JP2003030143A - 携帯用記憶装置を用いるコンピュータネットワークセキュリティシステム - Google Patents

携帯用記憶装置を用いるコンピュータネットワークセキュリティシステム

Info

Publication number
JP2003030143A
JP2003030143A JP2002129289A JP2002129289A JP2003030143A JP 2003030143 A JP2003030143 A JP 2003030143A JP 2002129289 A JP2002129289 A JP 2002129289A JP 2002129289 A JP2002129289 A JP 2002129289A JP 2003030143 A JP2003030143 A JP 2003030143A
Authority
JP
Japan
Prior art keywords
storage device
password
portable storage
authentication
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002129289A
Other languages
English (en)
Other versions
JP3877640B2 (ja
Inventor
Dennis Bushmitch
デニス・ブッシュミッチ
Nasir Memon
ナサー・メモン
Sathya Narayanan
サスヤ・ナラヤナン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Publication of JP2003030143A publication Critical patent/JP2003030143A/ja
Application granted granted Critical
Publication of JP3877640B2 publication Critical patent/JP3877640B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • H04L63/064Hierarchical key distribution, e.g. by multi-tier trusted parties
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)
  • Burglar Alarm Systems (AREA)

Abstract

(57)【要約】 【課題】 安全かつ使い易いネットワークセキュリティ
を提供する。 【解決手段】 信用できるコンピュータネットワーク22
は関連する全URLを遮断する要塞ホスト及び選別ルータ
を備えるゲートウェイ32の後で保護される。要塞ホスト
は認証された遠隔クライアントからのURL要求を検証及
び変換する遠隔クライアント認証メカニズム及びウェブ
プロキシ部を備える。認証には携帯用記憶装置34に格納
されたワンタイムパスワードを用いる。ユーザはゲート
ウェイの保護側から設定ソフトウェアを操作し携帯用記
憶装置を設定する。携帯用記憶装置はクライアントコン
ピュータ20がワンタイムパスワードを引き出し認証メッ
セージを要塞ホストと交換することを可能にするプラグ
インソフトウェアを格納する。更なるセキュリティは暗
号化されたユーザPIN上でのワンタイムパスワードから
得られる。PIN暗号化に用いる対称キーは、携帯用記憶
装置内の保護エリアに格納される。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、一般に、コンピュ
ータネットワークセキュリティシステムに関する。特
に、本発明は、遠隔地にいる認証されたユーザによる、
遠隔クライアントを介した、安全なアクセスを可能にす
るセキュリティシステムに関する。前記遠隔クライアン
トは、ユーザが生成するワンタイムパスワードを格納し
ている携帯用記憶装置を利用する。
【0002】
【従来の技術】コンピュータネットワークが伝搬したウ
イルス及びウォームが拡散する中で、また、コンピュー
タネットワークへの不法侵入が増加する中で、コンピュ
ータのセキュリティに、今日、かなりの関心が集まって
いる。高度な技術を持つネットワーク管理者は、そのよ
うな攻撃を防止するために、安全なファイアウォールを
構築する。しかし、大部分のホームネットワークコンピ
ュータユーザを含む、あまり高度な技術を持っていない
システム管理者は、はるかに耐性が低いセキュリティ対
策しかとっていない。すなわち、現在、多くのホームコ
ンピュータネットワークは、全く無防備である。コンピ
ュータネットワークのセキュリティは、複雑な問題であ
り、多くのホームネットワークユーザは、彼らのネット
ワークが攻撃から保護されることを保証するための技術
を持っていないし、訓練も受けていない。
【0003】
【発明が解決しようとする課題】本発明は、非常に安全
で、かつ使い易いネットワークセキュリティの解決方法
を提供する。本発明は、ホームネットワークセキュリテ
ィに適用するのに理想的であり、ネットワーク管理者
は、多くの訓練を受ける必要がなく、また、セキュリテ
ィ問題に関する多くの経験も必要ない。
【0004】
【課題を解決するための手段】本発明は、1セットのワ
ンタイムパスワードを保持する携帯用記憶装置を用い
る。ホームネットワーク内の安全で有利な地点からのシ
ステムソフトウェアを用いて、ユーザは、1セットのワ
ンタイムパスワードを生成し、携帯用記憶装置に格納す
る。携帯用記憶装置は、遠隔クライアントコンピュータ
内にインストールされるか、または遠隔クライアントコ
ンピュータに接続され、これにより、この遠隔クライア
ントコンピュータは、ホームネットワークとの安全な接
続を、確立かつ認証することができる。各パスワード
は、1回だけ使用される。また、ホームネットワーク内
のセッション管理ソフトウェアは、セッションを所定の
長さの時間(例えば30分)に制限することができる。
ホームネットワークと遠隔クライアント間の通信は、な
るべく安全なチャネルを介して行うが、このチャネルを
介したワンタイムパスワードの通信は、更に、暗号化さ
れた形のユーザPIN番号を用いて保護される。このPIN番
号は、プラグインモジュールを用いている遠隔クライア
ントで暗号化される。前記プラグインモジュールは、暗
号化に用いるキーを引き出すために、携帯用記憶装置内
の保護エリアにアクセスする。
【0005】好ましい実施形態は、選別ルータとして機
能するファイアウォールを備えるホームゲートウェイの
形をとる。選別ルータは、ホームネットワーク上のコン
テンツにアクセスするための全ての要求を遮断する。ホ
ームネットワークと関連している全てのURLは、直接、
外部からアクセスすることができないので、保護された
URLとして維持される。遠隔クライアントは、認証後で
あっても、ホームネットワークを、直接、指し示すURL
を送出することはできない。認証されると、ホームネッ
トワークと通信するために、認証された遠隔クライアン
トに代わってウェブプロキシシステムが用いられる。プ
ロキシシステムは、URLの変更及び検証処理と共に動作
する。URL変更処理によれば、ウェブプロキシシステム
が、信用できるドメイン資源による正しい照会を可能に
する。一方、URL検証処理によれば、クライアントの信
頼性が検証される。URL変更処理は、それぞれの認証さ
れたクライアント、及び、それぞれの認証されたセッシ
ョンに対して、唯一のものである。このように、ある認
証されたクライアント、または、あるセッションのため
に変更されたURLは、他のクライアントによって再使用
されることはなく、さらに、同一のクライアントであっ
ても、後のセッションのために再使用されることもな
い。
【0006】好ましい実施形態においては、認証機能
は、ホームゲートウェイの一部を形成している要塞ホス
トシステムによって実現される。要塞ホストは、遠隔キ
ー認証処理を実行するためのソフトウェアを備えてい
て、これにより、遠隔クライアントは、携帯用記憶装置
から得られたワンタイムパスワードを用いて自身を認証
する。また、要塞ホストは、上述したURL検証及び変更
機能を実現する。
【0007】本発明は、このように、管理が容易であり
ながら、高いレベルのセキュリティを提供する。ユーザ
が遠隔クライアントコンピュータからホームネットワー
クにアクセスするために必要な全てのもの(ユーザの個
人認証(identification)番号を除く)は、携帯用記憶装
置に格納される。好ましい実施形態においては、この記
憶装置は、適切なブラウザプラグインソフトウェアを備
えていて、それは、遠隔クライアントコンピュータのブ
ラウザが、認証処理を実行することを可能にする。前記
認証処理は、適切なワンタイムパスワードにアクセス
し、このパスワードを使用する処理を含んでいる。
【0008】キーを配布するための信用できる第三者機
関のソースに頼る他のセキュリティシステムと異なり、
本発明は、ユーザが、信用できるホームネットワークサ
イトで設定ソフトウェアを操作することにより、自身の
キーを作成することを可能にする。ユーザは、設定ソフ
トウェアを用いて、携帯用記憶装置を設定し、この携帯
用記憶装置に1セットのワンタイムパスワードを供給す
る。
【0009】設定ソフトウェアは、また、ゲートウェイ
と接続された安全なデータベース内に、対応するセット
の認証コードをインストールする。このように、ゲート
ウェイと携帯用記憶装置の両方が、認証を実行するため
に必要な、対応するキーを供給する。これは、いかにし
て、遠隔クライアントがホームネットワークにアクセス
することを可能にするキーを、前記遠隔クライアント
に、安全に配布するかという問題を解決する。
【0010】以下の記述と、付随の図を参照すれば、本
発明と、その目的及び利点が、更に完全に理解されるで
あろう。
【0011】
【発明の実施の形態】本発明は、詳細な記述、及び、付
随の図から、更に十分に理解されるであろう。
【0012】図1は、好ましい実施形態の概観を示すシ
ステムブロック図である。
【0013】図2は、図1に示したシステムにおける、
好ましいゲートウェイの基本的な構成を示すブロック図
である。
【0014】図3は、図2に示したゲートウェイの動作
を理解するために有益なデータフロー図である。
【0015】図4は、図2に示したゲートウェイにおけ
る、認証及びプロキシモジュールを示す、さらに詳細な
ブロック図である。
【0016】図5は、図2に示したゲートウェイにおけ
る、ワンタイムパスワード認証メカニズムを示すブロッ
ク図である。
【0017】図6は、好ましい認証処理の詳細を示すブ
ロック図である。
【0018】図7は、好ましい認証処理を理解するため
に有益なデータフロー図である。
【0019】図8は、認証処理を示すシーケンス図であ
る。
【0020】図9は、図2にも示したゲートウェイのブ
ロック図であって、好ましい実施形態のウェブプロキシ
機能を示している。
【0021】図10は、ウェブプロキシモジュールの構
成要素のブロック図であり、ユニフォームリソースロケ
ータ(URL)の検証及び変更機能を示している。
【0022】図11は、携帯用記憶装置を初期化もしく
は設定するための好ましい処理を示している。
【0023】図12は、認証のためにクライアントブラ
ウザプラグインを用いる方法における、更に詳細な動作
を示すブロック図である。
【0024】以下の好ましい実施形態の記述は、単に現
存している具体例を示すものであって、本発明と、その
応用または使用を限定するものではない。
【0025】安全なネットワークアクセス構成の具体的
な手段を図1に示す。遠隔クライアント20は、ホームネ
ットワーク22と、インターネット24のような敵意のある
(安全性が低い)ネットワークを介して通信する。ホー
ムネットワーク22は、1台のコンピュータのように簡単
なものであってもよいし、フルスケールのローカルエリ
アネットワークのように複雑なものであってもよい。本
発明は、特に、高度な技術を持っていないユーザによる
使用に適しているので、図1に示したホームネットワー
クは、サーバ26と、プリンタ28と、1組のデスクトップ
もしくはラップトップコンピュータ30とを備える、かな
り簡単なローカルエリアネットワークとなっている。な
お、ここには、簡単なホームネットワークが示されてい
るが、本発明の原理を、オフィスや公共機関や大学等に
見られる、より大きなネットワークに、容易に拡張する
ことが可能だということは、明らかである。
【0026】セキュリティの観点から見ると、ホームネ
ットワーク22は、信用できるネットワークである。一
方、インターネット24は、敵意のあるネットワークであ
る。ホームネットワークのシステムオペレータは、認証
されたユーザのみが、このホームネットワークにアクセ
スし、そのサービスを使うことができるように、このホ
ームネットワークを設定することができる。しかし、ホ
ーム管理者は、インターネット24に対しては、同様の制
御を行うことができない。従って、敵意のある側から信
用できる側を分離するために、本発明は、ゲートウェイ
装置32を備えている。ゲートウェイ装置の詳細について
は、より十分に後述する。本質的に、このゲートウェイ
は門番としての役割を果たし、認証されていないホーム
ネットワークへのアクセスを全て遮断する。ゲートウェ
イ装置は、また、認証処理を仲介する機能を有してい
る。これによって、遠隔クライアント20は、自身を認証
し、その結果、ホームネットワーク22上のサーバ26にア
クセスすることが可能になる。
【0027】本発明の認証メカニズムのキーとなる構成
要素は、携帯用記憶装置(device)34である。そのような
装置が、図1に2つ示されている。1つはAに配置され
ていて、もう1つはBにおける遠隔クライアントによっ
て用いられている。ゲートウェイ装置は、携帯用記憶装
置を初期化かつ設定するための適切な記録装置36を備え
ている。携帯用記憶装置34は、様々な形をとることがで
き、CD-ROM、DVD、CD-R、DVD-RAM、フラッシュメモリ、
及び、その他のハードディスクを用いた媒体、または、
固体メモリを含んでいる。図1には、例として、CD-ROM
が示されている。
【0028】本発明の1つの形態によれば、いかなる携
帯用記憶装置も、遠隔キー格納メカニズムとしての働き
をすることができる。しかし、ここでの好ましい実施形
態においては、携帯用記憶装置が安全な保護されたエリ
アを有することによって、保護レベルが、さらに追加さ
れている。この保護されたエリアの詳細については、よ
り十分に後述する。
【0029】携帯用記憶装置34は、安全なキーの配布メ
カニズムとして機能する。ユーザは、ホームネットワー
クの境界線内で、携帯用記憶装置を初期化かつ設定す
る。更に具体的には、好ましい実施形態において、ユー
ザは、ゲートウェイ内に構成されている、携帯用記憶装
置に対する安全なインターフェースを用いて、これを達
成する。そして、前記携帯用記憶装置は、厳格に制御さ
れた安全な方式で、ゲートウェイ上で動作する、安全な
ソフトウェアモジュールを用いる。好ましい実施形態に
おいて、ゲートウェイは、キーが格納される安全なデー
タベースを備えている。このデータベースは、同様に、
厳格に制御された安全な存在であって、ゲートウェイ上
で動作する安全なソフトウェアモジュールによってのみ
アクセスされる。
【0030】将来、分散された環境の全域で、インター
フェース及びソフトウェアモジュールのセキュリティを
維持することを可能にする、安全な手段が開発されれ
ば、携帯用記憶装置を初期化及び設定する機能、及び、
安全なデータベースを保守する機能は、ゲートウェイ以
外の、信用できるドメイン内のコンピュータシステムを
用いて実現してもよい。
【0031】初期化後、携帯用記憶装置は、ユーザによ
って、世界中のどこにあるコンピュータに運ばれてもよ
い。あるコンピュータ(例えば、遠隔クライアント20)
内に、携帯用記憶装置をインストールすることによっ
て、そのコンピュータは、ホームネットワーク22との通
信のために自身を認証することが可能になる。ここでの
好ましい実施形態においては、初期化中に、携帯用記憶
装置に対してワンタイムパスワードが付与される。それ
以降、使用の間、プラグインプログラムが、これらのワ
ンタイムパスワードにアクセスすることは、より十分に
説明されるであろう。プラグインプログラムは、遠隔ク
ライアント20上に既に存在するウェブブラウザソフトウ
ェアによる使用に適した、プログラムモジュールまたは
アプレットであってもよい。プラグインソフトウェアに
よって、遠隔クライアントは、認証のために必要なメッ
セージの交換に関与することが可能になる。好ましい実
施形態においては、インターネット24を通り抜ける安全
なパイプライン38を確立するために、安全なソケット層
(SSL)が用いられる。
【0032】図2を参照すれば、ゲートウェイ装置32
は、パケットをフィルタにかける選別ルータ42を備える
ファイアウォール40を実現する。このルータは、全ての
遠隔クライアントが、ホームネットワーク22上のいかな
るホストにも、直接、アクセスすることができないよう
に設定される。選別ルータが、次に、遠隔キー認証機能
46及びウェブプロキシ(代理)機能48を実現する要塞ホ
スト44と通信することは、以下で更に十分に論じられる
であろう。本質的に、要塞ホスト44は、携帯用記憶装置
から得られる適切なワンタイムパスワードを用いる認証
を要求する。結局、情報をファイアウォールを通して得
るためには、遠隔クライアントは、21に図示された、遠
隔キーに基づく認証処理に正常に関与しなければならな
い。
【0033】いったん認証が正常に完了したら、要塞ホ
ストは、URLアドレス変換及びクライアント検証の任務
を、ウェブプロキシ機能48の一部として実行する。特
に、遠隔クライアントから伝送されるURLは、認証され
たクライアントから来るものとして検証され、かつ、そ
のクライアント固有の方法で変更される。ウェブプロキ
シシステムは、その認証されたクライアントのためのア
クティブ状態が存在するかどうかを決定するために、ア
クティブ状態ミドルウェア(図4におけるASSM72)を調査
する。もし存在するのであれば、ウェブプロキシシステ
ムは、遠隔クライアントに代わって、信用できるホーム
ネットワークにアクセスする。特に、アドレス変換機能
は、各クライアントに対して固有のものである。すなわ
ち、URLの再使用は禁止されているので、認証されたク
ライアントのためのURLが詐欺師によって傍受されて再
使用されるようなシステム攻撃は、阻止される。この処
理については、後に、図9に関連して更に詳細に述べ
る。
【0034】図3を参照すれば、いかにして、遠隔クラ
イアントが、ホームネットワーク内に格納された情報へ
のアクセスを可能にするかを、よりよくイメージするこ
とができる。図3には、データフロー図が示されてい
て、いかにして、ホームネットワーク内の情報へのアク
セスが達成されるかが示されている。遠隔クライアント
は、インターネット上に、SSL接続のような、安全なチ
ャネル50を確立する。符号52で図示されているように、
選別ルータ42は、ファイアウォールとして動作し、ホー
ムネットワークに関連するURLを常に遮断する。ただ
し、この選別ルータ42は、ファイアウォールを経由する
一定の通信を許容する。これは、すなわち、認証及びそ
れに続くウェブプロキシ機能を用いる通信のために必要
なものである。そして、選別ルータは、要塞ホスト44と
通信する。これは、第1に、セッション管理及び認証の
ためであり、第2に、認証後のウェブプロキシ任務のた
めである。
【0035】要塞ホストは、ワンタイムパスワードを用
いる認証を要求するセッションマネージャを備えてい
る。さらに安全性を高めるために、セッションマネージ
ャは、セッションの長さを制御し、所定の時間(例えば
30分)後、セッションを終了させる。これらの制御機
能は、符号54に図示されている。符号56に図示されてい
るように、セッションマネージャは、携帯用記憶装置内
のプラグインソフトウェアとの連係によって、認証機能
を実現させる。
【0036】携帯用記憶装置には、符号58に図示され
た、ユーザ設定の一部としてのワンタイムパスワードが
付与される。具体的には、ゲートウェイが、ユーザPIN
を用いて、特定のユーザのために個人専用とされた乱数
及びランダムなキーを生成する。PINは、このように、
暗号化方程式の要素になる。具体的には、PINと、キーK
iとの排他的論理和(XOR)がとられる。野蛮かつ暴力的な
攻撃によるユーザPINの漏洩を避けるために、この好ま
しい実施形態においては、ワンタイムパスワードを生成
するために必要な要素のうちの1つであるユーザPINの
暗号化された形を用いる。ユーザが提供したPINを暗号
化するために用いられる値は、特別な対称のキーKsであ
る。Ksは、ゲートウェイによって生成され、携帯用記憶
装置内の保護されたエリアに格納される。正しく認証さ
れた携帯用記憶装置、及び、正しく認証された携帯用記
憶装置のユーザのみが、Ksを引き出すために、保護され
たエリアにアクセスすることができる。
【0037】具体的には、携帯用記憶装置は、それがイ
ンストールされるか、挿入されるか、あるいは接続され
る読取装置によって認証されるはずであり、ユーザは、
プラグインモジュールによって促された後に、PINを入
力することによって認証されるはずである。
【0038】いったんセッションマネージャが認証され
たセッションを確立すれば、符号60で図示されているよ
うに、URLアクセス要求は、ウェブプロキシ機能と共に
用いられるURL検証及び変更機能によって処理される。
そして、ウェブプロキシは、信用できるホームネットワ
ークと通信し、遠隔クライアントの代わりに情報あるい
は資源を取得するが、このとき、変更されたURL、すな
わち、特定の認証されたクライアントのために検証及び
カスタマイズされたURLを用いる。
【0039】ゲートウェイのプロキシ動作及びクライア
ント認証モジュールの連係動作の詳細が、図4に示され
ている。ここでの好ましい実施形態においては、ゲート
ウェイ32は、正当な証明書を持つ唯一の装置であり、ま
た、SSLウェブプロキシサーバ48を備える唯一のホスト
である。このSSLプロキシサーバは、全ての遠隔クライ
アントがホームコンテンツへアクセスする際に用いる唯
一の存在である。選別ルータで展開される、パケットを
フィルタにかける方法が、適切に設定される。すなわ
ち、ウェブプロキシに向けられたhttpsの通信データの
流れのみが、パケットフィルタを通過し、その他の通信
データの流れは、全て阻止される。
【0040】処理は、遠隔クライアント20が、ゲートウ
ェイに対して、直接のhttpsのURL要求を送出することに
よって始まる。この要求は、ユーザIDを含んでいる。こ
の時点で、遠隔クライアント及びゲートウェイの遠隔キ
ー認証モジュール70は、ワンタイムパスワードの使用に
基づく認証処理に貢献する。この認証については、後に
詳細に述べる。
【0041】認証が成功したら、ゲートウェイのアクテ
ィブセッション管理ミドルウェア(ASMM)72内に、「クラ
イアント−ゲートウェイセッション状態(CGSS)」が確立
される。各セッションの開始時に、ASMM72と対応付けら
れたセッション継続時間タイマが、ゼロにリセットされ
る(例えば、W=30分を超えないように)。それから、AS
MM72は、安全なユーザデータベース73から、ユーザ固有
のパラメータを取り出す。(図3における符号58のよう
に、)ユーザが携帯用記憶装置を設定するとき、この安
全なユーザデータベースには、ワンタイムパスワードに
関する情報が、密かに格納される。この秘密情報及びそ
の他のCGSSパラメータは、認証及びURL有効性検査処理
の間、使用される。
【0042】具体的には、認証後に、ASMM72は、ウェブ
プロキシサーバ48のSSLウェブプロキシ部に、74のよう
なURL有効性検査と結合した適切なウェブプロキシ処理
を行うことを指示すると共に、76のような双方向性のUR
L変更処理を実行することを指示する。これらの処理
は、図10に関連して更に十分に後述される。
【0043】ユーザセッション(提案されている時間は
30分)の満了後、ウェブプロキシシステムは、(テンプ
レートページデータベース78からの)カスタムページ
を、遠隔クライアントに送信する。このことは、新し
い、携帯用記憶装置に基づく認証が行われなければなら
ないことを示している。遠隔ユーザは、また、以下のよ
うな要求を送出することによって、クライアント−ゲー
トウェイセッション(CGSS)を、はっきりと解消すること
もできる。 https://gw_host/?UserID=db&TearDown=on すると、ASMM72は、クライアント−ゲートウェイセッシ
ョン状態(CGSS)を解消し、かつ、ウェブプロキシシステ
ムに対して、「古い」SSLセッションを再開しないよう
に指示する。新しいSSLセッションを確立し、携帯用記
憶装置に基づく認証の全工程(full round)を実行し、そ
して、新しいCGSSを確立するためには、全ての(full)SS
Lハンドシェイクが、再度、クライアント及びプロキシ
によって行われなければならない。いったんCGSSが解消
されれば、ウェブコンテンツのプロキシ処理が、「外部
の」要求に応じて行われることはなく、要求されたURL
は、それらの認証された有効性検査に落ちてしまうこと
は、重要な、注目すべきことである。
【0044】好ましい実施形態においては、プロキシ任
務を遂行するゲートウェイ32は、正当なIPアドレスを必
要とする唯一のホストである。残りのホームホストは、
それらのIPアドレスを、内部で管理されたアドレスプー
ルから、DHCP及びネットワークアドレス変換(NAT)のよ
うなメカニズムを用いて取得する。
【0045】ここで、好ましい実施形態の全体構成を念
頭において、好ましい遠隔キー認証処理の詳細を、図5
〜8を参照して述べる。図5を参照すれば、認証は、遠
隔キー認証モジュール46によって仲介される。ここでの
好ましい実施形態は、少なくとも128ビットの強度の暗
号を利用していて、これは、全てのセッションキー(Ki,
Ks)が、少なくとも128ビット長であることを意味して
いる。使用の前に、キーは、後に図11に関連して詳述
するキー管理システムによって生成される。
【0046】好ましい実施形態において、我々は、ラン
ダムな暗号パラメータを生成するために、「真の」乱数
発生器を必要とする。提案されたシステムのセキュリテ
ィ状況の多くは、暗号化のためのワンタイムパスワード
及びキーとして用いられる、ランダムシーケンスによ
る。このような発生器は、例えば、外部温度や、ネット
ワーク接続及び多くの他の外部資源に関する情報を考慮
に入れ、何らかの強力なハッシュ機能(例えばMD5)を
用いて、これらを相互に結合する。
【0047】携帯用記憶装置に基づく認証処理が、図6
に示されている。遠隔キーの初期化段階の間、「将来
の」遠隔ユーザは、物理的にホームゲートウェイのすぐ
近くにいなければならない。ユーザは、キーカード(あ
るいはCD媒体)を、初期化手続き及びそれに続くキーカ
ードへのワンタイムパスワードの転送のために、ゲート
ウェイの中に挿入しなければならない。遠隔キーカード
初期化処理が、図11に示されていて、後に詳述され
る。この初期化段階の間に、ゲートウェイは、1セット
(例えばN=100)のランダムなパスワード(Si)を単純に
生成し、ランダムなキー(Ki)によってそれらを暗号化
し、そして、それらが4桁のPINのユーザ情報に依存す
るようにする(そして、前記PINは、保護されたエリア
に格納された対称のキー(Ks)によって保護される)。そ
して、これらの暗号化されたパスワード(Ei)は、携帯用
記憶装置内に格納されるので、旅行に出る遠隔クライア
ントによって持ち運び可能となる。パスワード(Si)及び
対応するキー(Ki)は、遠隔キー認証モジュール70(図
4)によるアクセスのために、ゲートウェイの安全なデ
ータベース内に格納される。
【0048】図6を参照すれば、以下に列挙されたステ
ップに従って、認証処理が進行する。 ステップ(1) 遠隔クライアントは、そのユーザIDを、h
ttps要求内のゲートウェイに送信する。 ステップ(2) このステップでは、ゲートウェイが、遠
隔クライアントに、秘密の対応するキー(Ki)の値と共
に、カウンタ値(i)を送信する。ゲートウェイは、成功
したユーザ認証の数を示すカウンタ値(i)を保持する。
もしN=100であれば、カウンタ値は、100から1に向かっ
て減少する。もしカウンタ値が0に達したら、キーカー
ドを再び初期化しない限り、そのユーザIDに対して、そ
れ以上の認証は許可されない。 ステップ(3) クライアントのブラウザプラグインソフ
トウェアは、下記の式に従って、ワンタイムパスワード
(Ei)を解読する。
【数1】 プラグインは、Siをゲートウェイのキーカード認証モジ
ュールに送信する。
【0049】この時点で、遠隔キー認証モジュール70
(図4)は、クライアントから受信した値Siを、その安
全なデータベース73(図4)内に格納されていた値と比
較する。もし、それらが一致したら、ASMM72は、使用量
カウンタの値(i)を減少させると共に、ゲートウェイのA
SMM72(図4)内にCGSSを確立する。
【0050】もし、侵入者が、単にユーザIDをゲートウ
ェイに何回も送信することによって、全てのパスワード
スペースを使い果たすことができるのであれば、サービ
ス拒否(DOS)の状態に陥ってしまう。これを防止するた
めに、この好ましい実施形態では、ユーザの認証に成功
した後に、はじめて、カウンタを減算させる。更に、我
々は、時間ウィンドウ(W)を提案する。その中では、最
大3回の認証の試みが許される。もし、不成功に終わっ
た試みの数が3回に達したら、そのユーザのための、そ
れ以上の認証の試みは、その時点でのW内では許されな
い。ウィンドウWの具体的な長さとしては、5分を提案す
る。
【0051】認証処理の更に完全な理解のために、ここ
で、図7及び8を参照する。図7は、いったん適切な情
報がゲートウェイから受信された後に、遠隔クライアン
トで行われる処理を示している。図8は、幾分高いレベ
ルにおける同じ処理を示していて、認証処理に関与する
様々な実体の間で伝送されるメッセージのやりとりを示
している。
【0052】遠隔クライアントとゲートウェイ間の通信
は、遠隔クライアントが、テンプレートページデータベ
ースに格納されたページから生成されるか、または提供
されるログインページにアクセスすることによって開始
される。これは、プラグインモジュールを起動させ、こ
のプラグインモジュールは、ユーザに対して、自身のロ
グイン名またはユーザIDを入力するように促す。そこ
で、ユーザが、自身のユーザIDを入力すると、この情報
は、ゲートウェイに送信され、ここで、IDがASSMミドル
ウェアによってチェックされると共に、そのユーザに適
合するi及びKiの値を引き出すために、安全なデータベ
ースがアクセスされる。いったん、これらの値が引き出
されると、認証処理を開始する準備が整う。
【0053】認証処理は、ゲートウェイが、プラグイン
モジュールを用いて作動している遠隔クライアントに、
インデックス値i及びキーの値Kiを伝達することによっ
て開始される。図7及び8の200に、この1回目の情報
(i, Ki)のやりとりが示されている。プラグインモジュ
ールは、このインデックス値iを、ワンタイムパスワー
ドのテーブルE1...Ei中での指標として用いる。なお、
これらは、暗号化されたパスワードである。図7の202
において、暗号化されたパスワードEiが、プラグインモ
ジュールによって引き出される。
【0054】一方、プラグインモジュールは、204にお
いて、ユーザに対して、自身の秘密のPIN番号を入力す
るように促す。そこで、ユーザは、206において、秘密
のPINを入力する。この好ましい実施形態においては、
ユーザPINは、平文の形では用いられない。その代り
に、PINは暗号化され、暗号化されたPINが、暗号化され
たワンタイムパスワードを解読するために必要なキーを
生成する際の1つの要素として用いられる。208に示し
たように、ユーザPINは、携帯用記憶装置内の保護され
たエリアに格納されていた値Ksを用いて暗号化される。
保護されたエリアへのアクセスは、携帯用記憶装置の認
証を経た後にのみ、可能になる。
【0055】プラグインモジュールは、210で、暗号化
されたセッションキーKsを取り出し、そして、208で、
ユーザが提供したPINを暗号化するために、それを用い
る。このように、処理におけるこの段階で、プラグイン
モジュールは、ワンタイムパスワードを生成するために
必要な3個の情報、すなわちKs、Ei及びKiを持ってい
る。インデックス値iは、202で、暗号化されたワンタイ
ムパスワードEiの中から選択された1つを取り出すため
に用いられる。暗号化されたPINであるEKsは、排他的論
理和(XOR)動作を通して、値Kiと結合され、その結果
は、暗号化されたワンタイムパスワードEiを解読するた
めに用いられる。解読処理を、図7の214に示す。解読
処理は、図7の216に示すように、単一のワンタイムパ
スワードSiを生成する。それから、このワンタイムパス
ワードは、218で、ゲートウェイに返送される。する
と、ゲートウェイは、このワンタイムパスワードを、安
全なデータベース(図4における安全なデータベース7
3)内に格納されていたワンタイムパスワードと比較
し、遠隔クライアントであるのか、あるいは、安全な通
信を進めるための認証がなされていないものであるのか
を検証することができる。
【0056】前述したように、安全な信用できるネット
ワークとの直接の通信の全ては、選別ルータ40によって
遮断されている。適切な認証が行われた後のプロキシシ
ステムのみが、信用できるネットワークへアクセスし
て、遠隔クライアントの代わりに、情報及びサービスを
取得することができる。そのタスクを実行する際に、プ
ロキシシステムは、URLの有効性検査及び変更の処理を
実行する。これらの有効性検査及び変更の処理の詳細
を、図9及び10に示す。
【0057】遠隔クライアントとホームのホストとの間
の通信が、SSLに基づく暗号化によって保護されている
という事実にもかかわらず、我々は、適切に認証された
クライアントのみが、正当なURLを送出することが可能
な当事者になれることを保証するという方法で、セキュ
リティを更に強化することを提案する。このアプローチ
は、たとえSSLチャネルが侵入者によって損なわれたと
しても、全てのURLを「防弾」状態に保つことができ
る。
【0058】各ウェブページは、ウェブプロキシを通過
して、遠隔クライアントに至るので、ホームサイトに対
する、それぞれの内部のhref照会先は、図10に示した
URL変更モジュール90によって、下記のように書き直さ
れる。
【数2】
【0059】そして、この照会先がURLになり、遠隔ク
ライアントは、このURLを受信し、かつ、ウェブプロキ
シサーバに対する要求の中に、このURLを含ませる。全
体の処理を、図10に示す。変更されたURLが遠隔クラ
イアントからゲートウェイに到着したとき、URL検証
(有効性検査)モジュール92は、その信頼性を検証す
る。それから、URL変更モジュールが、このURLを、下記
のような通常の形に変換する。 http://home_host/Original_URL これは、ウェブプロキシが信用できるホームネットワー
ク上に発する要求になる。なお、URL変更処理が、双方
向性のものであることに注目すべきである。遠隔クライ
アントから入って来るURLは、(認証において、)その
クライアント固有の方法で変更される。同様に、遠隔ク
ライアントに送出されるURLは、同じ変更規則を用いて
変更される。
【0060】Siが、ある遠隔クライアントセッション
(W=30分)の間のみ有効であれば、たとえ基礎をなすSS
L接続が損なわれても、侵入者が獲得したURLは、いかな
る将来のセッションにおいても照会の役には立たない。
【0061】ワンタイムパスワードを遠隔クライアント
に安全に配布する携帯用記憶装置は、ネットワークセキ
ュリティシステムの重要な部分を形成している。上述し
たように、このシステムは、ゲートウェイに備えられた
初期化及び設定ソフトウェアを用いて、ユーザが、自身
の携帯用記憶装置を簡単に設定できるように設計されて
いる。ここで、携帯用記憶装置の設定の詳細を、図11
を参照して説明する。
【0062】ユーザは、遠隔地からのログインを可能に
するために、前もって、携帯用記憶装置(遠隔キー)を
初期化する必要があり、そのためには、携帯用記憶装置
を、ゲートウェイ32における記録装置36のスロットに挿
入しなければならない。携帯用記憶装置としてCD/DVD媒
体を用いる場合には、ゲートウェイ装置は、携帯用媒体
の「ユーザ」エリア及び「保護された」エリアに情報を
格納することが可能なCD/DVDライタを装備していなけれ
ばならない。その処理が、図11に示されている。遠隔
キー管理モジュール70(図4)が、遠隔キー初期化処理
を実行する。
【0063】おのおのの携帯用記憶装置の初期化処理の
間に、ゲートウェイは、1セット(N個)の数値である
ユーザワンタイムパスワード(Si)を生成する(図11に
おけるステップ(1))。これらは、乱数発生器から得ら
れた単なる乱数である。これに加えて、ゲートウェイ
は、N個のランダムキー(Ki)を生成すると共に、各ワン
タイムパスワードと各キーとのペア結合を形成する(図
11におけるステップ(2))。
【0064】ステップ(3)において、ゲートウェイの遠
隔キー管理モジュールは、ユーザ側の認証プラグインソ
フトウェアから、ユーザPINを取得し、ランダムなKsを
生成し(ステップ(4))、キーカードを認証し、そし
て、携帯用記憶装置の保護されたエリアにKsを格納する
(ステップ(5))。
【0065】ステップ(6)において、ゲートウェイの遠
隔キー管理モジュール75(図5)は、各ペア結合(Si, K
i)について、下記の値を計算する。
【数3】 これらの値は、ステップ(7)において、携帯用記憶装置
のユーザデータエリアに格納される。
【0066】最後に、ユーザID、ユーザPIN、Ks、及びO
TPキー−パスワードペア(Si, Ki)が、遠隔キー認証モジ
ュール70及びASMMモジュール72(図4参照)による将来
の照会のために、図4の安全なデータベース(73)内に格
納される。前述のステップのうちのいずれかが、何らか
の理由で失敗すると、携帯用記憶装置の初期化処理の全
体が失敗となる。
【0067】いったん、携帯用記憶装置がキーによって
初期化されれば、世界中のどこへでも、ユーザは、それ
を持ち運び、適切な装備のコンピュータを用いて、ゲー
トウェイとの安全なクライアント−サーバ通信を行うこ
とができる。ここでの好ましい実施形態においては、遠
隔クライアントコンピュータは、(例えば、携帯用記憶
装置によって運ばれた)プラグインソフトウェアモジュ
ールをアップロードもしくはインストールする 。プラ
グインソフトウェアモジュールは、認証を行うのに必要
なメッセージの交換にあずかるように、クライアントコ
ンピュータを設定する。また、プラグインソフトウェア
モジュールは、遠隔クライアントコンピュータが、ゲー
トウェイからの情報及びユーザPINを用いて生成された
キーを用いて、携帯用記憶装置に格納されたパスワード
のうちの1つを選択して解読することによって、適切な
ワンタイムパスワードを生成することを可能にする。こ
の好ましい実施形態においては、暗号化された形のユー
ザPINが、選択されたワンタイムパスワードの解読のた
めに必要なキーを生成するために用いられる。ユーザが
平文の形で提供したユーザPINは、携帯用記憶装置内の
保護されたエリアに格納されたセッションキーを用いて
暗号化される。暗号化されたPINに基づいて認証を行え
ば、安全なSSLチャネルを通して伝達される情報への野
蛮で暴力的な攻撃に対するシステムの脆弱性を減少させ
ることができるので、この好ましい実施形態を更に安全
にすることができる。
【0068】この好ましい実施形態は、遠隔クライアン
トのウェブブラウザに対する、いかなる変更をも防止す
るように設計されている。しかしながら、クライアント
のために、前述した携帯用記憶装置に基づく認証処理を
実行するためには、ブラウザは、前記携帯用記憶装置に
アクセスして、いくらかの補助的な暗号の計算を行うこ
とが可能なプラグインモジュールからの援助を必要とす
る。図12に、ブラウザ−プラグイン−ゲートウェイ間
の連係の詳細を示す。
【0069】図12のステップ(1)において、遠隔クラ
イアントは、ゲートウェイに、下記の照会を送信する。
この照会は、これに続くOTP交換のためにSSLセッション
を確立することが必要であることを示していて、かつ、
クライアントのユーザIDを含んでいる。 http://gw_host/?UserID=user_name
【0070】ステップ(2)において、図4に示した遠隔
キー認証モジュール70は、<OBJECT>タグを含み、かつ、
プラグインのパラメータ列として渡される、プラグイン
名、及び、(i)及び(Ki)の値を示しているページによっ
て応答する。この時点で、プラグインは、ユーザの小型
装置(widget)を「ポップアップ」し、クライアントにユ
ーザPINを要求する。そして、それが、携帯用記憶装置
の、Ei、及び、保護されたエリアからのKsの値にアクセ
スし、かつ、下記のワンタイムパスワードの値を計算す
る。
【数4】 この値は、ステップ(3)で、下記のような形で、同じSSL
チャネル経由で、遠隔キー認証モジュールに返送され
る。 https://gw_host/?UserID=db&Si=123456789ABCDEF0FEDC
BA9876543210.
【0071】好ましくは、プラグインモジュールは、ゲ
ートウェイの製造業者によって署名されていて、不正操
作がきかないようになっているべきである。クッキーの
使用もまた、可能である。例えば、クッキーは、ユーザ
認証に関与する、クライアントのヘルパーアプリケーシ
ョンによって変更されてもよい。
【0072】
【発明の効果】以上より、本発明が、ユーザにとって使
い易く、便利で、かつ非常に安全なシステムを提供し、
コンピュータシステムまたはコンピュータネットワーク
との安全な通信を実現することが明らかになった。本発
明の記述は、単に、現存している具体例に過ぎず、従っ
て、本発明の要旨から逸脱しない変形は、本発明の範囲
内にあると解釈されるべきである。そのような変形は、
本発明の真意及び範囲からはずれていると見なされるべ
きではない。
【図面の簡単な説明】
【図1】 好ましい実施形態の概観を示すシステムブ
ロック図である。
【図2】 図1に示したシステムにおける、好ましい
ゲートウェイの基本的な構成を示すブロック図である。
【図3】 図2に示したゲートウェイの動作を理解す
るために有益なデータフロー図である。
【図4】 図2に示したゲートウェイにおける、認証
及びプロキシモジュールを示す、さらに詳細なブロック
図である。
【図5】 図2に示したゲートウェイにおける、ワン
タイムパスワード認証メカニズムを示すブロック図であ
る。
【図6】 好ましい認証処理の詳細を示すブロック図
である。
【図7】 好ましい認証処理を理解するために有益な
データフロー図である。
【図8】 認証処理を示すシーケンス図である。
【図9】 図2にも示したゲートウェイのブロック図
であって、好ましい実施形態のウェブプロキシ機能を示
している。
【図10】 ウェブプロキシモジュールの構成要素の
ブロック図であり、ユニフォームリソースロケータ(UR
L)の検証及び変更機能を示している。
【図11】 携帯用記憶装置を初期化もしくは設定す
るための好ましい処理を示している。
【図12】 認証のためにクライアントブラウザプラ
グインを用いる方法における、更に詳細な動作を示すブ
ロック図である。
【符号の説明】
20 遠隔クライアント(クライアントコンピュータ) 21 遠隔キーに基づく認証処理 22 ホームネットワーク(信用できるコンピュータネッ
トワーク) 24 インターネット 26 サーバ 28 プリンタ 30 コンピュータ 32 ゲートウェイ 34 携帯用記憶装置 36 記録装置 38 パイプライン 40 ファイアウォール 42 選別ルータ 44 要塞ホスト 46 遠隔キー認証機能 48 ウェブプロキシ機能 70 遠隔キー認証モジュール 72 アクティブセッション管理ミドルウェア(ASMM) 73 安全なデータベース 74 URL有効性検査 75 遠隔キー管理モジュール 76 URL変更処理 78 テンプレートページデータベース 90 URL変更モジュール 92 URL検証(有効性検査)モジュール
───────────────────────────────────────────────────── フロントページの続き (72)発明者 サスヤ・ナラヤナン アメリカ合衆国・ニュージャージー・ 08648・ローレンスヴィル・タウン・コー ト・ノース・1224 Fターム(参考) 5B085 AE03 AE09 AE11 BC00 5B089 GA21 KA17

Claims (23)

    【特許請求の範囲】
  1. 【請求項1】 クライアントコンピュータによる信用
    できるコンピュータネットワークへのアクセスを制御す
    るためのセキュリティシステムにおいて、 前記信用できるコンピュータネットワークへのアクセス
    を制御する要塞ホストと、 この要塞ホストと接続されていて、1セットのキーとパ
    スワードの複数のペアを格納するように設定された第1
    のデータ記憶装置と、 携帯用記憶装置と、 この携帯用記憶装置と接続されていて、前記キーとパス
    ワードのペアの中に表示されたパスワードを格納するよ
    うに設定された第2のデータ記憶装置と、 前記第1及び第2のデータ記憶装置のインターフェース
    となっていて、前記キーとパスワードのペアを生成して
    前記第1のデータ記憶装置に格納すると共に、前記パス
    ワードを生成して前記第2のデータ記憶装置に格納す
    る、ユーザが操作可能な初期化メカニズムと、 前記要塞ホストと接続された第1の構成要素、及び、前
    記クライアントコンピュータと接続された第2の構成要
    素を有している認証メカニズムとを具備し、 前記第1の構成要素は、前記第2の構成要素に、前記キ
    ーとパスワードの複数のペアのうちの1つに対応したキ
    ーを伝達するように設定され、 前記第2の構成要素は、前記第2のデータ記憶装置にア
    クセスして、前記キーとパスワードのペアの中に表示さ
    れた、少なくとも1つのパスワードを取り出し、 更に、ユーザからの入力、及び、前記第1の構成要素か
    ら伝達されたキーに基づいて、前記の、少なくとも1つ
    のパスワードを、前記第1の構成要素に伝達するように
    設定されていることを特徴とするセキュリティシステ
    ム。
  2. 【請求項2】 更に、前記パスワードを暗号化して前
    記第2のデータ記憶装置に格納するキー管理システムを
    具備することを特徴とする請求項1に記載のシステム。
  3. 【請求項3】 前記第2のデータ記憶装置に格納され
    たパスワードは、暗号化されていて、前記第2の構成要
    素は、少なくとも1つのパスワードを解読して前記第1
    の構成要素に伝達することを特徴とする請求項1に記載
    のシステム。
  4. 【請求項4】 前記携帯用記憶装置は、不揮発性メモ
    リデバイスであることを特徴とする請求項1に記載のシ
    ステム。
  5. 【請求項5】 前記携帯用記憶装置は、光ディスクで
    あることを特徴とする請求項1に記載のシステム。
  6. 【請求項6】 更に、前記信用できるコンピュータネ
    ットワークとの相互作用を遮断する選別ルータシステム
    を具備することを特徴とする請求項1に記載のシステ
    ム。
  7. 【請求項7】 更に、前記認証メカニズムの制御下に
    ある信用できるコンピュータネットワークとの相互作用
    を許可する、前記選別ルータと統合されたプロキシシス
    テムを具備することを特徴とする請求項6に記載のシス
    テム。
  8. 【請求項8】 更に、前記信用できるコンピュータネ
    ットワークとの相互作用を、認証されたアクティブセッ
    ションに限るセッション管理システムを具備することを
    特徴とする請求項1に記載のシステム。
  9. 【請求項9】 更に、前記信用できるコンピュータネ
    ットワークとの相互作用を、所定の継続時間に限るセッ
    ション管理システムを具備することを特徴とする請求項
    1に記載のシステム。
  10. 【請求項10】 更に、前記携帯用記憶装置に格納さ
    れていて、前記クライアントコンピュータに、前記認証
    メカニズムの第2の構成要素を動作させる命令を与える
    ために、前記クライアントコンピュータにアクセス可能
    なプラグインモジュールを具備することを特徴とする請
    求項1に記載のシステム。
  11. 【請求項11】 要塞ホストの背後にある信用できる
    コンピュータネットワークとの相互作用を認証する方法
    において、 前記要塞ホストによって保護された安全なデータベース
    を定義し、 携帯用記憶装置を用意し、 少なくとも1つのパスワードを生成する暗号化キーシス
    テムの構成要素を表す第1及び第2の情報のうち、 ユーザが、第1の情報を前記安全なデータベースに格納
    すると共に、第2の情報を前記携帯用記憶装置に格納す
    ることによって、前記要塞ホストによって保護された、
    前記ユーザが操作可能な記録機構を用意し、 前記携帯用記憶装置をクライアントコンピュータにイン
    ストールすると共に、前記要塞ホストと前記クライアン
    トコンピュータとの間の通信を確立し、 前記パスワードを生成するために、前記クライアントコ
    ンピュータで、前記第1及び第2の情報を用いると共
    に、前記パスワードを前記要塞ホストに伝達し、 前記要塞ホストで前記パスワードを評価すると共に、前
    記パスワードが前記安全なデータベースに格納されてい
    た情報と一致するか否かに基づいて、認証を行うことを
    特徴とする方法。
  12. 【請求項12】 更に、前記携帯用記憶装置に、保護
    されたエリアを設けると共に、この保護されたエリア内
    に、少なくとも前記第2の情報の一部を格納することを
    特徴とする請求項11に記載の方法。
  13. 【請求項13】 前記ユーザが第2の情報を格納する
    ステップは、秘密のPIN番号を提供し、これに続けて、
    このPIN番号を、前記パスワードを生成するために用い
    るステップを有していることを特徴とする請求項11に
    記載の方法。
  14. 【請求項14】 前記携帯用記憶装置に、保護された
    エリアを設け、この保護されたエリア内に、ユーザから
    提供されたPIN番号を使用前に暗号化するために用いら
    れる、秘密のセッションキーを格納することを特徴とす
    る請求項11に記載の方法。
  15. 【請求項15】 前記認証を行うステップの後に、更
    に、アクティブセッションを確立し、かつ、このアクテ
    ィブセッションを、所定の継続時間に限ることを特徴と
    する請求項11に記載の方法。
  16. 【請求項16】 キャリア波形内で具体化されるコン
    ピュータネットワーク認証信号において、 複数のワンタイムパスワードのうちの1つを表すインデ
    ックス値と、 前記複数のワンタイムパスワードのうちの1つに対応し
    ていて、前記インデックス値と結合されたキーの値とを
    有していることを特徴とする信号。
  17. 【請求項17】 安全なネットワーク通信システムに
    おいて、 選別ルータと、 この選別ルータを介して通信を行う遠隔クライアントを
    認証する認証システムと、 前記選別ルータと通信するウェブプロキシシステムを有
    している要塞ホストと、 前記認証システムによる認証の上で、前記遠隔クライア
    ントとアクティブセッションを結ぶ前記要塞ホストと対
    応付けられたアクティブセッションミドルウェアとを具
    備し、 前記ウェブプロキシシステムは、アクティブセッション
    ミドルウェア及び認証システムから受信した情報に基づ
    いて、URLの検証及び変更を実行するように設定されて
    いることを特徴とするシステム。
  18. 【請求項18】 前記認証システムは、前記遠隔クラ
    イアントにワンタイムパスワードを提供する携帯用記憶
    装置を備えていることを特徴とする請求項17に記載の
    システム。
  19. 【請求項19】 前記ウェブプロキシシステムは、URL
    の変更を双方向で実施し、前記遠隔クライアントに対し
    て送出され、かつ、前記遠隔クライアントから送出され
    るURL上で動作することを特徴とする請求項17に記載
    のシステム。
  20. 【請求項20】 前記ウェブプロキシシステムは、更
    に、前記認証システムと統合されていて、少なくとも1
    つのログインページを格納しているテンプレートページ
    データベースを備えていることを特徴とする請求項17
    に記載のシステム。
  21. 【請求項21】 前記認証システムは、ゲートウェイ
    と接続されていて、このゲートウェイは、遠隔クライア
    ントを認証するために用いられる情報を格納する安全な
    データベースを備えていることを特徴とする請求項17
    に記載のシステム。
  22. 【請求項22】 前記アクティブセッションミドルウ
    ェアは、所定の時間が経過した後に、前記アクティブセ
    ッションを終了させるセッションタイマを備えているこ
    とを特徴とする請求項17に記載のシステム。
  23. 【請求項23】 前記認証システムは、保護されたエ
    リアを有する携帯用記憶装置を用いて、前記保護された
    エリアに、認証処理の間、前記遠隔クライアントを操作
    するユーザによって提供された情報を保護するために用
    いられるセッションキーを格納することを特徴とする請
    求項17に記載のシステム。
JP2002129289A 2001-04-30 2002-04-30 携帯用記憶装置を用いるコンピュータネットワークセキュリティシステム Expired - Fee Related JP3877640B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US28748801P 2001-04-30 2001-04-30
US60/287,488 2001-04-30
US10/001,687 US7228438B2 (en) 2001-04-30 2001-10-23 Computer network security system employing portable storage device
US10/001,687 2001-10-23

Publications (2)

Publication Number Publication Date
JP2003030143A true JP2003030143A (ja) 2003-01-31
JP3877640B2 JP3877640B2 (ja) 2007-02-07

Family

ID=26669359

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002129289A Expired - Fee Related JP3877640B2 (ja) 2001-04-30 2002-04-30 携帯用記憶装置を用いるコンピュータネットワークセキュリティシステム

Country Status (5)

Country Link
US (1) US7228438B2 (ja)
EP (1) EP1255392B1 (ja)
JP (1) JP3877640B2 (ja)
AT (1) ATE439725T1 (ja)
DE (1) DE60233288D1 (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004272828A (ja) * 2003-03-12 2004-09-30 Ufj Bank Ltd 本人認証システム及び本人認証方法
US7096200B2 (en) * 2002-04-23 2006-08-22 Microsoft Corporation System and method for evaluating and enhancing source anonymity for encrypted web traffic
JP2006526843A (ja) * 2003-04-08 2006-11-24 ジュニパー ネットワークス, インコーポレイテッド クライアントリダイレクトによるプライベートネットワークへの安全なアクセス提供方法およびシステム
US7222100B2 (en) * 2001-02-09 2007-05-22 International Business Machines Corporation System and method for maintaining customer privacy
JP2007520797A (ja) * 2003-12-29 2007-07-26 ノキア インコーポレイテッド 継承セキュリティ属性を使用したセキュアネットワーク上のプロキシ要求を管理するためのシステム及び方法
WO2007099609A1 (ja) * 2006-02-28 2007-09-07 Matsushita Electric Industrial Co., Ltd. 機器認証システム、移動端末、情報機器、機器認証サーバ及び機器認証方法
JP2008009644A (ja) * 2006-06-28 2008-01-17 Toshiba Corp 認証システムおよび認証方法

Families Citing this family (117)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8121941B2 (en) * 2000-03-07 2012-02-21 American Express Travel Related Services Company, Inc. System and method for automatic reconciliation of transaction account spend
US20020053020A1 (en) * 2000-06-30 2002-05-02 Raytheon Company Secure compartmented mode knowledge management portal
US7730528B2 (en) * 2001-06-01 2010-06-01 Symantec Corporation Intelligent secure data manipulation apparatus and method
JP2003111156A (ja) * 2001-09-27 2003-04-11 Toshiba Corp デジタル家電機器
US6968362B2 (en) * 2001-12-28 2005-11-22 Bellsouth Intellectual Property Corp. Systems and methods for remote access to a display-based bulletin board in a shared user environment
WO2004043037A1 (en) * 2002-11-06 2004-05-21 International Business Machines Corporation Providing a user device with a set of access codes
US7478248B2 (en) * 2002-11-27 2009-01-13 M-Systems Flash Disk Pioneers, Ltd. Apparatus and method for securing data on a portable storage device
US7454785B2 (en) * 2002-12-19 2008-11-18 Avocent Huntsville Corporation Proxy method and system for secure wireless administration of managed entities
US7421576B1 (en) * 2003-01-16 2008-09-02 The United States Of America As Represented By The United States Department Of Energy Interception and modification of network authentication packets with the purpose of allowing alternative authentication modes
JP4349365B2 (ja) * 2003-02-19 2009-10-21 日本ビクター株式会社 制御情報の伝送方法、中継サーバ、及び被制御装置
US7394761B2 (en) * 2003-04-29 2008-07-01 Avocent Huntsville Corporation System and method for delivering messages using alternate modes of communication
KR100581590B1 (ko) 2003-06-27 2006-05-22 주식회사 케이티 이중 요소 인증된 키 교환 방법 및 이를 이용한 인증방법과 그 방법을 포함하는 프로그램이 저장된 기록매체
TW200502758A (en) * 2003-07-07 2005-01-16 Yuen Foong Paper Co Ltd Portable secure information accessing system and method thereof
WO2005029746A2 (en) * 2003-09-12 2005-03-31 Rsa Security Inc. System and method providing disconnected authentication
US7409710B1 (en) * 2003-10-14 2008-08-05 Sun Microsystems, Inc. Method and system for dynamically generating a web-based user interface
US20050113069A1 (en) * 2003-11-25 2005-05-26 Intel Corporation User authentication through separate communication links
US20050129244A1 (en) * 2003-12-16 2005-06-16 International Business Machines Corporation System and method for mitigating denial of service attacks on trusted platform
US9621539B2 (en) * 2004-01-30 2017-04-11 William H. Shawn Method and apparatus for securing the privacy of a computer network
US20050235364A1 (en) * 2004-04-15 2005-10-20 Wilson Christopher S Authentication mechanism permitting access to data stored in a data processing device
US8973087B2 (en) * 2004-05-10 2015-03-03 Sap Se Method and system for authorizing user interfaces
US7472827B2 (en) * 2004-05-17 2009-01-06 American Express Travel Related Services Company, Inc. Limited use PIN system and method
CA2471055A1 (en) * 2004-06-16 2005-12-16 Qualtech Technical Sales Inc. A network security enforcement system
US7475252B2 (en) * 2004-08-12 2009-01-06 International Business Machines Corporation System, method and program to filter out login attempts by unauthorized entities
US20060059344A1 (en) * 2004-09-10 2006-03-16 Nokia Corporation Service authentication
US8024784B1 (en) * 2004-09-16 2011-09-20 Qurio Holdings, Inc. Method and system for providing remote secure access to a peer computer
US7620812B2 (en) * 2004-12-23 2009-11-17 Tomar Electronics, Inc. System for authenticating remotely generated optical control signals
DE102005001107A1 (de) * 2005-01-08 2006-07-20 Deutsche Telekom Ag Verfahren und Vorrichtung zum gesicherten Aufbauen einer Zugangsverbindung zu einem Netz eines Internetservice-Providers
US7475806B1 (en) * 2005-02-24 2009-01-13 Savr Communications, Inc. Method and system of universal RFID communication
JP4980882B2 (ja) * 2005-02-24 2012-07-18 富士通株式会社 接続支援装置
US9032215B2 (en) * 2005-06-15 2015-05-12 Nokia Corporation Management of access control in wireless networks
US9191198B2 (en) 2005-06-16 2015-11-17 Hewlett-Packard Development Company, L.P. Method and device using one-time pad data
US7685430B1 (en) * 2005-06-17 2010-03-23 Sun Microsystems, Inc. Initial password security accentuated by triple encryption and hashed cache table management on the hosted site's server
US7827376B2 (en) * 2005-06-27 2010-11-02 Lenovo (Singapore) Pte. Ltd. System and method for protecting hidden protected area of HDD during operation
EP3029597A1 (en) 2005-07-21 2016-06-08 Clevx, LLC Memory lock system
US8204233B2 (en) * 2005-07-21 2012-06-19 Symantec Corporation Administration of data encryption in enterprise computer systems
US8181232B2 (en) * 2005-07-29 2012-05-15 Citicorp Development Center, Inc. Methods and systems for secure user authentication
US8842839B2 (en) * 2005-09-29 2014-09-23 Hewlett-Packard Development Company, L.P. Device with multiple one-time pads and method of managing such a device
US20070101410A1 (en) * 2005-09-29 2007-05-03 Hewlett-Packard Development Company, L.P. Method and system using one-time pad data to evidence the possession of a particular attribute
US9002750B1 (en) 2005-12-09 2015-04-07 Citicorp Credit Services, Inc. (Usa) Methods and systems for secure user authentication
US9768963B2 (en) * 2005-12-09 2017-09-19 Citicorp Credit Services, Inc. (Usa) Methods and systems for secure user authentication
US7904946B1 (en) * 2005-12-09 2011-03-08 Citicorp Development Center, Inc. Methods and systems for secure user authentication
US8234696B2 (en) * 2006-02-10 2012-07-31 Emc Corporation Method and system for providing a one time password to work in conjunction with a browser
US8763081B2 (en) * 2006-04-03 2014-06-24 Bridgeport Networks, Inc. Network based authentication
US8882561B2 (en) * 2006-04-07 2014-11-11 Mattel, Inc. Multifunction removable memory device with ornamental housing
US8364968B2 (en) * 2006-05-19 2013-01-29 Symantec Corporation Dynamic web services systems and method for use of personal trusted devices and identity tokens
US8099603B2 (en) * 2006-05-22 2012-01-17 Corestreet, Ltd. Secure ID checking
WO2007146437A2 (en) 2006-06-14 2007-12-21 Agent Science Technologies, Inc. User authentication system
US7818290B2 (en) 2006-06-14 2010-10-19 Identity Metrics, Inc. System to associate a demographic to a user of an electronic system
US8639842B1 (en) * 2006-06-30 2014-01-28 Cisco Technology, Inc. Scalable gateway for multiple data streams
US20080010453A1 (en) * 2006-07-06 2008-01-10 Laurence Hamid Method and apparatus for one time password access to portable credential entry and memory storage devices
US8161530B2 (en) 2006-07-11 2012-04-17 Identity Metrics, Inc. Behaviormetrics application system for electronic transaction authorization
US8843754B2 (en) 2006-09-15 2014-09-23 Identity Metrics, Inc. Continuous user identification and situation analysis with identification of anonymous users through behaviormetrics
US8452978B2 (en) 2006-09-15 2013-05-28 Identity Metrics, LLC System and method for user authentication and dynamic usability of touch-screen devices
US8285851B2 (en) * 2007-01-08 2012-10-09 Apple Inc. Pairing a media server and a media client
US7996890B2 (en) * 2007-02-27 2011-08-09 Mattel, Inc. System and method for trusted communication
US8327432B2 (en) * 2007-02-28 2012-12-04 Cisco Technology, Inc. Self-initiated end-to-end monitoring of an authentication gateway
US8255696B2 (en) * 2007-05-01 2012-08-28 Microsoft Corporation One-time password access to password-protected accounts
JP5138359B2 (ja) * 2007-12-27 2013-02-06 エヌ・ティ・ティ アイティ株式会社 リモートアクセス方法
US8869251B2 (en) 2007-06-01 2014-10-21 Bank Of America Corporation Remote provision of consistent one-time password functionality for disparate on-line resources
US8769706B2 (en) 2007-07-26 2014-07-01 International Business Machines Corporation System and method for user to verify a network resource address is trusted
US8560692B1 (en) 2007-09-05 2013-10-15 Trend Micro Incorporated User-specific cache for URL filtering
US8838741B1 (en) 2007-09-05 2014-09-16 Trend Micro Incorporated Pre-emptive URL filtering technique
US8561136B2 (en) * 2007-10-10 2013-10-15 R. Brent Johnson System to audit, monitor and control access to computers
US20090097459A1 (en) * 2007-10-15 2009-04-16 Sony Ericsson Mobile Communications Ab Method for wan access to home network using one time-password
US9756114B2 (en) * 2007-11-23 2017-09-05 International Business Machines Corporation Asynchronous response processing in a web based request-response computing system
US8914901B2 (en) * 2008-01-11 2014-12-16 Microsoft Corporation Trusted storage and display
TW200937928A (en) * 2008-02-20 2009-09-01 Tatung Co Method for generating one-time-password
US8312534B2 (en) * 2008-03-03 2012-11-13 Lenovo (Singapore) Pte. Ltd. System and method for securely clearing secret data that remain in a computer system memory
US8695087B2 (en) * 2008-04-04 2014-04-08 Sandisk Il Ltd. Access control for a memory device
US7522723B1 (en) * 2008-05-29 2009-04-21 Cheman Shaik Password self encryption method and system and encryption by keys generated from personal secret information
US20100174913A1 (en) * 2009-01-03 2010-07-08 Johnson Simon B Multi-factor authentication system for encryption key storage and method of operation therefor
US9286493B2 (en) * 2009-01-07 2016-03-15 Clevx, Llc Encryption bridge system and method of operation thereof
US8732451B2 (en) * 2009-05-20 2014-05-20 Microsoft Corporation Portable secure computing network
US8904519B2 (en) * 2009-06-18 2014-12-02 Verisign, Inc. Shared registration system multi-factor authentication
US9124566B2 (en) * 2009-06-23 2015-09-01 Microsoft Technology Licensing, Llc Browser plug-in for secure credential submission
US8601363B2 (en) * 2009-07-20 2013-12-03 Facebook, Inc. Communicating information about a local machine to a browser application
US20110055552A1 (en) * 2009-09-02 2011-03-03 Max Planck Gesellschaft Zur Foerderung Der Wissenschaften Private, accountable, and personalized information delivery in a networked system
FI20105050A0 (fi) * 2010-01-21 2010-01-21 Mph Technologies Oy Menetelmä ja järjestelmä tiedon hallitsemiseksi
US8620824B2 (en) * 2010-05-28 2013-12-31 Ca, Inc. Pin protection for portable payment devices
US8949616B2 (en) * 2010-09-13 2015-02-03 Ca, Inc. Methods, apparatus and systems for securing user-associated passwords used for identity authentication
US9069940B2 (en) * 2010-09-23 2015-06-30 Seagate Technology Llc Secure host authentication using symmetric key cryptography
DE102011014950A1 (de) * 2010-10-22 2012-04-26 Robert Niggl Verfahren und System zur Erzeugung netzbasierter echter Zufallszahlen
US20120198531A1 (en) * 2011-01-31 2012-08-02 Microsoft Corporation Multi-device session pairing using a visual tag
CN102546594B (zh) * 2011-12-07 2014-07-02 北京星网锐捷网络技术有限公司 一种网络资源访问控制方法、装置及相关设备
US9009525B1 (en) * 2012-06-07 2015-04-14 Western Digital Technologies, Inc. Methods and systems for NAS device pairing and mirroring
EP2706769A1 (de) * 2012-08-01 2014-03-12 Secunet Security Networks Aktiengesellschaft Verfahren und Vorrichtung zum sicheren Zugang zu einem Dienst
US8745415B2 (en) 2012-09-26 2014-06-03 Pure Storage, Inc. Multi-drive cooperation to generate an encryption key
US10623386B1 (en) 2012-09-26 2020-04-14 Pure Storage, Inc. Secret sharing data protection in a storage system
US11032259B1 (en) 2012-09-26 2021-06-08 Pure Storage, Inc. Data protection in a storage system
US9166969B2 (en) * 2012-12-06 2015-10-20 Cisco Technology, Inc. Session certificates
KR101354388B1 (ko) * 2012-12-12 2014-01-23 신한카드 주식회사 일회성 카드번호 생성방법
CN105164663B (zh) * 2013-01-09 2018-05-01 艾菲尼莫公司 访问可控交互的***和方法
US9729514B2 (en) * 2013-03-22 2017-08-08 Robert K Lemaster Method and system of a secure access gateway
US9390288B2 (en) 2013-11-01 2016-07-12 Intuit Inc. Method and system for validating a virtual asset
US20150128130A1 (en) * 2013-11-01 2015-05-07 Intuit Inc. Method and system for providing and dynamically deploying hardened task specific virtual hosts
US11128448B1 (en) 2013-11-06 2021-09-21 Pure Storage, Inc. Quorum-aware secret sharing
US10263770B2 (en) 2013-11-06 2019-04-16 Pure Storage, Inc. Data protection in a storage system using external secrets
US9516016B2 (en) * 2013-11-11 2016-12-06 Pure Storage, Inc. Storage array password management
US9418236B2 (en) 2013-11-13 2016-08-16 Intuit Inc. Method and system for dynamically and automatically managing resource access permissions
US10645077B2 (en) 2013-12-02 2020-05-05 Thales Dis France Sa System and method for securing offline usage of a certificate by OTP system
US20150200918A1 (en) * 2014-01-16 2015-07-16 Muzhar Khokhar Multi Layered Secure Data Storage and Transfer Process
US20150304343A1 (en) 2014-04-18 2015-10-22 Intuit Inc. Method and system for providing self-monitoring, self-reporting, and self-repairing virtual assets in a cloud computing environment
US10757133B2 (en) 2014-02-21 2020-08-25 Intuit Inc. Method and system for creating and deploying virtual assets
US10121007B2 (en) 2014-02-21 2018-11-06 Intuit Inc. Method and system for providing a robust and efficient virtual asset vulnerability management and verification service
US9298927B2 (en) 2014-02-27 2016-03-29 Intuit Inc. Method and system for providing an efficient vulnerability management and verification service
US9516044B2 (en) 2014-07-31 2016-12-06 Intuit Inc. Method and system for correlating self-reporting virtual asset data with external events to generate an external event identification database
US11294700B2 (en) 2014-04-18 2022-04-05 Intuit Inc. Method and system for enabling self-monitoring virtual assets to correlate external events with characteristic patterns associated with the virtual assets
US9330263B2 (en) 2014-05-27 2016-05-03 Intuit Inc. Method and apparatus for automating the building of threat models for the public cloud
US10102082B2 (en) 2014-07-31 2018-10-16 Intuit Inc. Method and system for providing automated self-healing virtual assets
US10574745B2 (en) 2015-03-31 2020-02-25 Western Digital Technologies, Inc. Syncing with a local paired device to obtain data from a remote server using point-to-point communication
US10742625B2 (en) 2016-09-30 2020-08-11 Panasonic Avionics Corporation Automated delivery of security credentials to scheduled crew
US10154037B2 (en) * 2017-03-22 2018-12-11 Oracle International Corporation Techniques for implementing a data storage device as a security device for managing access to resources
CN106982215B (zh) * 2017-03-31 2019-12-13 北京奇艺世纪科技有限公司 一种密钥管理方法及装置
US10949526B2 (en) * 2018-01-25 2021-03-16 Salesforce.Com, Inc. User device authentication
US11244058B2 (en) 2019-09-18 2022-02-08 Bank Of America Corporation Security tool
CN111083124B (zh) * 2019-12-02 2022-03-01 中国联合网络通信集团有限公司 云堡垒登录方法及设备
CN114301595B (zh) * 2020-09-22 2023-09-29 如般量子科技有限公司 基于见证者的量子保密通信***及其通信方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07140897A (ja) * 1993-06-08 1995-06-02 Bull Cp 8 オフライン端末による携帯用オブジェクトの認証方法、携帯物品、及び対応する端末
JPH08227397A (ja) * 1994-06-03 1996-09-03 Sun Microsyst Inc 公衆回線用遠隔認証方法及び装置
JP2000200315A (ja) * 1998-12-31 2000-07-18 Casio Comput Co Ltd 身体装着機器及び認証システム
JP2001051932A (ja) * 1999-08-10 2001-02-23 Internatl Business Mach Corp <Ibm> htmlファイル取得方法、情報端末支援装置、htmlファイルを取得するソフトウエア・プロダクトを格納した記憶媒体

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5301247A (en) * 1992-07-23 1994-04-05 Crest Industries, Inc. Method for ensuring secure communications
US6212635B1 (en) * 1997-07-18 2001-04-03 David C. Reardon Network security system allowing access and modification to a security subsystem after initial installation when a master token is in place
US5983273A (en) * 1997-09-16 1999-11-09 Webtv Networks, Inc. Method and apparatus for providing physical security for a user account and providing access to the user's environment and preferences
US6317838B1 (en) * 1998-04-29 2001-11-13 Bull S.A. Method and architecture to provide a secured remote access to private resources
US6044349A (en) * 1998-06-19 2000-03-28 Intel Corporation Secure and convenient information storage and retrieval method and apparatus
US6751729B1 (en) * 1998-07-24 2004-06-15 Spatial Adventures, Inc. Automated operation and security system for virtual private networks
US20030135739A1 (en) * 1999-01-25 2003-07-17 Talton David N. System and method for authentication
US6081900A (en) * 1999-03-16 2000-06-27 Novell, Inc. Secure intranet access
US6704873B1 (en) * 1999-07-30 2004-03-09 Accenture Llp Secure gateway interconnection in an e-commerce based environment
DE69925732T2 (de) 1999-10-22 2006-03-16 Telefonaktiebolaget Lm Ericsson (Publ) Mobiltelefon mit eingebauter Sicherheitsfirmware
FI19992343A (fi) * 1999-10-29 2001-04-30 Nokia Mobile Phones Ltd Menetelmä ja järjestely käyttäjän luotettavaksi tunnistamiseksi tietokonejärjestelmässä
US6510464B1 (en) * 1999-12-14 2003-01-21 Verizon Corporate Services Group Inc. Secure gateway having routing feature
US6324648B1 (en) * 1999-12-14 2001-11-27 Gte Service Corporation Secure gateway having user identification and password authentication
US20010056354A1 (en) * 2000-05-05 2001-12-27 Feit Michelle Stacy Methods and systems for requesting services from service providers over a communications network
US6970853B2 (en) * 2000-06-06 2005-11-29 Citibank, N.A. Method and system for strong, convenient authentication of a web user
AU2001280975B2 (en) * 2000-08-04 2007-05-17 Computer Associates Think, Inc. Systems and methods for authenticating a user to a web server
US6971005B1 (en) * 2001-02-20 2005-11-29 At&T Corp. Mobile host using a virtual single account client and server system for network access and management

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07140897A (ja) * 1993-06-08 1995-06-02 Bull Cp 8 オフライン端末による携帯用オブジェクトの認証方法、携帯物品、及び対応する端末
JPH08227397A (ja) * 1994-06-03 1996-09-03 Sun Microsyst Inc 公衆回線用遠隔認証方法及び装置
JP2000200315A (ja) * 1998-12-31 2000-07-18 Casio Comput Co Ltd 身体装着機器及び認証システム
JP2001051932A (ja) * 1999-08-10 2001-02-23 Internatl Business Mach Corp <Ibm> htmlファイル取得方法、情報端末支援装置、htmlファイルを取得するソフトウエア・プロダクトを格納した記憶媒体

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7222100B2 (en) * 2001-02-09 2007-05-22 International Business Machines Corporation System and method for maintaining customer privacy
US7631084B2 (en) 2001-11-02 2009-12-08 Juniper Networks, Inc. Method and system for providing secure access to private networks with client redirection
US7958245B2 (en) 2001-11-02 2011-06-07 Juniper Networks, Inc. Method and system for providing secure access to private networks with client redirection
US7096200B2 (en) * 2002-04-23 2006-08-22 Microsoft Corporation System and method for evaluating and enhancing source anonymity for encrypted web traffic
US7640215B2 (en) 2002-04-23 2009-12-29 Microsoft Corporation System and method for evaluating and enhancing source anonymity for encrypted web traffic
JP2004272828A (ja) * 2003-03-12 2004-09-30 Ufj Bank Ltd 本人認証システム及び本人認証方法
JP2006526843A (ja) * 2003-04-08 2006-11-24 ジュニパー ネットワークス, インコーポレイテッド クライアントリダイレクトによるプライベートネットワークへの安全なアクセス提供方法およびシステム
JP4734592B2 (ja) * 2003-04-08 2011-07-27 ジュニパー ネットワークス, インコーポレイテッド クライアントリダイレクトによるプライベートネットワークへの安全なアクセス提供方法およびシステム
JP2007520797A (ja) * 2003-12-29 2007-07-26 ノキア インコーポレイテッド 継承セキュリティ属性を使用したセキュアネットワーク上のプロキシ要求を管理するためのシステム及び方法
WO2007099609A1 (ja) * 2006-02-28 2007-09-07 Matsushita Electric Industrial Co., Ltd. 機器認証システム、移動端末、情報機器、機器認証サーバ及び機器認証方法
JPWO2007099609A1 (ja) * 2006-02-28 2009-07-16 パナソニック株式会社 機器認証システム、移動端末、情報機器、機器認証サーバ及び機器認証方法
JP2008009644A (ja) * 2006-06-28 2008-01-17 Toshiba Corp 認証システムおよび認証方法

Also Published As

Publication number Publication date
US20020159601A1 (en) 2002-10-31
EP1255392B1 (en) 2009-08-12
ATE439725T1 (de) 2009-08-15
US7228438B2 (en) 2007-06-05
JP3877640B2 (ja) 2007-02-07
EP1255392A2 (en) 2002-11-06
EP1255392A3 (en) 2004-09-15
DE60233288D1 (de) 2009-09-24

Similar Documents

Publication Publication Date Title
JP3877640B2 (ja) 携帯用記憶装置を用いるコンピュータネットワークセキュリティシステム
US10652230B2 (en) Generation and distribution of secure or cryptographic material
CA2654381C (en) Policy driven, credential delegation for single sign on and secure access to network resources
US8904178B2 (en) System and method for secure remote access
JP4222834B2 (ja) 格納された鍵の入手および安全な配信により鍵サーバが認証される暗号鍵を格納する方法および装置
US8532620B2 (en) Trusted mobile device based security
US6198824B1 (en) System for providing secure remote command execution network
US7992193B2 (en) Method and apparatus to secure AAA protocol messages
US20160072787A1 (en) Method for creating secure subnetworks on a general purpose network
US20090319776A1 (en) Techniques for secure network communication
WO2018014760A1 (zh) 图形码信息提供、获取方法、装置及终端
EP2553894B1 (en) Certificate authority
JP2007503136A (ja) デジタル通信を容易にするためのシステム、方法、装置およびコンピュータプログラム
JP2009514046A (ja) グリッド・アクセス及びネットワーク・アクセスを提供するシングル・サインオン操作のための方法及びシステム
US9059962B2 (en) Secure access to applications behind firewall
JP2018117340A (ja) コンピュータネットワーク内のユーザの認証
JP2004528624A (ja) ワンタイムパスワードを用いてユーザを事前認証する装置
Vincenzetti et al. STEL: Secure TELnet.
Ali et al. Flexible and scalable public key security for SSH
Safford et al. Texas A&M University Anarchistic Key Authorization (AKA).
Garimella et al. Secure Shell-Its significance in Networking (SSH)
KR100555745B1 (ko) 클라이언트 시스템과 특정 도메인 서버간의 보안 시스템및 그 방법
Bornstein et al. Shell Protocols
Ali Adding Public Key Security to SSH
Ali Flexible and Scalable Public Key Security for SSH

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060620

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060818

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20061003

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20061031

R150 Certificate of patent or registration of utility model

Ref document number: 3877640

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091110

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101110

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101110

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111110

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121110

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121110

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131110

Year of fee payment: 7

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees