1138によって実行される。またセキュリティマネージャ1131は、第3識別子122を第1リソースメディエータに、第1識別子124または第1命令を第2クライアントメディエータに提供するように構成されている。各識別子は単に記憶手段1137に格納されたり、処理手段1138で生成されたり、記憶手段に格納されたデータに基づいて処理手段で生成されたり、あるいはたとえばリアルタイムクロックから得られたりする。
【0108】
上述したように、セキュリティマネージャ・ホストデバイス113はセキュリティマネージャ1131を含む。セキュリティマネージャ1131は、処理手段1138および記憶手段1137を備える。記憶手段と処理手段は、既存の演算システムの方法で協働する。記憶手段1137は、当業者が容易に思い浮かべるあらゆるデータ記憶装置を含む。たとえば、記憶手段はハードドライブ、固体メモリ、EEPROMである。記憶手段は、第2ネットワークエンティティまたはリソース112によって発行された証明書である第3識別子122と、上述したように、第1ネットワークエンティティまたはクライアント111向けの第1暗号化データ131を発行する許可を与えるためにリソースによって認識される第1識別子124を格納する。記憶手段1137は、上述したように、第3識別子122を第1リソースメディエータ1123に、第1識別子124を第2クライアントメディエータ112に送信する。この送信は、処理手段1138が制御して、セキュリティマネージャ・ホストデバイスに備わったネットワーク通信手段を介して実行される。また既に述べたように、処理手段1138は、第1リソースメディエータから第4識別子を、第1クライアントメディエータから第2識別子を受信するとともに、第4識別子バリデータ1134で第4ネットワーク識別子を認証する処理ステップ4と、第2識別子バリデータ1136で第2識別子を認証する処理ステップ6を実行する。また第4識別子バリデータは、第4識別子の有効性がひとたび確立されると、上述したように、記憶手段1137から第1リソースメディエータ1123へ第3識別子122が送信されるように構成されており、この結果、2者間の相互認証が行われる。これと同じく、第2識別子バリデータは、第2識別子の有効性がひとたび確立されると、記憶手段1137から第2クライアントメディエータ112へ第1識別子124が送信されるように構成されており、この結果、2者間の相互認証が行われる。
【0109】
イベントのシーケンスは上記のとおりであるが、他のイベントのシーケンスであってもよい。
【0110】
セキュリティマネージャ・ホストデバイスを本発明で採用するか否かは自由である。しかしながらセキュリティマネージャ・ホストデバイスは、他のクライアントデバイスおよびリソースと通信を行うための通信手段1133と、ユーザ14と通信を行うためのユーザインタフェース1130を備えることが好ましい。セキュリティマネージャは、セキュリティマネージャ・ホストデバイスがユーザ、クライアント、リソースなどからの通信を正確に受け渡すように制御するホストインタフェース1132を備える。このホストインタフェース1132は処理手段1138に実装されてもよい。
【0111】
セキュリティマネージャ・ホストデバイスまたはセキュリティマネージャ1131は、非対称暗号化のための秘密鍵と公開鍵のペアと、対称暗号化用のセッションキーを格納する。モバイルユーザは、証明書発行機関(さらには他のエンティティ)に不可欠な証明書、個人識別番号(PIN)、セキュリティマネージャにアクセスしてそれを起動するためのパスフレーズやパスワードを有する。セキュリティマネージャ・ホストデバイスまたはセキュリティマネージャ1131は、ユーザ証明書の取り消しリストを格納してもよい。またセキュリティマネージャは、適切な鍵生成処理によって秘密鍵/公開鍵のペアを生成することなど、その外部に秘密鍵を公開することなくセキュリティに関連するすべての動作を実行する機能がある。セキュリティマネージャはモバイルユーザに対して、自身の証明書機関CAのリストと証明書を管理することを認めなければならない。またセキュリティマネージャは、証明書の送信、他のエンティティの公開鍵を使ったデータの暗号化、他のエンティティの多数の証明機関(CA)の認証に対処する。あるいはこれらの機能は、あらかじめ定められたセキュリティ分類に属する、信頼されたクライアントデバイスに委託してもよい。セキュリティマネージャは 好ましくはXS.17、FIPS 186-2適合の乱数を生成するための暗号用疑似乱数生成器を備えてもよい。またリアルタイムクロックを実装してもよい。
【0112】
第1識別子または第1命令124は、リソース112またはクライアント111などの本発明のネットワーク内の他の構成要素に、本発明にしたがって割り当てられたタスクを実行させるコーディングを含む。コーディングは、個々の構成要素によって直接解読可能なフォーマットに暗号化された命令を、デバイスの一般の低レベルコードから、そのデバイスで動作する特定のアプリケーションによってのみ解読可能な命令までを含むさまざまな実施レベルにおいて混合することである。
【0113】
実装されたすべての機能とセキュリティマネージャ内のユーザの信用証明は、信頼されたエンティティによって発行される。企業対被雇用者のシナリオにおいて、信頼されたエンティティは企業自身であってもよい。
【0114】
このように本発明は、ネットワークで安全な通信を確立するためのセキュリティマネージャにおいて具体化される。このセキュリティマネージャは、第1識別子124または第1命令を生成するとともに、この命令を、解読用にクライアントに組み込まれた第2クライアントメディエータに送信するように構成されている。第1命令は、第2クライアントメディエータに当該命令を第2リソースメディエータへ転送することを促す。
【0115】
また第1識別子命令は、第2リソースメディエータが前記第1命令を有効化するための有効化処理9と、第1暗号化データ131の第2クライアントメディエータへの送信と、第1暗号化データ131を使用しているリソースとのその後のネットワーク通信12を行うことを促すために生成される。
【0116】
図12は、本発明の1実施形態に係る、クライアントデバイスをさらに具体的に示す。上述したようにクライアントデバイス111は、本発明を実行するように構成された、ラップトップコンピュータ、携帯電話、PDAなどの既存のデバイスである。したがってクライアントデバイス111は、記憶手段1114、処理手段1113を備える。クライアントデバイスは、セキュリティマネージャ1131と相互作用する第1クライアントメディエータと、セキュリティマネージャ1131および第2リソースメディエータ1124の双方と相互作用する第2クライアントメディエータを備える。またクライアントデバイス111は、ユーザ14と通信を行うためのユーザインタフェース1110を備えてもよい。クライアントデバイス111は他のクライアント、セキュリティマネージャ1131を仲介にするセキュリティマネージャ・ホストデバイス113およびリソース112と通信を行うための通信手段を備える。ユーザインタフェース1110および通信手段1115は、処理手段1115によって制御される。
【0117】
このように本発明は、リソースとの安全な通信を開始するように構成された、第1クライアントメディエータと第2クライアントメディエータを備えたクライアントで具体化される。クライアントは、第1クライアントメディエータの動作によって、セキュリティマネージャと信頼関係を確立するように構成されている。第2クライアントメディエータと、リソースに組み込まれた第2リソースメディエータは、各々、クライアントとリソース間で信頼関係を確立するように構成される。
【0118】
第2クライアントメディエータへの適用においては、第2クライアントメディエータが、セキュリティマネージャによって生成された第1識別子124をセキュリティマネージャから受信し、リソースから第1暗号化データ131を受信し、第1暗号化データ131を使用してリソースとその後のネットワーク通信12を行うように構成されることを含む。
【0119】
第2リソースメディエータへの適用においては、第2リソースメディエータが、第1識別子124の有効性を確立し、第1暗号化データ131を送信し、第1暗号化データを使用しているリソースとその後のネットワーク通信12を行うように構成されることを含む。
【0120】
第6の実施形態では、セキュリティマネージャとリソースが相互に認証を行い、それによって生成されたセッションキーがセキュリティマネージャに送信される。次に、セキュリティマネージャとラップトップが互いに認証する。ラップトップは当事者リクエストを送信して認証を開始する。このステップがないと企業ドメインが接続要求を受け付けないので、あることが好ましい。スマートカードなどのセキュリティマネージャは、ラップトップのアイデンティティを認証し、あるいは言い換えると、ラップトップの証明書を認証して、企業ネットワークとの間で認証を行うためにラップトップが使う仮の証明書を発行する。仮の証明書が企業ネットワークによって承認されると、セッションキーが生成され、セキュリティマネージャの公開鍵(あるいはラップトップの公開鍵)で暗号化された後にラップトップに返送される。
【0121】
セキュリティマネージャの公開鍵でセッションキーを暗号化することによって、セキュリティマネージャ(そして間接的には企業ドメイン)の安全性が高まる。なぜなら、セッションキーを送信する際には、モバイルデバイスがセッションキーを使用することに先立って、クライアント同盟が依然として機能している必要があるためである。
【0122】
セキュリティマネージャとラップトップデバイスが依然として同盟に属することを保証するために、セキュリティマネージャとラップトップ、およびラップトップと企業ネットワークの認証は所定のまたは任意の間隔で繰り返される。このことが一般規則として定められれば、同盟に参加することなくクライアントデバイスが秘密の企業データにアクセスすることはなくなる。
【0123】
<クライアント同盟のブートストラッピング>
認証には、関連するデバイスの性質に応じて証明書、個人識別番号(PIN)およびパスワードのいずれが使われてもよい。認証および個人識別番号は、セキュリティマネージャがスマートカードなどである場合には特に都合がよく、パスワードは(可能であるなら証明書とともに)ラップトップまたはPDAの場合に使うことが想定される。証明書は、企業に直接または第三者のいずれかによって生成される。これは、ラップトップまたはPDAなどの任意のデバイスが認証されてクライアント同盟に参加する場合には重要である。
【0124】
図13は、本発明の第7実施形態に係る、クライアントデバイスとリソース間で安全なネットワーク通信を確立する方法を示す。
【0125】
上記の実施形態は、同盟に参加する外部デバイスが、自身を証明するためのデータを持つケースにおいて特に適切である。しかしながら、そのようなデータが利用できなかったり、認証には不向きであったりすることがある。
【0126】
この実施形態では、セキュリティマネージャが有効な信用証明を複数保持している。これらの複数の信用証明は、生成され、クライアントデバイスなどの外部デバイスに送信される。ゆえに本実施形態は、安全な通信または「ダイナミック・ウェブ・オブ・トラスト」のブートストラッピングに関する。そのようなタスクに関連する問題は、安全でないチャネル上でセキュリティマネージャとクライアントデバイスを接続することと、ユーザの信用証明を生成してそれを転送することを含む。
【0127】
本発明の実施形態は、セキュリティマネージャが信用証明を保持するとともに、鍵生成などの暗号化を行うための各機能を実行するという制約に基づいている。またセキュリティマネージャ、あるいはセキュリティマネージャ・ホストデバイスもしくはベアラーデバイス(セキュリティマネージャを実行するモバイルデバイスなど)は、認証、鍵生成、および配布プロトコルに対応していなければならない。また、外部のクライアントデバイスは対称暗号化および非対称暗号化を実行することができ、セキュリティマネージャとベアラーデバイスと同じ認証および鍵管理プロトコルを実行し、パスワード、PINまたはパスフレーズを使ったユーザ認証に対応するという制約がある。
【0128】
セキュリティマネージャ113とクライアントデバイス111間には、セキュアチャネル13が確立される。チャネル13は、インターネットキー交換プロトコル、ディフィーへルマン鍵交換、ブルートゥースデバイス接続、および当業者が容易に思い浮かべるその他のプロトコルと類似の結果をもたらす、先行技術に関連して議論したあらゆる適切な手続きによって安全が確保される。
【0129】
使い捨てパスワード、PIN、コードまたは文字列などの識別子125が、ディスプレイスクリーン、可聴プロンプトなどのセキュリティマネージャ・ホストデバイス113のユーザインタフェース1130を介して、ユーザ14に通知される。ユーザ14は、クライアントデバイス111のユーザインタフェース1110に識別子125を入力する。次に識別子125は、チャネル13を介して、セキュリティマネージャ113に返送される。その結果、キーネゴシエーションおよび交換プロトコルがベアラーデバイスとモバイルデバイスによって実際に行われたことの証明書が発行される。
【0130】
上記の仮の証明書などの第1識別子または複数の信用証明124はセキュリティマネージャ113で生成される。
【0131】
この第1識別子は、チャネル13を介してメッセージ7でクライアントデバイス111に送信される。クライアントデバイスは、そのアイデンティティを証明するために、第1識別子124をメッセージ8でリソース112に送信する。
【0132】
この第1識別子に対し、サーバが有効化処理9を行う。この有効化処理は、受信した識別子がセキュリティマネージャで生成されたものであるか否かを判定するステップと、前記リソースへアクセスする権利を前記クライアントに与えるステップを含む。鍵のペアを送信する場合には、セキュアチャネルで行うことが好ましい。
【0133】
この有効化処理9が成功した場合、サーバ112は暗号化または安全な通信を可能にするセッションキーやデータなどの第1暗号化データ131を生成して、そのデータをメッセージ10でラップトップに送信する。この第1暗号化データは、証明書である第1識別子124の公開鍵で暗号化されることが好ましい。
【0134】
こうして、クライアントデバイスとサーバ間でセキュアチャネル12が確立され、プライベートネットワークへのアクセスが利用可能となる。
【0135】
ゆえに本発明に係る本実施形態によれば、リソースとセキュリティマネージャ間で信頼関係を確立するステップではさらに、前記セキュリティマネージャと、信頼されていないクライアントの間でチャネルを確立するステップと、前記信頼されていないクライアントの側でユーザ認証情報の入力をリクエストするステップと、前記ユーザ認証情報を前記セキュリティマネージャで認証するステップが実行されてもよい。
【0136】
この方法をさらに発展させた態様において、チャネルはセキュアチャネルであって、このセキュアチャネルは、インターネット鍵交換プロトコル、ディフィーへルマン鍵交換、およびブルートゥースデバイス接続、あるいは当業者が容易に思い浮かべるプロトコルを使って確立される。
【0137】
この方法をさらに発展させた態様において、ユーザ認証情報は、セキュリティトークン、使い捨てパスワード、個人識別番号、コードまたは文字列のうちの少なくともいずれか1つである。
【0138】
図14は、図13に示す実施形態をさらに発展させた、クライアントデバイスとリソース間で安全なネットワーク通信を確立する方法を示す。
【0139】
第9の実施形態では、上記に提案した方法は、たとえば弱連結の無線モバイルデバイス同士と、デバイスとプライベートネットワーク(たとえば企業ネットワーク)間に適用できる認証アルゴリズムおよび認証プロトコルを定義する。特に、ユーザの信用証明として証明書が使われる。本発明によればセキュリティマネージャは、認証データの認証と、仮の証明書の生成とそのモバイルデバイス間での配布と、仮の認証データを任意の間隔で再認証することを行う。仮の認証データは、企業ネットワークへアクセスするために、あらゆるデバイスに使用されうる。この処理は、プライベートネットワークが認識できるモバイルデバイスは、プライベートネットワーク自身に属するデバイスと同じ程度に信頼されることを保証する。
【0140】
第10の実施形態の方法は、セキュリティマネージャと企業ネットワークの認証を行うステップと、セキュリティマネージャおよび企業ネットワークにおいて、様々なモバイルデバイスの認証を行うステップと(なお、いずれのデバイスも信頼されている、すなわち証明書を発行されてその発行機関(企業)の支配下にあることが前提とされている)、セキュリティマネージャおよび企業ネットワークにおいて、第三者機関を出所とし、あらかじめインストールされた認証データ(証明書など)を有さないモバイルデバイスをいくつか含むモバイルデバイスの認証を行うステップとを含む。
【0141】
本発明は、モバイルデバイスと企業ネットワーク間で信頼できる通信関係と、あらかじめインストールされた共通の秘密情報を必要とすることなく、ビジネスアプリケーションへの円滑で安全なアクセスを実現する点で、先行技術に対して多くの利点を有する。
【0142】
とりわけ、本発明によってモバイルクライアントデバイス同士、およびモバイルクライアントデバイスと企業ネットワーク間の信頼関係の確立と、モバイルクライアントデバイス同士、およびモバイルクライアントデバイスと企業ネットワーク間の通信リンクが確立される。
【0143】
第2に、信頼と安全性のある通信リンクによって、モバイルユーザは企業ネットワークおよび当該ネットワークで実行される分配アプリケーションに時と場所を問わずアクセスできる。
【0144】
第3に、モバイルデバイスには、あらかじめインストールされた共通の秘密情報が必要とされないので、通信に参加することができる限り、信頼されたモバイルデバイスの集合に対して新規のデバイスの加入が受け付けられる。
【0145】
ユーザの信用証明で初期設定されると、セキュリティマネージャは新たな信用証明を生成し、それを認証済のまたは認証していないデバイスに送信してインストールする。
【0146】
本発明は、安全性のあるモバイルデバイス用分散アプリケーションを実行できるデバイスの任意の集合から形成される、トランスペアレントなセキュリティ環境を提供する。
【0147】
本発明は、さまざまなモバイルデバイスを使用する「一般販売委員」、およびユーザに厳密な認証を求めるモバイルデバイスなどのモバイルビジネスと、アイデンティティ認証、キーネゴシエーション、信頼関係の確立などの法人ビジネスへ適用するには特に都合がよい。
【0148】
上記の実施形態はすべて本発明の核となる発明の核となる概念に関するものであって、各実施形態のいずれか1つに関連して記載されたあらゆる特徴または詳細が他の実施形態に適用しうることは当業者に明らかである。
【0149】
【図面の簡単な説明】
【図1】 モバイル用の分散アプリケーションの一例を示す図である。
【図2】 第1の先行技術におけるネットワーク認証処理を示す図である。
【図3】 第2の先行技術におけるネットワーク認証処理を示す図である。
【図4】 第3の先行技術におけるネットワーク認証処理を示す図である。
【図5】 本発明の第一実施形態に係る、クライアントデバイスとリソース間で安全なネットワーク通信を確立する方法を示す。
【図6】 本発明の第二実施形態に係る、クライアントデバイスとリソース間で安全なネットワーク通信を確立する方法を示す。
【図7】 本発明の第三実施形態に係る、クライアントデバイスとリソース間で安全なネットワーク通信を確立する方法を示す。
【図8】 本発明の第四実施形態に係る、クライアントデバイスとリソース間で安全なネットワーク通信を確立する方法を示す。
【図9】 本発明の第五実施形態に係る、クライアントデバイスとリソース間で安全なネットワーク通信を確立する方法を示す。
【図10】 本発明の一実施形態に係る、リソースをさらに詳細に示す図である。
【図11】 本発明の一実施形態に係る、セキュリティマネージャをさらに詳細に示す図である。
【図12】 本発明の一実施形態に係る、クライアントデバイスをさらに詳細に示す図である。
【図13】 本発明の第6実施形態に係る、クライアントデバイスとリソース間で安全なネットワーク通信を確立する方法を示す。
【図14】 図13に示す実施形態をさらに改良した、クライアントデバイスとリソース間で安全なネットワーク通信を確立する方法を示す。

Claims (28)

  1. プロセッサおよびメモリを有するスマートカードを装着可能なクライアントとサーバとの間に安全なネットワーク通信を確立する方法であって、前記メモリがプログラムおよび前記スマートカードに関する識別子(122)を記憶し、
    スマートカードと前記クライアントとの間で信頼関係を確立するステップであって、前記クライアントに関するクライアント証明書(123)を前記クライアントから前記スマートカードへ送信するステップと、その有効性を前記スマートカードにおいて確認するステップとを含み、前記信頼関係は、前記プログラムを実行するプロセッサが前記クライアント証明書(123)を用いて確立するステップと、
    前記スマートカードから前記サーバに前記識別子(122)を送信するステップと、
    前記サーバが、前記スマートカードから送信された前記識別子(122)を用いて、前記スマートカードを認証して、前記スマートカードとの間に信頼関係を確立するステップと、
    前記スマートカードにおいてカード証明書(124)を生成し、前記信頼関係を確立した後に、前記スマートカードから前記クライアントへ前記カード証明書を送信するステップと、
    前記クライアントから前記サーバへ前記カード証明書(124)を送信するステップと、
    前記サーバにおいて、前記カード証明書(124)の送信元を確認することにより前記カード証明書(124)の有効性を確認するステップと、
    前記カード証明書(124)の有効性が確認された後で、前記サーバから前記クライアントへセッションキー(131)を送信するステップと、
    前記セッションキー(131)を使用して、前記クライアントと前記サーバとの間におけるその後のネットワーク通信(12)を実行するステップと
    を備える方法。
  2. 前記サーバと前記スマートカードとの間の信頼関係を確立する前記ステップは、
    前記スマートカードを認証した後で、前記サーバに関する暗号化データ(132)を前記サーバから前記スマートカードへ送信するステップと、
    前記暗号化データを前記スマートカードへ送信した後で、前記暗号化データ(132)を使用して、前記サーバと前記スマートカードとの間におけるその後のネットワーク通信(11)を実行するステップと
    をさらに備える請求項に記載の方法。
  3. 前記サーバと前記スマートカードとの間の信頼関係を確立するステップは、
    前記サーバに関する識別子(121)を前記サーバから前記スマートカードへ送信するステップと、
    前記スマートカードにおいて、前記識別子(121)の有効性を確認するステップと
    をさらに備える請求項またはに記載の方法。
  4. 前記サーバと前記スマートカードとの間の信頼関係を確立する前記ステップと、
    前記スマートカードと前記クライアントとの間の信頼関係を確立する前記ステップと、
    前記クライアントと前記サーバとの間の信頼関係を確立する前記ステップ
    のうち、少なくとも1のステップが繰り返される請求項1乃至の少なくともいずれかに記載の方法。
  5. 前記少なくとも1のステップの繰り返しは、予め定められた時間間隔もしくは任意の時間間隔で実行される請求項に記載の方法。
  6. 前記サーバから前記クライアントへ前記セッションキー(131)が送信された後で、前記サーバと前記クライアントとの間にセキュアチャネルを確立するステップをさらに備える請求項1乃至の少なくともいずれかに記載の方法。
  7. 前記セキュアチャネルは、インターネット鍵交換プロトコル、ディフィーへルマン、およびデバイスペアリングもしくはその他のブルートゥース、ののいずれか1を使用して確立される請求項に記載の方法。
  8. 前記クライアント証明書は、使い捨てパスワード、PIN、コードまたはフレーズのいずれか1である請求項に記載の方法。
  9. プロセッサおよびメモリを有するスマートカードを装着可能なクライアントとサーバとの間で安全なネットワーク通信を行うための通信システムであって、
    前記メモリがプログラムおよび前記スマートカードに関する識別子(122)を記憶し、
    前記クライアントは、第1クライアントプログラムおよび第2クライアントプログラムを実行可能であり
    前記サーバは、第1サーバプログラムおよび第2サーバプログラムを実行可能であり
    前記クライアントとの間で信頼関係を確立するスマートカードであって、前記クライアントに関するクライアント証明書(123)を前記クライアントから受信して、その有効性を確認するスマートカードを備え、
    前記スマートカードと前記サーバとの間の信頼関係は、前記プログラムを実行するプロセッサが前記クライアント証明書(123)を用いて確立し、
    前記スマートカードは、前記サーバに前記識別子(122)を送信し、
    前記サーバは、前記スマートカードから送信された前記識別子(122)を用いて、前記スマートカードを認証して、前記スマートカードとの間に信頼関係を確立し、
    前記スマートカードは、カード証明書(124)を生成し、前記カード証明書(124)を前記信頼関係の確立後に、前記第2クライアントプログラムへ送信
    前記第2クライアントプログラムと前記第2サーバプログラムは、前記クライアントと前記サーバとの間で信頼関係を確立するための命令群を含み
    前記第2クライアントプログラムは、前記クライアントに
    前記スマートカードから前記カード証明書(124)を受信し、
    前記カード証明書(124)を前サーバに送信し、
    前記カード証明書(124)を送信した後で、前記サーバからセッションキー(131)を受信し、
    前記セッションキー(131)を使用して、前記サーバとの間で安全なネットワーク通信(12)を行う
    処理を実行させるための命令群を含み、
    前記第2サーバプログラムは、前記サーバに
    前記カード証明書(124)送信元を確認することにより前記カード証明書(124)の有効性を確認し、
    前記カード証明書(124)の有効性が確認された後で、前記セッションキーを前記クライアントへ送信し、
    前記セッションキー(131)を使用して、前記クライアントとの間で、その後のネットワーク通信(12)を行う
    処理を実行させるための命令群を含む
    ことを特徴とする通信システム
  10. 前記第1サーバプログラムと前記スマートカードは、前記カード証明書(124)の生成に先立ち、前記信頼関係を確立する請求項に記載の通信システム
  11. 前記第1サーバプログラムは、前記サーバに関する第2暗号化データ(132)を前記サーバから前記スマートカードへ送信し、
    前記第2暗号化データ(132)を使用して、前記スマートカードとの間でその後のネットワーク通信(11)を実行するための命令群を含む
    請求項9または10に記載の通信システム
  12. 前記サーバと前記スマートカードとの間で信頼関係を確立する処理は、
    前記サーバが、前記サーバに関する識別子(121)を前記スマートカードへ送信うる処理と、
    前記スマートカードが、前記識別子(121)の有効性を確認する処理
    をさらに備える請求項11に記載の通信システム
  13. 前記サーバと前記スマートカードとの間に信頼関係を確立する処理と、
    前記スマートカードと前記クライアントとの間に信頼関係を確立する処理と、
    前記クライアントと前記サーバとの間に信頼関係を確立する処理
    のうち、少なくとも1の処理が繰り返される
    請求項乃至12のいずれかに記載の通信システム
  14. 前記少なくとも1のステップの繰り返しは、予め定められた時間間隔または任意の時間間隔で行われる請求項13に記載の通信システム
  15. 前記スマートカードは、前記サーバから前記クライアントへ前記セッションキー(131)が送信された後で、前記サーバとの間にセキュアチャンネルを確立する
    ことを特徴とする請求項乃至14のいずれかに記載の通信システム
  16. ネットワーク内で安全な通信を確立するスマートカードであって、
    プロセッサと、
    プログラムおよび前記スマートカードに関する識別子(122)を記憶したメモリと
    を有し、
    スマートカードとクライアントとの間に信頼関係を確立し、当該確立において、前記クライアントに関するクライアント証明書(123)を前記クライアントから受信し、前記プログラムを実行するプロセッサが前記クライアント証明書(123)を用いてその有効性を確認し、
    前記スマートカードから前記サーバに前記識別子(122)を送信し、
    カード証明書(124)を生成し、前記信頼関係の確立後に前記カード証明書(124)を、前記クライアントに組み込まれた解読用の第2クライアントプログラムに送信する
    ように構成され、
    前記カード証明書(124)の生成が、前記第2クライアントプログラムによる、前記カード証明書の第2サーバプログラムへの再送信を促し、
    前記カード証明書124の生成はさらに、前記第2サーバプログラム
    記カード証明書(124)の有効性確認し、
    前記カード証明書(124)の有効性が確認された後で、セッションキー(131)を第2クライアントプログラムへ送信し、
    前記セッションキー(131)を使用して前記クライアントとの間でその後のネットワーク通信(12)を実行するように促す
    ことを特徴とするスマートカード。
  17. 前記サーバに組み込まれた第1サーバプログラムが、前記スマートカードから送信された前記識別子(122)を用いて、前記スマートカードを認証して、前記スマートカードとの間に信頼関係を確立するための命令群を含む
    ことを特徴とする請求項16に記載のスマートカード。
  18. 前記カード証明書の生成に先立ち、前記サーバとの間に前記信頼関係を確立するように構成された請求項16または17に記載のスマートカード。
  19. 前記サーバへ前記スマートカードに関する識別子(122)を送信し、前記第1サーバプログラムが前記識別子(122)の有効性を確認する
    ことを特徴とする請求項16乃至18のいずれかに記載のスマートカード。
  20. 前記サーバに関する第2暗号化データ(132)を前記サーバから受信し、
    前記第2暗号化データ(132)を使用して、前記サーバとの間でその後のネットワーク通信(11)を行う
    ことを特徴とする請求項19に記載のスマートカード。
  21. 前記サーバへ前記スマートカードに関する識別子(121)を送信し、
    前記第1サーバプログラムは、前前記識別子(121)の有効性を確認することを特徴とする請求項20に記載のスマートカード。
  22. 前記スマートカードは、前記サーバから前記クライアントへ前記セッションキー(131)が送信された後で、前記サーバとの間にセキュアチャネルを確立する
    ことを特徴とする請求項16乃至21のいずれかに記載のスマートカード。
  23. プロセッサおよびメモリを有するスマートカードを装着可能であり、第1クライアントプログラムと第2クライアントプログラムを実行可能なクライアントであって、
    前記メモリがプログラムおよび前記スマートカードに関する識別子(122)を記憶し、
    前記クライアントは、前記第1クライアントプログラムの動作によって、スマートカードとの間に信頼関係を、前記プログラムを実行するプロセッサが前記クライアント証明書(123)を用いて確立
    前記第2クライアントプログラムと、サーバに組み込まれた第2サーバプログラムは、前記クライアントと前記サーバとの間の信頼関係を確立するための命令群を含み
    前記第2クライアントプログラムは、前記クライアント
    前記クライアントから前記クライアントに関するクライアント証明書(123)を送信して、前記クライアント証明書(123)の有効性を前記スマートカードが確認することにより、信頼関係を確立し、
    前記信頼関係の確立後、スマートカードによって生成されたカード証明書(124)を前記スマートカードから受信し、
    前記サーバからセッションキー(131)を受信し、前記セッションキー(131)を使用して、前記サーバとの間でその後のネットワーク通信(12)を行う構成であり、
    前記第2サーバプログラムの構成は、前記第2サーバプログラムが、
    前記カード証明書(124)の有効性を確認し、
    前記セッションキー(131)を前記クライアントへ送信し、
    前記セッションキー(131)を前記クライアントへ送信した後で、前記セッションキー(131)を使用して、前記クライアントとの間でその後のネットワーク通信(12)を行う
    処理を実行させるための命令群を含む
    ことを特徴とするクライアント。
  24. ネットワークでの安全な通信を開始するように構成されたサーバであって、
    第1のサーバプログラムおよび第2のサーバプログラムを実行可能であり、
    前記第1サーバプログラムの動作によって、前記スマートカードとクライアントとの間の信頼関係を示すカード証明書を受信することにより、前記クライアントとの間に信頼関係を確立
    前記第2サーバプログラムは、前記サーバに、
    前記スマートカードによって生成され、記ライアントに送信され、前記サーバに転送されたカード証明書(124)の有効性を確認し、
    セッションキー(131)を前記サーバの前記クライアントへ送信し、
    前記セッションキーを使用して、前記クライアントとの間でその後のネットワーク通信(12)を行う
    処理を実行させるための命令群を含む
    ことを特徴とするサーバ
  25. 前記第1サーバプログラムは、前記カード証明書の生成に先立って、前記サーバと前記スマートカードとの間に信頼関係を確立するための命令群を含む
    ことを特徴とする請求項24に記載のサーバ
  26. 前記第1サーバプログラムは、前記スマートカードから送信された、前記スマートカードに関する識別子(122)の有効性を確認する
    ことを特徴とする請求項24または25に記載のサーバ
  27. 前記第1サーバプログラムは、前記サーバに、
    前記サーバに関する第2暗号化データ(132)を、前記サーバから前記スマートカードに送信し、
    前記第2暗号化データ(132)を使用して、前記スマートカードとの間でその後のネットワーク通信(11)を行う
    処理を実行させるための命令群を含む
    ことを特徴とする請求項24乃至26のいずれかに記載のサーバ
  28. 前記第1サーバプログラム、前記スマートカードに、前記スマートカードに関する識別子(121)を送信するための命令群を含み
    前記スマートカードが前記識別子(121)の有効性を確認する
    ことを特徴とする請求項24乃至27のいずれかに記載のサーバ
JP2004571510A 2003-05-12 2003-05-12 ネットワークセキュリティ方法およびネットワークセキュリティシステム Expired - Fee Related JP4499575B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2003/004941 WO2004100487A1 (en) 2003-05-12 2003-05-12 Network security method and system

Publications (2)

Publication Number Publication Date
JP2006526184A JP2006526184A (ja) 2006-11-16
JP4499575B2 true JP4499575B2 (ja) 2010-07-07

Family

ID=33426939

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004571510A Expired - Fee Related JP4499575B2 (ja) 2003-05-12 2003-05-12 ネットワークセキュリティ方法およびネットワークセキュリティシステム

Country Status (5)

Country Link
EP (1) EP1623551B1 (ja)
JP (1) JP4499575B2 (ja)
AU (1) AU2003227747A1 (ja)
DE (1) DE60311328T2 (ja)
WO (1) WO2004100487A1 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7549048B2 (en) * 2004-03-19 2009-06-16 Microsoft Corporation Efficient and secure authentication of computing systems
JP4787730B2 (ja) * 2006-12-22 2011-10-05 Necインフロンティア株式会社 無線lan端末及び無線lanシステム
DE102007012749A1 (de) 2007-03-16 2008-09-18 Siemens Ag Verfahren und System zur Bereitstellung von Diensten für Endgeräte
US8910255B2 (en) 2008-05-27 2014-12-09 Microsoft Corporation Authentication for distributed secure content management system
US8881247B2 (en) 2010-09-24 2014-11-04 Microsoft Corporation Federated mobile authentication using a network operator infrastructure
JP7004654B2 (ja) * 2015-12-14 2022-01-21 アフェロ インコーポレイテッド モノのインターネット(IoT)デバイスを制御するための二次の通信チャネルを確立するためのシステム及び方法
US10382210B2 (en) 2016-01-10 2019-08-13 Apple Inc. Secure device pairing
CN112164220B (zh) * 2020-09-22 2022-08-02 江西锦路科技开发有限公司 一种高速公路服务区拥堵监测及自动导引系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001022702A (ja) * 1999-07-12 2001-01-26 Fujitsu Ltd 認証制御装置、認証制御システムおよび認証制御方法並びに記録媒体
JP3872616B2 (ja) * 1999-08-27 2007-01-24 財団法人九州システム情報技術研究所 共有鍵暗号型のicカードによるインターネット上のユーザー認証方式
JP3822474B2 (ja) * 2001-09-10 2006-09-20 日本電信電話株式会社 個人情報統合管理システム及びそのプログラム並びにそのプログラムを記録した媒体
JP2003115841A (ja) * 2001-10-05 2003-04-18 Ducomm Inc 電子認証方法および電子認証装置

Also Published As

Publication number Publication date
EP1623551A1 (en) 2006-02-08
JP2006526184A (ja) 2006-11-16
WO2004100487A1 (en) 2004-11-18
DE60311328T2 (de) 2008-02-07
EP1623551B1 (en) 2007-01-17
AU2003227747A1 (en) 2004-11-26
DE60311328D1 (de) 2007-03-08

Similar Documents

Publication Publication Date Title
Xu et al. An identity management and authentication scheme based on redactable blockchain for mobile networks
Hsu et al. Reconfigurable security: Edge-computing-based framework for IoT
KR101459802B1 (ko) 암호화 증명의 재검증에 기반을 둔 인증 위임
US8112787B2 (en) System and method for securing a credential via user and server verification
KR100827650B1 (ko) 그룹에 참여하도록 초대된 잠재적 회원을 인증하는 방법
US10554393B2 (en) Universal secure messaging for cryptographic modules
CN100580657C (zh) 分布式单一注册服务
US20100266128A1 (en) Credential provisioning
JP2005505991A (ja) 公衆サーバからコンテンツを要求した場合にクライアントのプライバシーを提供するための方法およびシステム
EP2586169A1 (en) Privacy preserving authorisation in pervasive environments
JP2010158030A (ja) セキュア通信をイニシャライズし、装置を排他的にペアリングする方法、コンピュータ・プログラムおよび装置
EP2984782A1 (en) Method and system for accessing device by a user
US20090199009A1 (en) Systems, methods and computer program products for authorising ad-hoc access
Togan et al. A smart-phone based privacy-preserving security framework for IoT devices
JP4807944B2 (ja) 秘密認証データの知識を必要としないチャレンジ−ベースの認証
JP4499575B2 (ja) ネットワークセキュリティ方法およびネットワークセキュリティシステム
CN113329003B (zh) 一种物联网的访问控制方法、用户设备以及系统
CN114553426B (zh) 签名验证方法、密钥管理平台、安全终端及电子设备
JP2017139026A (ja) 信頼できる認証およびログオンのための方法および装置
JP2000261428A (ja) 分散処理システムにおける認証装置
JP2015111440A (ja) 信頼できる認証およびログオンのための方法および装置
Ko et al. Viotsoc: Controlling access to dynamically virtualized iot services using service object capability
Mumtaz et al. Strong authentication protocol based on Java Crypto chips
Blog Kerberos vs. PKI
Gunjal et al. Enhancing Kerberos Security using Public Key and Context-Aware Access Control

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090519

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090721

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100413

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100415

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130423

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees