JP2004030611A - 通信パスワードをリモートで変更するための方法 - Google Patents
通信パスワードをリモートで変更するための方法 Download PDFInfo
- Publication number
- JP2004030611A JP2004030611A JP2003125927A JP2003125927A JP2004030611A JP 2004030611 A JP2004030611 A JP 2004030611A JP 2003125927 A JP2003125927 A JP 2003125927A JP 2003125927 A JP2003125927 A JP 2003125927A JP 2004030611 A JP2004030611 A JP 2004030611A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- new
- password
- client
- authentication server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
- 238000000034 method Methods 0.000 title claims abstract description 97
- 238000004891 communication Methods 0.000 title abstract description 44
- 150000003839 salts Chemical class 0.000 claims description 85
- 230000008859 change Effects 0.000 claims description 55
- 230000004044 response Effects 0.000 claims description 9
- 230000008569 process Effects 0.000 abstract description 19
- 238000009795 derivation Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 8
- 230000002427 irreversible effect Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 210000001072 colon Anatomy 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Selective Calling Equipment (AREA)
- Mobile Radio Communication Systems (AREA)
- Indicating And Signalling Devices For Elevators (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Abstract
【解決手段】認証クライアントは、新しいパスワードをそのユーザから得る。新しいパスワードからおよび認証サーバによって提供された情報から、「パスワードベリファイヤ」を導出する。パスワードベリファイヤは、認証サーバと共有される。新しいパスワード自体は認証サーバに送信されず、新しいパスワードをパスワードベリファイヤから導出することは基本的に不可能である。認証クライアントおよび認証サーバは、それぞれ、新しいパスワードからおよびパスワードベリファイヤから、新しい認証および暗号化セキュリティキーの組を並行して導出する。いずれかの特定のセキュリティキーの組を使用して送信されるデータ量を制限するために、このプロセスを繰り返すことができる。
【選択図】 図4
Description
【発明の属する技術分野】
本発明は、一般にコンピュータ通信に関し、より詳細には、パスワードベースのセキュリティをコンピュータ通信セッションに提供することに関する。
【0002】
【従来の技術】
コンピュータネットワークが拡大の一途を辿っており、より機密性の高い情報を運ぶようになってきている。セキュリティ上の理由から、ネットワークを使用する計算デバイスが、そのアイデンティティを他のデバイスに対して証明(「認証」)し、他の認証されたデバイスとしか機密情報を通信しないことがしばしばである。しかし、大多数の認証された通信は、まだセキュリティ攻撃に脆弱である。セキュリティ攻撃の1つの形に、攻撃者が、恐らく正当なデバイスを偽装することにより、誤って認証されてしまうことがある。いったん認証されると、攻撃者は、正当に認証されたデバイスのためのみのはずの情報へのアクセスを有することになる。攻撃の第2の形に、攻撃者は認証されないが、セキュリティコードを得るために、認証されたデバイス間の通信を盗聴することがある。これらのセキュリティコードを掌中に収めると、盗聴者は、認証されたデバイスによって送信された機密情報にアクセスできる。これらのセキュリティ攻撃は、それらの通信への物理アクセスを制限することが困難または不可能であるために、無線技術を介して通信するデバイスに対して特に問題である。
【0003】
これらの2つの形のセキュリティ攻撃は、通信セキュリティの2つの主要な態様によって解決される。まず最初に、違法攻撃者による使用を予防するための認証技術がますます高度になってきている。代表的な通信環境には、認証を得ることを試みる場合に、(「認証クライアント」と呼ぶ)すべての計算デバイスと通信する認証サーバが含まれている。認証を得るためには、認証クライアントは、通常、いくつかの認証資格証明(authentication credential)についての知識を証明しなければならない。場合によっては、認証資格証明は、認証クライアントと認証サーバとの間で共有される秘密通信パスワードを含む。他の場合には、認証資格証明は、公開/私用キーの対およびセキュリティ証明書に基づくことがある。いずれの場合においても、認証資格証明についての知識を証明した場合にのみ、認証クライアントは認証サーバに対し認証される。認証プロセスは通常相互に行われ、認証サーバもまた、認証クライアントに対しそのアイデンティティを証明する。
【0004】
通信セキュリティの第2の態様においては、認証された計算デバイス間で送信される情報が暗号化される。代表的な暗号化方法では、情報の送信側および受信側が、まず最初に情報符号化スキームについて同意する。符号化スキームは、しばしばだが必ずしも常にではなく送信側と受信側との間で共有されている、秘密セキュリティキーに基づく。秘密セキュリティキーは、認証のために使用されるものと同じ通信パスワードに基づくことができる。送信側は、同意された符号化スキームを使用して情報を暗号化し、次いで、暗号化された情報を受信側に送信する。それを受信すると、受信側は、同意された符号化スキームを使用して情報を解読する。暗号化された情報が盗聴される可能性はやはりあるが、盗聴者は、セキュリティキーについての知識を持たずに元の情報を得ることができない。
【0005】
しかし、認証および暗号化が、常に十分な保護を提供するわけではない。例えば、暗号化された情報が、統計的攻撃(statistical attack)を含む、いくつかの攻撃にやはりさらされやすい。統計的攻撃では、盗聴者が、送信側および受信側によって同意されたセキュリティスキームに関連するパターンを何とか引き出すために、1組の暗号化されたメッセージを分析する。そのパターンから、盗聴者は、同意されたセキュリティスキームの基礎となるセキュリティキーを見つけ、それを使用して、暗号化された情報を解読することができる。
【0006】
攻撃のこの方法の統計的な性質により、分析されるメッセージの数が増えるに従って、その精度が向上する。したがって、統計的攻撃を阻止するための1つのアプローチが、いずれか1つのセキュリティスキームを使用して送信される情報量を制限することである。これを行うために、同意されたセキュリティスキームの基礎となるセキュリティキーを頻繁に変更する場合がある。相互認証プロセスは、認証クライアントによりおよび認証サーバにより使用されるセキュリティキーを変更する。しかし、認証により、新しいセキュリティキーがやはり変更されていない通信パスワードに基づくという事実が変わるわけではない。時間が経つにつれて、そのパスワードが漏洩する可能性が増すので、それも頻繁に変更すべきである。このことは、最初に見えてくるように単純なことではない。有用であるためには、新しいパスワード(またはそれから導出される情報)が、認証クライアントおよび認証サーバの両方で使用可能である必要がある。単に認証クライアント上で新しいパスワードを設定し、次いでそれを通信リンクを介して認証サーバに送信することは、あまり安全ではない。新しいパスワードを送信する「帯域外」方法(コンピュータ通信リンクを使用しない方法)は、相当安全ではあるが、特に認証サーバが認証クライアントから離れた場所にある場合には厄介なことになり、したがって頻繁なパスワード変更が妨げられることになる。
【0007】
【非特許文献1】
IETF RFC (Internet Engineering Task Force Request for Comments) 2945, ”The SRP Authentication and Key Exchange System”
【0008】
【非特許文献2】
IETF RFC2246, ”The TLS Protocol”
【0009】
【非特許文献3】
IETF RFC2104, ”HMAC:Keyed−Hashing For Message Authentication”
【0010】
【発明が解決しようとする課題】
本発明の目的は、認証クライアントおよび認証サーバが、通信リンクを介して新しいパスワードを明示的に送信することなく、新しい通信パスワードを実施するための厄介でない方法を提供することである。
【0011】
【課題を解決するための手段】
上記から、本発明は、認証サーバによって認証されている認証クライアントが、認証の効果を強化して、新しい通信パスワードを実施するのための方法を提供する。認証サーバは、認証クライアントが新しいパスワードを実施することを要求する。認証クライアントは、新しいパスワードをそのユーザから得る。新しいパスワードからおよび認証サーバによって提供された情報から、認証クライアントは「パスワードベリファイヤ」を導出する。次いで、パスワードベリファイヤは、認証サーバと共有される。新しいパスワードを実施するプロセス中、認証クライアントと認証サーバとの間の通信が、前のパスワードから導出されたセキュリテキーを使用して保護される。新しいパスワード自体は、決して認証サーバに送信されず、パスワードベリファイヤから新しいパスワードを導出することは、基本的に不可能である。将来の再認証については、パスワードベリファイヤについての認証サーバの知識および新しいパスワード自体についての認証クライアントの知識が、認証資格証明として使われる。
【0012】
認証クライアントおよび認証サーバは、認証資格証明のそれぞれについての知識から新しいセキュリティキーの組を並行して導出する。新しいセキュリティキーは、プロセスが繰り返されて、より新しいセキュリティキーの組がより新しいパスワードから導出されるまで、認証および暗号化のために使用される。このプロセスを所望のままにしばしば繰り返して、ある特定のセキュリティキーの組を使用して送信されるデータ量を制限し、したがって統計的攻撃者の有効性を制限することができる。
【0013】
本発明の別の態様においては、認証サーバがいつ現在の通信パスワードを変更すべきかを判断するが、その判断は恐らく、時間の経過または現在のパスワードを使用して送信されたデータ量に基づく。
【0014】
頭記の特許請求の範囲に本発明の特徴を詳細に記載してあるが、本発明は、その目的および利点とともに、添付図面と合わせて以下の詳細な説明から最も良く理解できるであろう。
【0015】
【発明の実施の形態】
次に図面を参照するが、ここで同様の参照符号は同様の要素を指し、本発明は、適切なコンピューティング環境内で実施されるものとして例示してある。以下の記述は、本発明の実施形態に基づくものであり、本明細書に明示的に記述していない代替実施形態に関して本発明を限定するものと解釈すべきではない。
【0016】
以下の記述では、それ以外の記述がない限り、1つまたは複数の計算デバイスによって実施される作用およびオペレーションの象徴的表現を参照しながら本発明を記述する。したがって、ときにコンピュータ実行(computer−executed)と呼ぶこのような作用およびオペレーションには、構造化形式(structured form)でデータを表す電気信号の計算デバイスの処理ユニットによる操作が含まれることを理解されるであろう。この操作により、データが変換され、または計算デバイスのメモリシステム内の複数の場所にそれらが保持され、当業者に周知の方式でデバイスのオペレーションが再構成されるかまたは変更される。データが保持されているデータ構造は、データのフォーマットによって定義された特定のプロパティを有するメモリの物理的な場所である。しかし、上述の状況において本発明を説明しているが、何ら限定的なものではなく、本明細書の以下に記述したさまざまな作用およびオペレーションがハードウェア内でも実施できることは当業者なら理解されるであろう。
【0017】
図1のネットワーク環境100においては、認証クライアント102のアイデンティティが、認証サーバ106に対して証明され(「認証され」)ている。これを行うために、認証クライアント102は、そのアイデンティティを認証クライアント102が主張しているエンティティに対してのみ恐らく周知である秘密情報を保有していることを認証サーバ106に対して証明した。この秘密情報を、認証クライアント102の「認証資格証明」と呼ぶ。
【0018】
いくつかの環境100においては、特に無線ネットワークにおいては、認証クライアント102は、ローカルアクセスサーバ104と直接に通信できる。アクセスサーバ104は、リモートにあっても良く、かついくつかの、恐らく数百のネットワーク100に供することのできる、認証クライアント102と認証サーバ106との間の通信を通過させる。アクセスサーバ104が存在するかどうかについては、本発明についての説明に影響を及ぼさず、これ以上記述しないこととする。
【0019】
認証が成功裡に完了すると、認証クライアント102および認証サーバ106は、それらの間で渡されるメッセージを暗号化し認証する際に使用できる1組のセキュリティキーを導出する。セキュリティキーは、一部、認証クライアント102の認証資格証明から導出される。暗号化および認証は、ネットワーク100内を通過するすべてのメッセージが悪意ある盗聴者108による傍受を受けやすいために必要なものである。盗聴者108は、メッセージを保護するために使用されているセキュリティキーを見つけようとして、メッセージを傍受し、統計的方法をそれらに適用する。この攻撃の統計的な性質により、分析されるメッセージの数が増えるに従って、その精度が向上する。この統計的攻撃を阻止するために、認証クライアント102および認証サーバ106は、盗聴者108がこれらのセキュリティキーを見つけるための十分なメッセージを傍受できるようになる前に、素早くセキュリティキーを変更すべきである。
【0020】
セキュリティキーを変更するために周知の方法が存在する。例えば、それぞれの認証中に、ランダム値やタイムスタンプなどの「生存性(liveness)」情報が生成される。セキュリティキーの導出の際に認証資格証明とともに生存性情報を含むことにより、成功裡に行われた認証のそれぞれについて、異なるセキュリティキーの組が導出される。しかし、それぞれのセキュリティキーの組が、同じ認証資格証明からやはり導出される。これらの資格証明が弱められる場合、セキュリティキーはやはり攻撃に脆弱である。これを防ぐためには、認証資格証明から導出されたセキュリティキーを頻繁に変更するのと同じように、認証資格証明を周期的に変更するべきである。
【0021】
認証クライアント102の認証資格証明を変更することは、最初に見えてくるように単純なものではない。認証資格証明は、認証クライアント102上で容易に変更できるが、有用であるためには、その変更を認証サーバ106と調整しなければならない。そうでない場合は、認証サーバ106はやはり、元の認証資格証明についての認証クライアント102の知識の証明を求めるであろう。(以下に説明するが、認証サーバ106は、これらの認証資格証明を実際に認識している必要はない。認証サーバ106は、これらの資格証明自体を認識することなく、認証資格証明についての認証クライアント102の知識を検証できる。)その変更を調整する1つの簡単な方法が、通信リンクを介して認証サーバ106に認証資格証明を送信することである。しかし、盗聴者108の存在の可能性がある場合には、この方法は余り安全ではない。変更を調整する他の周知の方法が、通常、「帯域外」通信(コンピュータ通信リンクを使用しない方法)を伴うものである。帯域外方法は、相当安全ではあるが、認証サーバ106が認証クライアント102から離れた場所にある場合には特にかなり厄介であり、認証資格証明を頻繁に変更することを妨げる。本発明は、認証クライアント102および認証サーバ106が新しい認証資格証明の実施を調整するための、安全だが厄介でない方法を提供する。
【0022】
図1の認証クライアント102は、どのようなアーキテクチャのものでも良い。図2は、本発明をサポートするコンピュータシステムの例を一般的に示すブロック図である。図2のコンピュータシステムは、適切な環境の一例にすぎず、本発明の使用や機能の範囲を限定するものではない。認証クライアント102についてもまた、図2に例示した構成要素のうちのいずれか1つまたはそれらの組み合わせに対する従属性または要件を有すると解釈すべきではない。本発明は、他のさまざまな汎用または専用コンピューティング環境または構成とともに動作可能である。本発明とともに使用するために適切な周知の計算システム、環境、構成の例には、パーソナルコンピュータ、サーバ、ハンドヘルドまたはラップトップデバイス、マルチプロセッサシステム、マイクロプロセッサベースのシステム、セットトップボックス、プログラマブルな家庭用電化製品、ネットワークPC、ミニコンピュータ、メインフレームコンピュータ、上述したシステムやデバイスのいずれかを含む分散型コンピューティング環境が含まれるが、それらに限定されるものではない。その最も基本的な構成においては、認証クライアント102は、通常、少なくとも1つの処理ユニット200およびメモリ202を備える。メモリ202は、(RAMなどの)揮発性、(ROMやフラッシュメモリなどの)不揮発性、あるいはこの2つのある組み合わせとすることができる。この最も基本的な構成が、図2に破線204で例示してある。認証クライアント102は、追加の特徴および機能を有することができる。例えば、認証クライアント102は、磁気および光学ディスクおよびテープを含むがそれらに限定されない追加の記憶装置(取り外し可能および取り外し不可能)を備えることができる。このような追加の記憶装置が、取り外し可能記憶装置206および取り外し不可能記憶装置208で図2に例示してある。コンピュータ記憶媒体には、コンピュータ読取り可能命令、データ構造、プログラムモジュール、他のデータなどの、情報を格納するためのどのような方法または技術によっても実施される、揮発性および不揮発性、取り外し可能および取り外し不可能の媒体が含まれる。メモリ202、取り外し可能記憶装置206、取り外し不可能記憶装置208は、すべてコンピュータ記憶媒体の例である。コンピュータ記憶媒体には、所望の情報を格納し、認証クライアント102からアクセスできる、RAM、ROM、EEPROM、フラッシュメモリ、他のメモリ技術、CD−ROM、ディジタル多用途ディスク、他の光学記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置、他の磁気記憶装置デバイス、他のどのような媒体も含むが、それらに限定されるものではない。このようなコンピュータ記憶装置媒体のいずれも、認証クライアント102の一部であり得る。認証クライアント102は、デバイスが他のデバイスと通信することを可能にする通信チャネル210を含むこともできる。通信チャネル210は、通信媒体の例である。通信媒体は、通常、搬送波や他のトランスポートメカニズムなどの変調データ信号内に、コンピュータ読取り可能命令、データ構造、プログラムモジュール、または他のデータを包含し、どのような情報配信媒体をも含む。用語「変調データ信号」とは、信号内の情報を符号化する方式で設定または変更されたその特性の組の1つまたは複数を有する信号である。例示として、通信媒体には、光学媒体、有線ネットワークや直接有線接続などの有線媒体、音響、RF、赤外線、他の無線媒体などの無線媒体が含まれるが、それらに限定されるものではない。用語「コンピュータ読取り可能媒体」は、本明細書で使用する場合、記憶媒体および通信媒体の両方を含む。認証クライアント102はまた、キーボード、マウス、ペン、音声入力デバイス、タッチ入力デバイスなどの入力デバイス212も備えることができる。ディスプレイ、スピーカ、プリンタなどの出力デバイス214も備えることができる。これらのすべてのデバイスは、当技術分野で周知であり、ここで詳細に説明する必要はない。
【0023】
図3aから3cのデータフロー図は、本発明を行うための方法の一例を示す図である。ステップ300から308が、ステージを設定する。ステップ300および302で、認証クライアント102および認証サーバ106は、周知の認証技術を使用して互いに認証する。適切な認証技術の一例を考察されたい(例えば、非特許文献1参照)。ステップ300および302では相互認証について記述しているが、ここでは主に、一方向の認証で使用される認証資格証明を更新することについて記述する。以下の例では主に、認証サーバ106に対して認証クライアント102を認証することについて記述する。本発明の方法が、認証クライアント102に対して認証サーバ106を認証することにも同様に適用可能であるために、その方向の認証について、さらに説明する必要はない。
【0024】
ステップ300で認証クライアント102によって使用される認証資格証明は、秘密パスワードを含む。そのパスワードの値は、恐らく認証クライアント102上には格納されないが、ユーザが認証サーバ106によって認証されることを望む場合に、ユーザ名とともに認証クライアント102のユーザによって入力される。セキュリティ上の理由から、認証サーバ106は、秘密パスワードの値を認識しない。しかし、秘密パスワードから導出された「パスワードベリファイヤ」の値を認識する。認証サーバ106は、ユーザ名に関連するパスワードベリファイヤを格納する。(パスワードベリファイヤは、認証クライアント102の識別子に関連してではなくユーザ名に関連して格納されるので、認証クライアント102が認証されると言うよりむしろ、ユーザ名が認証されると言う方がより適切であろう。例えば、ユーザが異なるクライアントに移動し、同じユーザ名およびパスワードを使用する場合は、その認証方法は前と同様に機能する。しかし、説明を簡単にするために、ここでは、そのまま認証サーバ106に対し認証クライアント102を認証することについて説明していくこととする。)
【0025】
どのようにパスワードベリファイヤをパスワードから導出できるのかについての一例を、図3bのステップ316を参照しながら以下に説明する。ここでの説明では、導出が、「限定的(determinative)」でありかつ「不可逆的」であることを知っているだけで十分である。限定的とは、導出自体にランダム性がないことであり、つまりいったん導出への入力(パスワードを含むが他の値も含むことができる)が周知となると、出力(パスワードベリファイヤ)は完全に判断される。導出が不可逆的であるとは、導出の出力を認識することによって入力を判断できないということである。それよりも重要なことは、ある人がパスワードを除くパスワードベリファイヤおよび導出に対するすべての入力を認識していた場合でも、その人はやはりパスワードを判断できない。これらの特性から、認証プロセスの方法を使用すると、パスワード自体を認識している人のみが、認証クライアント102であることを成功裡に主張できるということが示唆される。認証プロセス中、認証サーバ106は、パスワードベリファイヤについての知識を使用して、パスワードについての認証クライアント102の知識をテストする。
【0026】
パスワードからのパスワードベリファイヤの導出に対する他の入力が、認証クライアント102と認証サーバ106との間で共有される。パスワード自体についての知識を持たずにパスワードベリファイヤを再作成するためには、これらの他の値についての知識では不充分であるために、認証プロセスが開始する前にこれらの他の値が公開でき、公開標準認証プロトコル内にパラメータとして設定することさえもできる。
【0027】
認証プロセスの1つの結果として、認証クライアント102はステップ304で、および認証サーバ106はステップ306で、並行して1組のセキュリティキーを導出する。認証クライアント102はセキュリティキーを秘密パスワードから導出し、認証サーバ106はそれらをパスワードベリファイヤから導出する。成功裡に行われた認証プロセスにより、2つのデバイス上で導出されたセキュリティキーが同じであることが確かめられる。認証プロセスによりこのことがどのように確かめられるか、およびセキュリティキーがどのように導出されるかの両方についての一例を参照されたい(例えば、非特許文献2参照)。
【0028】
セキュリティキーの導出には、認証クライアント102と認証サーバ106との間で共有される生存性情報も必要である。導出で共有される生存性情報を使用することにより、認証クライアント102が認証サーバ106に対して自身を認証する度に、セキュリティキーが異なるものとなる。そうでない場合は、認証クライアント102は、毎回の認証後も、同じセキュリティキーを使用することとなる。このことを認識したうえで、盗聴者108は、毎回認証クライアント102が認証されると、その統計的攻撃を再開して、新しく傍受したメッセージを、認証クライアント102の以前のセッション中に傍受したメッセージの分析に追加できる。
【0029】
1組のセキュリティキーは、通常、暗号化キー(共有されているかまたは1対の片方向キーのいずれかであり得る)および認証キーの両方を含む。いったんキーが認証クライアント102によっておよび認証サーバ106によって導出されると、これらの2つのデバイスは、ステップ308でそれらの通信を保護するためにキーを使用できる。セキュリティキーの使用の例を、図3bのステップ312および318を参照しながら以下に説明する。もちろん、認証クライアント102および認証サーバ106が、ステップ308でセキュリティキーを使用して通信を開始するので、盗聴者108もまた、セキュリティキーを見つけようとして、通信の傍受を開始し、それらに統計的攻撃を行うことになる(図示せず)。
【0030】
ステップ310で、認証サーバ106は、新しい秘密パスワードを実施することを決定する。この決定の理由には、通常、現在のパスワードが使用された時間量、現在のパスワードで送信された情報量、ネットワーク100の固有セキュリティが含まれる。無線ネットワークでは、通常、盗聴に対してオープンであるために、これらのネットワーク上で使用されるパスワードを周期的に変更すべきである。いずれに場合においても、認証クライアント102のパスワードを変更すべきであると判断すると、認証サーバ106は、ステップ312でその旨の要求(request)を送信する。認証クライアント102がパスワードを変更することによって応答しない場合は、認証クライアント106は恐らく現在のパスワードを使用禁止にし、認証クライアント102を認証することから防ぐというこの状況下においては、「要求」という語は、恐らく婉曲表現であろうことに留意されたい。
【0031】
ステップ300および302の認証プロセスを参照しながら上記に説明したように、新しいパスワードベリファイヤを導出するプロセスは、新しいパスワード自体に加えて、他の入力をとることができる。認証サーバ106は、変更パスワード要求とともにこれらの他の入力のための新しい値を送信することを選択できる。新しいパスワードベリファイヤが、新しいパスワードからおよび前回パスワードが変更された時に使用された他の入力の同じ値から導出できるので、このことは必ずしも必要なものではない。しかし、これらの入力の少なくともいくつかを変更することによって、セキュリティが向上する。ステップ312に列挙してある入力の具体例(プライムモジュラス、ジェネレータ、ソルト)を、ステップ316を参照しながら以下に説明する。セキュリティを追加するために、ステップ306で導出されたセキュリティキーを使用して、これらの値を暗号化できる。変更パスワード要求がこれらの他の入力のいずれかを含む場合は、新しい入力をカバーする(扱う)MAC(メッセージ認証コード)も送信できる。MACは、入力の不可逆的ハッシュであり、変更パスワード要求の内容が認証サーバ106によって変更なく受信されたかどうかをチェックするために、認証クライアント102によって使用できる。例えば、非特許文献3には、MACを生成するための方法の一例がある。
【0032】
認証クライアント102は、新しい入力値を伴う変更パスワード要求があればこれを受信する。新しい入力値がある場合には、MACは検証される。検証結果が不合格であると、変更パスワード要求は無視される。そうでない場合は、それらを暗号化するために使用されるものと同じセキュリティキーを使用して、新しい値が解読され、それらの値は、後に使用するために格納される。ステップ314で、認証クライアント314は、そのユーザに新しいパスワードの入力を促す。例えば、ステップ314は、ユーザが認証には元のパスワードを入力し、次いで確認のために新しいパスワードを2回入力しなければならないという周知のプロセスの形をとることができる。いくつかの実施形態では、新しいパスワードは、さまざまな基準に照らしてチェックされた後に、受理されることとなる。これらの基準は、良く知られている「少なくとも8文字の長さでなければならない」、「英字および数字の両方を含んでいなければならない」、「標準的な辞書で見つけられるものであってはならない」、「最近使用したパスワードの並べ替えであってはならない」、「配偶者またはペットの名前であってはならない」などを含むことができる。
【0033】
ユーザが認証クライアント102の課すことのできるどのようなテストにも合格する新しいパスワードを作成すると、認証クライアント102は、ステップ316で、新しいパスワードベリファイヤを新しいパスワードから導出する。上述したように、導出は、限定的でありかつ不可逆的であるべきである。IETF RFC2945では、両方の要件を満たす以下に示した導出の方法を提示している。
【0034】
Password Verifier =G^SHA(salt|SHA(username|”:”|password))%P
上式で、
SHA(Secure Hash Algorithm)は、当業界で周知のハッシュ関数である。
ソルト(salt)は、認証サーバ106と共有されるランダム値である。
|は、文字列連結演算子(string concatenation operator)である。
ユーザ名およびパスワードは、認証クライアント102のユーザによって入力される。
“:”は、コロン文字から構成される文字列である。
^は、べき乗演算子である。
%は、法(modulo)(整数剰余)演算子である。
Pは、「プライムモジュラス(prime modulus)」、つまり認証サーバ106と共有される、(セキュリティ上の理由から、少なくとも512ビットの)大きい素数(prime number)である。
Gは、認証サーバ106と共有されるPのジェネレータ、つまりP未満の任意の自然数Aに対して、G^B%P=Aなどの別の数Bが存在する。
【0035】
認証サーバ106が、ステップ312で、プライムモジュラス、ジェネレータ、またはソルトのための新しい値を送信すると、これらの新しい値がパスワードベリファイヤの導出で使用される。
【0036】
認証クライアント102は、新しいパスワードベリファイヤを獲得し、ステップ306で導出されたセキュリティキーでそれを暗号化し、MACを用いてそれをカバーし、それをステップ318で認証サーバ106に送信する。パスワードベリファイヤが成功裡に送信された後、認証クライアント102上のその存在は、それ以上の目的を持たなくなるので破棄できることとなる。認証サーバ106は、MACを検証し、それを暗号化するために使用された同じセキュリティキーで新しいパスワードベリファイヤを解読し、ユーザ名および変更された導出プロセスへの他の入力に関連する新しいパスワードベリファイヤを格納する。いくつかの実施形態では、プライムモジュラスおよびジェネレータは、たとえ変更されることがあったとしてもまれであるが、新しいソルトは、毎回パスワードが変更される毎に作成される。
【0037】
一定時間の後、認証サーバ106が変更パスワード要求に対する応答を受信しない場合は、再び要求を送信することがある。上述したように、パスワードを変更する試みに繰り返して失敗した後に、認証サーバ106は、現在のパスワードを使用禁止にする決定を行うことができる。
【0038】
認証資格証明の変更を調整するプロセスが完了した。セキュリティ上の理由から、認証クライアント102は、ステップ320で認証サーバ106に対して自身を再認証することにより、ただちに新しい資格証明を使用することが推奨される。再認証が成功した場合は、ステップ304および306と並行して、ステップ324および326で、認証クライアント102および認証サーバ106は、それぞれ、新しい認証資格証明に基づく新しいセキュリティキーの組を導出する。ステップ328で、新しいセキュリティキーが、通信を保護するために使用される。新しいパスワードおよび新しいパスワードベリファイヤは、再びパスワードを変更することを決定することにより認証サーバ106がステップ310に戻るまで、認証資格証明としてそのまま使用される。
【0039】
本発明の方法により、認証クライアント102と認証サーバ106との間の通信に割り込まずに、認証資格証明が変更できるようになることに留意されたい。これらの2つのデバイスは、新しいキーの組が新しい認証資格証明に基づいて導出されるまで、元のセキュリティキーを使用し続ける。
【0040】
認証クライアント102と認証サーバ106との間で使用される通信プロトコルは、ステップ312および318で情報を送信するために使用される実際のフォーマットを判断できる。図4は、2つのデータ構造の例、変更パスワード要求メッセージのためのアイテム400および変更パスワード応答メッセージのためのアイテム402を示す。図4は、使用される通信プロトコルがヘッダおよびトレーラをこれらのデータフィールドに追加できるというメッセージの例のデータフィールドのみを示す。これらの2つのメッセージは、例えば、2つの新しいEAP−SRP(Extensible Authentication Protocol−Secure Remote Password)メッセージとして包含できる。EAP−SRPはまた、これらのデータフィールドを運ぶために使用できるベンダ特有のメッセージも定義する。他の通信プロトコルも同様の機構を提供する。
【0041】
本発明の原理を適用できる多くの可能な実施形態について、図面に関して本明細書に記述した実施形態は単に例示のためであって、本発明の範囲を限定するものと解釈すべきでないことを理解されたい。データフィールドサイズやメッセージフォーマットなどの、いくつかの実施の詳細事項は、特定の状況のために選ばれたプロトコルによって決まり、公開されている標準で見つけることができることは、当業者なら理解されるであろう。ソフトウェアモジュールまたは構成要素、いくつかのプロセス、特に暗号化の方法に関して、本発明を記述してきたが、本発明は、ハードウェア構成要素によっても同様に実施できる。したがって、本明細書に記述した本発明は、頭記の特許請求の範囲およびそれの均等物の範囲内に含まれる実施形態のすべてを想定する。
【図面の簡単な説明】
【図1】認証クライアント、認証サーバ、盗聴者を有する通信環境の例を示すブロック図である。
【図2】本発明をサポートする計算システムの例を一般的に示す概略図である。
【図3a】本発明の一実施形態に従って、認証クライアントおよび認証サーバが互いに相互に認証し、次いで新しい通信パスワードを実施した場合に、渡される情報および実行されるオペレーションを一般的に示すデータフロー図である。
【図3b】本発明の一実施形態に従って、認証クライアントおよび認証サーバが互いに相互に認証し、次いで新しい通信パスワードを実施した場合に、渡される情報および実行されるオペレーションを一般的に示すデータフロー図である。
【図3c】本発明の一実施形態に従って、認証クライアントおよび認証サーバが互いに相互に認証し、次いで新しい通信パスワードを実施した場合に、渡される情報および実行されるオペレーションを一般的に示すデータフロー図である。
【図4】新しい通信パスワードを実施するプロセス中に使用される可能なメッセージを示すデータ構造図である。
【符号の説明】
100 ネットワーク環境
102 認証クライアント
104 ローカルアクセスサーバ
106 認証サーバ
108 盗聴者
200 処理ユニット
202 メモリ
204 破線
206 取り外し可能記憶装置
208 取り外し不可能記憶装置
210 通信チャネル
212 入力デバイス
214 出力デバイス
Claims (53)
- 認証クライアントと認証サーバとを有するコンピューティング環境であって、前記認証クライアントは前記認証サーバに対して認証されており、前記認証クライアントの前記認証は、前記認証クライアントに周知の元のパスワードと、前記認証サーバに周知の元のパスワードベリファイヤと、前記認証クライアントおよび前記認証サーバの両方に周知のユーザ名、元のプライムモジュラス、前記元のプライムモジュラスの元のジェネレータ、および元のソルトとに基づくコンピューティング環境において、新しいパスワードを実施するための方法であって、
前記認証サーバが、前記認証クライアントがそのパスワードを変更することを要求するステップと、
前記認証サーバが前記認証クライアントに対して、新しいソルトをアクセス可能にするステップと、
前記認証クライアント上で、前記認証クライアントのユーザから新しいパスワードを要求し受信するステップと、
前記認証クライアント上で新しいパスワードベリファイヤを計算し、前記新しいソルトおよび前記ユーザ名を、前記計算するステップへの入力として渡すステップと、
前記認証クライアントが前記認証サーバに対して前記新しいパスワードベリファイヤをアクセス可能にするステップと、
前記認証サーバ上で、前記ユーザ名、新しいパスワードベリファイヤ、および新しいソルトを格納するステップとを備えることを特徴とする方法。 - 前記認証クライアントがそのパスワードを変更することを要求するステップは、EAP−SRP(Extensible Authentication Protocol−Secure Remote Password)サーバ変更パスワードメッセージを送信するステップを含み、前記新しいパスワードベリファイヤをアクセス可能にするステップは、EAP−SRPクライアント変更パスワードメッセージを送信するステップを含むことを特徴とする請求項1に記載の方法。
- 前記認証クライアントがそのパスワードを変更することを要求するステップは、EAP−SRPベンダ特有の変更パスワード要求メッセージを送信するステップを含み、前記新しいパスワードベリファイヤをアクセス可能にするステップは、EAP−SRPベンダ特有の変更パスワード応答メッセージを送信するステップを含むことを特徴とする請求項1に記載の方法
- 前記新しいソルトは前記元のソルトと同じであり、前記新しいソルトをアクセス可能にするステップは、前記認証クライアントがそのパスワードを変更することを要求する前に、前記認証サーバが前記認証クライアントと前記新しいソルトを共有するステップを含むことを特徴とする請求項1に記載の方法
- 前記新しいソルトは前記元のソルトと同じではなく、前記新しいソルトをアクセス可能にするステップは、前記認証サーバが、前記新しいソルトを有する前記認証クライアントにメッセージを送信すること、前記認証サーバおよび前記認証クライアントへアクセス可能な場所に前記新しいソルトを書き込むこと、および前記認証クライアントがそのパスワードを変更することを要求する前に、前記新しいソルトを前記認証クライアントと共有することからなる群から選択される技術を使用するステップを含むことを特徴とする請求項1に記載の方法。
- 新しいソルトをアクセス可能にするステップは、
前記認証サーバが前記新しいソルトを扱う第1のMACを計算するステップであって、前記第1のMACは前記認証クライアントの前記認証中に導出された認証クライアントから認証サーバへの認証キーに基づくステップと、
前記認証サーバが前記認証クライアントに対して前記第1のMACをアクセス可能にするステップと、
前記認証クライアント上で、前記新しいソルトを扱う第2のMACを計算するステップであって、前記第2のMACは前記認証クライアントから認証サーバへの認証キーに基づくステップとをさらに含み、
新しいパスワードを要求し受信するステップ、ならびに新しいパスワードベリファイヤを計算するステップ、アクセス可能にするステップ、および格納するステップは、前記第1のMACが前記第2のMACに一致した場合にのみ実施されることを特徴とする請求項5に記載の方法。 - 前記元のプライムモジュラスおよび前記元のプライムモジュラスの前記元のジェネレータを、前記計算するステップへのさらなる入力として渡すステップをさらに備えることを特徴とする請求項1に記載の方法。
- 新しいパスワードベリファイヤを計算するステップは、前記認証クライアント上で、
ハッシュ関数を実行した結果を第1の中間値に割り当てるステップであって、前記ハッシュ関数への前記入力は、前記ユーザ名および前記新しいパスワードを有するステップと、
ハッシュ関数を実行した結果を第2の中間値に割り当てるステップであって、前記ハッシュ関数への前記入力は、前記新しいソルトおよび前記第1の中間値を有するステップと、
前記第2の中間値に累乗した前記元のジェネレータを第3の中間値に割り当てるステップと、
前記元のプライムモジュラスを法とする前記第3の中間値を前記新しいパスワードベリファイヤに割り当てるステップとを含むことを特徴とする請求項7に記載の方法。 - 前記新しいパスワードベリファイヤをアクセス可能にするステップは、
前記認証クライアントの前記認証中に導出された認証サーバから認証クライアントへの暗号化キーを使用して、前記認証クライアント上で前記新しいパスワードベリファイヤを暗号化するステップと、
前記認証クライアントが前記認証サーバに対して前記暗号化された新しいパスワードベリファイヤをアクセス可能にするステップと、
前記認証サーバから認証クライアントへの暗号化キーを使用して、前記認証サーバ上で、前記暗号化された新しいパスワードベリファイヤを解読するステップとを含むことを特徴とする請求項1に記載の方法。 - 前記新しいパスワードベリファイヤをアクセス可能にするステップは、
前記認証クライアント上で、前記暗号化された新しいパスワードベリファイヤを扱う第1のMACを計算するステップであって、前記第1のMACは前記認証クライアントの前記認証中に導出された認証サーバから認証クライアントへの認証キーに基づくステップと、
前記認証クライアントが前記認証サーバに対して前記第1のMACをアクセス可能にするステップと、
前記認証サーバ上で、前記暗号化された新しいパスワードベリファイヤを扱う第2のMACを計算するステップであって、前記第2のMACは前記認証サーバから認証クライアントへの認証キーに基づくステップとをさらに含み、
前記ユーザ名、新しいパスワードベリファイヤ、および新しいソルトを格納するステップは、前記第1のMACが前記第2のMACに一致した場合にのみ実施されることを特徴とする請求項9に記載の方法。 - 前記認証サーバ上で、前記認証クライアントがそのパスワードを変更することを前記要求するステップにタイマを関連付けるステップと、
前記タイマの期限切れ時に、新しいパスワードベリファイヤが前記認証クライアントによってアクセス可能になっていない場合は、前記認証サーバ上で、前記認証クライアントがそのパスワードを変更することを前記要求するステップを繰り返すステップとをさらに備えることを特徴とする請求項1に記載の方法。 - 2回目に前記認証クライアントを前記認証サーバに対して認証するステップであって、前記2回目の認証は、前記認証クライアントに周知の前記新しいパスワードと、前記認証サーバに周知の前記新しいパスワードベリファイヤと、前記認証クライアントおよび前記認証サーバの両方に周知の、前記ユーザ名、元のプライムモジュラス、前記元のプライムモジュラスの元のジェネレータ、および新しいソルトとに基づくステップをさらに備えることを特徴とする請求項1に記載の方法。
- 前記認証サーバが前記認証クライアントに対して新しいプライムモジュラスおよび前記新しいプライムモジュラスの新しいジェネレータをアクセス可能にするステップをさらに備えることを特徴とする請求項1に記載の方法。
- 新しいソルト、新しいプライムモジュラス、および前記新しいプライムモジュラスの新しいジェネレータをアクセス可能にするステップは、
前記認証サーバ上で、前記新しいソルト、前記新しいプライムモジュラス、および前記新しいジェネレータを扱う第1のMACを計算するステップであって、前記第1のMACは前記認証クライアントの前記認証中に導出された認証クライアントから認証サーバへの認証キーに基づくステップと、
前記認証サーバが前記認証クライアントに対して前記第1のMACをアクセス可能にするステップと、
前記認証クライアント上で、前記新しいソルト、前記新しいプライムモジュラス、および前記新しいジェネレータを扱う第2のMACを計算するステップであって、前記第2のMACは前記認証クライアントから認証サーバへの認証キーに基づくステップとを含み、
新しいパスワードを要求し受信するステップ、ならびに新しいパスワードベリファイヤを計算するステップ、アクセス可能にするステップ、および格納するステップは、前記第1のMACが前記第2のMACに一致した場合にのみ実施されることを特徴とする請求項13に記載の方法。 - 前記新しいプライムモジュラスおよび前記新しいジェネレータを、前記計算するステップへのさらなる入力として渡すステップをさらに備えることを特徴とする請求項13に記載の方法。
- 新しいパスワードベリファイヤを計算するステップは、前記認証クライアント上で、
ハッシュ関数を実行した結果を第1の中間値に割り当てるステップであって、前記ハッシュ関数への前記入力は、前記ユーザ名および前記新しいパスワードを有するステップと、
ハッシュ関数を実行した結果を第2の中間値に割り当てるステップを含み、前記ハッシュ関数への前記入力は、前記新しいソルトおよび前記第1の中間値を有するステップと、
前記第2の中間値に累乗した前記新しいジェネレータを第3の中間値に割り当てるステップと、
前記新しいプライムモジュラスを法とする前記第3の中間値を前記新しいパスワードベリファイヤに割り当てるステップとを含むことを特徴とする請求項15に記載の方法。 - 2回目に前記認証クライアントを前記認証サーバに対して認証するステップであって、前記2回目の認証は、前記認証クライアントに周知の前記新しいパスワードと、前記認証サーバに周知の前記新しいパスワードベリファイヤと、前記認証クライアントおよび前記認証サーバの両方に周知の前記ユーザ名、新しいプライムモジュラス、前記新しいプライムモジュラスの新しいジェネレータ、および新しいソルトとに基づくステップをさらに備えることを特徴とする請求項13に記載の方法。
- 新しいパスワードを実施するための方法を実施するための命令を有するコンピュータ読取り可能媒体であって、認証クライアントは認証サーバに対して認証されており、前記認証クライアントの前記認証は、前記認証クライアントに周知の元のパスワードと、前記認証サーバに周知の元のパスワードベリファイヤと、前記認証クライアントおよび前記認証サーバの両方に周知のユーザ名、元のプライムモジュラス、前記元のプライムモジュラスの元のジェネレータ、および元のソルトとに基づいており、前記方法は、
前記認証サーバが、前記認証クライアントがそのパスワードを変更することを要求するステップと、
前記認証サーバが前記認証クライアントに対して新しいソルトをアクセス可能にするステップと、
前記認証クライアント上で、前記認証クライアントのユーザから新しいパスワードを要求し受信するステップと、
前記認証クライアント上で新しいパスワードベリファイヤを計算し、前記新しいソルトおよび前記ユーザ名を、前記計算するステップへの入力として渡すステップと、
前記認証クライアントが前記認証サーバに対して前記新しいパスワードベリファイヤをアクセス可能にするステップと、
前記認証サーバ上で、前記ユーザ名、新しいパスワードベリファイヤ、および新しいソルトを格納するステップとを備えることを特徴とするコンピュータ読取り可能媒体。 - 認証クライアントと認証サーバとを有するコンピューティング環境であって、前記認証クライアントは前記認証サーバに対して認証されており、前記認証クライアントの前記認証は、前記認証クライアントに周知の元のパスワードと、前記認証サーバに周知の元のパスワードベリファイヤと、前記認証クライアントおよび前記認証サーバの両方に周知のユーザ名、元のプライムモジュラス、前記元のプライムモジュラスの元のジェネレータ、および元のソルトとに基づくコンピューティング環境において、前記認証サーバが前記認証クライアントに新しいパスワードを実施させるようにするための方法であって、
前記認証クライアントがそのパスワードを変更することを要求するステップと、
新しいソルトを前記認証クライアントに対してアクセス可能にするステップと、
前記認証クライアントから新しいパスワードベリファイヤを受信するステップと、
前記ユーザ名、前記新しいパスワードベリファイヤ、および前記新しいソルトを格納するステップとを備えることを特徴とする方法。 - 前記認証クライアントがそのパスワードを変更することを要求するステップは、EAP−SRPサーバ変更パスワードメッセージを送信するステップを含み、新しいパスワードベリファイヤを前記認証クライアントから受信するステップは、EAP−SRPクライアント変更パスワードメッセージを受信するステップを含むことを特徴とする請求項19に記載の方法。
- 前記認証クライアントがそのパスワードを変更することを要求するステップは、EAP−SRPベンダ特有の変更パスワード要求メッセージを送信するステップを含み、新しいパスワードベリファイヤを前記認証クライアントから受信するステップは、EAP−SRPベンダ特有の変更パスワード応答メッセージを受信するステップを含むことを特徴とする請求項19に記載の方法。
- 前記新しいソルトは前記元のソルトと同じであり、前記新しいソルトを前記認証クライアントに対してアクセス可能にするステップは、前記認証クライアントがそのパスワードを変更することを要求する前に、前記認証クライアントと前記新しいソルトを共有するステップを含むことを特徴とする請求項19に記載の方法。
- 前記新しいソルトは前記元のソルトと同じではなく、前記新しいソルトを前記認証クライアントに対してアクセス可能にするステップは、前記新しいソルトを有する前記認証クライアントにメッセージを送信すること、前記認証サーバおよび前記認証クライアントへアクセス可能な場所に前記新しいソルトを書き込むこと、および前記認証クライアントがそのパスワードを変更することを要求する前に、前記新しいソルトを前記認証クライアントと共有することからなる群から選択される技術を使用するステップを含むことを特徴とする請求項19に記載の方法。
- 新しいソルトを前記認証クライアントに対してアクセス可能にするステップは、
前記新しいソルトを扱うメッセージ認証コード(MAC)を計算するステップであって、前記MACは前記認証クライアントの前記認証中に導出された認証クライアントから認証サーバへの認証キーに基づくステップと、
前記認証クライアントに対して前記MACをアクセス可能にするステップとをさらに含むことを特徴とする請求項23に記載の方法。 - 前記認証クライアントから新しいパスワードベリファイヤを受信するステップは、
前記認証クライアントから暗号化された新しいパスワードベリファイヤを受信するステップと、
前記認証クライアントの前記認証中に導出された認証サーバから認証クライアントへの暗号化キーを使用して、前記暗号化された新しいパスワードベリファイヤを解読するステップとを含むことを特徴とする請求項19に記載の方法。 - 前記認証クライアントから新しいパスワードベリファイヤを受信するステップは、
前記認証クライアントからMACを受信するステップと、
前記暗号化された新しいパスワードベリファイヤを扱うMACを計算するステップであって、前記MACは前記認証クライアントの前記認証中に導出された認証サーバから認証クライアントへの暗号化キーに基づくステップとをさらに含み、
前記ユーザ名、前記新しいパスワードベリファイヤ、および前記新しいソルトを格納するステップは、前記受信されたMACが前記計算されたMACに一致した場合にのみ実施されることを特徴とする請求項25に記載の方法。 - 前記認証クライアントがそのパスワードを変更することを前記要求するステップにタイマを関連付けるステップと、
前記タイマの期限切れ時に、新しいパスワードベリファイヤが前記認証クライアントから受信されない場合は、前記認証クライアントがそのパスワードを変更することを前記要求するステップを繰り返すステップとをさらに備えることを特徴とする請求項19に記載の方法。 - 2回目に前記認証クライアントを前記認証サーバに対して認証するステップであって、前記2回目の認証は、前記認証クライアントに周知の前記新しいパスワードと、前記認証サーバに周知の前記新しいパスワードベリファイヤと、前記認証クライアントおよび前記認証サーバの両方に周知の前記ユーザ名、元のプライムモジュラス、前記元のプライムモジュラスの元のジェネレータ、および新しいソルトとに基づくステップをさらに備えることを特徴とする請求項19に記載の方法。
- 前記認証クライアントに対して、新しいプライムモジュラスおよび前記新しいプライムモジュラスの新しいジェネレータをアクセス可能にするステップをさらに備えることを特徴とする請求項19に記載の方法。
- 新しいソルト、新しいプライムモジュラス、および前記新しいプライムモジュラスの新しいジェネレータを前記認証クライアントに対してアクセス可能にするステップは、
前記新しいソルト、前記新しいプライムモジュラス、および前記新しいジェネレータを扱うMACを計算するステップであって、前記MACは前記認証クライアントの前記認証中に導出された認証クライアントから認証サーバへの認証キーに基づくステップと、
前記認証クライアントに対して前記MACをアクセス可能にするステップとを含むことを特徴とする請求項29に記載の方法。 - 2回目に前記認証クライアントを前記認証サーバに対して認証するステップであって、前記2回目の認証は、前記認証クライアントに周知の前記新しいパスワードと、前記認証サーバに周知の前記新しいパスワードベリファイヤと、前記認証クライアントおよび前記認証サーバの両方に周知の前記ユーザ名、新しいプライムモジュラス、および前記新しいプライムモジュラスの新しいジェネレータ、および新しいソルトとに基づくステップをさらに備えることを特徴とする請求項29に記載の方法。
- 認証サーバが認証クライアントに新しいパスワードを実施させるための方法を実施するための命令を有するコンピュータ読取り可能媒体であって、前記認証クライアントは認証サーバに対して認証されており、前記認証クライアントの前記認証は、前記認証クライアントに周知の元のパスワードと、前記認証サーバに周知の元のパスワードベリファイヤと、前記認証クライアントおよび前記認証サーバの両方に周知のユーザ名、元のプライムモジュラス、前記元のプライムモジュラスの元のジェネレータ、および元のソルトとに基づいており、前記方法は、
前記認証クライアントがそのパスワードを変更することを要求するステップと、
前記認証クライアントに対して新しいソルトをアクセス可能にするステップと、
前記認証クライアントから新しいパスワードベリファイヤを受信するステップと、
前記ユーザ名、前記新しいパスワードベリファイヤ、および前記新しいソルトを格納するステップとを備えることを特徴とするコンピュータ読取り可能媒体。 - 認証クライアントと認証サーバとを有するコンピューティング環境であって、前記認証クライアントは前記認証サーバに対して認証されており、前記認証クライアントの前記認証は、前記認証クライアントに周知の元のパスワードと、前記認証サーバに周知の元のパスワードベリファイヤと、前記認証クライアントおよび前記認証サーバの両方に周知の、ユーザ名、元のプライムモジュラス、前記元のプライムモジュラスの元のジェネレータ、および元のソルトとに基づくコンピューティング環境において、前記認証クライアントが新しいパスワードを実施するための方法であって、
前記認証クライアントがそのパスワードを変更することの要求を前記認証サーバから受信するステップと、
新しいソルトを前記認証サーバから受信するステップと、
前記認証クライアントのユーザから新しいパスワードを要求し受信するステップと、
新しいパスワードベリファイヤを計算し、前記新しいソルトおよび前記ユーザ名を、前記計算するステップへの入力として渡すステップと、
前記新しいパスワードベリファイヤを前記認証サーバに対してアクセス可能にするステップとを備えることを特徴とする方法。 - 前記認証クライアントがそのパスワードを変更することの要求を受信するステップは、EAP−SRPサーバ変更パスワードメッセージを受信するステップを含み、前記認証サーバに対して前記新しいパスワードベリファイヤをアクセス可能にするステップは、EAP−SRPクライアント変更パスワードメッセージを送信するステップを含むことを特徴とする請求項33に記載の方法。
- 前記認証クライアントがそのパスワードを変更することの要求を受信するステップは、EAP−SRPベンダ特有の変更パスワード要求メッセージを受信するステップを含み、前記認証サーバに対して前記新しいパスワードベリファイヤをアクセス可能にするステップは、EAP−SRPベンダ特有の変更パスワード応答メッセージを送信するステップを含むことを特徴とする請求項33に記載の方法。
- 前記新しいソルトは前記元のソルトと同じであり、前記認証サーバから前記新しいソルトを受信するステップは、前記認証クライアントがそのパスワードを変更することの前記要求を受信する前に、前記新しいソルトを前記認証サーバと共有するステップを含むことを特徴とする請求項33に記載の方法。
- 前記新しいソルトは前記元のソルトと同じではなく、前記認証サーバから前記新しいソルトを受信するステップは、前記新しいソルトを有する前記認証サーバからメッセージを受信すること、前記認証サーバおよび前記認証クライアントへアクセス可能な場所に前記新しいソルトをアクセスすること、および前記認証クライアントがそのパスワードを変更することの前記要求を受信する前に、前記新しいソルトを前記認証サーバと共有することからなる群から選択される技術を使用するステップを含むことを特徴とする請求項33に記載の方法。
- 前記認証サーバから新しいソルトを受信するステップは、
前記認証サーバからMACを受信するステップと、
前記新しいソルトを扱うMACを計算するステップであって、前記MACは、前記認証クライアントの前記認証中に導出された認証クライアントから認証サーバへの暗号化キーに基づくステップとをさらに含み、
前記新しいパスワードベリファイヤを計算するステップおよび前記認証サーバに対してアクセス可能にするステップは、前記受信されたMACが前記計算されたMACに一致した場合にのみ実施されることを特徴とする請求項37に記載の方法。 - 前記元のプライムモジュラスおよび前記元のプライムモジュラスの前記元のジェネレータを、前記計算するステップへのさらなる入力として渡すステップをさらに備えることを特徴とする請求項33に記載の方法。
- 新しいパスワードベリファイヤを計算するステップは、
ハッシュ関数を実行した結果を第1の中間値に割り当てるステップであって、前記ハッシュ関数への前記入力は、前記ユーザ名および前記新しいパスワードを有するステップと、
ハッシュ関数を実行した結果を第2の中間値に割り当てるステップであって、前記ハッシュ関数への前記入力は、前記新しいソルトおよび前記第1の中間値を有するステップと、
前記第2の中間値に累乗した前記元のジェネレータを第3の中間値に割り当てるステップと、
前記元のプライムモジュラスを法とする前記第3の中間値を前記新しいパスワードベリファイヤに割り当てるステップとを含むことを特徴とする請求項39に記載の方法。 - 前記新しいパスワードベリファイヤを前記認証サーバに対してアクセス可能にするステップは、
前記認証クライアントの前記認証中に導出された認証サーバから認証クライアントへの暗号化キーを使用して、前記新しいパスワードベリファイヤを暗号化するステップと、
前記暗号化された新しいパスワードベリファイヤを前記認証サーバに対してアクセス可能にするステップとを含むことを特徴とする請求項33に記載の方法。 - 前記新しいパスワードベリファイヤを前記認証サーバに対してアクセス可能にするステップは、
前記暗号化された新しいパスワードベリファイヤを扱うMACを計算するステップであって、前記MACは前記認証クライアントの前記認証中に導出された認証サーバから認証クライアントへの認証キーに基づくステップと、
前記MACを前記認証サーバに対してアクセス可能にするステップとをさらに含むことを特徴とする請求項41に記載の方法。 - 2回目に前記認証クライアントを前記認証サーバに対して認証するステップであって、前記2回目の認証は、前記認証クライアントに周知の前記新しいパスワードと、前記認証サーバに周知の前記新しいパスワードベリファイヤと、前記認証クライアントおよび前記認証サーバの両方に周知の前記ユーザ名、元のプライムモジュラス、前記元のプライムモジュラスの元のジェネレータ、および新しいソルトとに基づくステップをさらに備えることを特徴とする請求項33に記載の方法。
- 前記認証サーバから新しいプライムモジュラスおよび前記新しいプライムモジュラスの新しいジェネレータを受信するステップをさらに備えることを特徴とする請求項33に記載の方法。
- 前記認証サーバから新しいソルト、新しいプライムモジュラス、および前記新しいプライムモジュラスの新しいジェネレータを受信するステップは、
前記認証サーバからMACを受信するステップと、
前記新しいソルト、前記新しいプライムモジュラス、および前記新しいジェネレータを扱うMACを計算するステップであって、前記MACは前記認証クライアントの前記認証中に導出された認証クライアントから認証サーバへの暗号化キーに基づくステップとを含み、
前記新しいパスワードベリファイヤを計算するステップおよび前記認証サーバに対してアクセス可能にするステップは、前記受信されたMACが前記計算されたMACに一致した場合にのみ実施されることを特徴とする請求項44に記載の方法。 - 前記新しいプライムモジュラスおよび前記新しいジェネレータを、前記計算するステップへのさらなる入力として渡すステップをさらに備えることを特徴とする請求項44に記載の方法。
- 新しいパスワードベリファイヤを計算するステップは、
ハッシュ関数を実行した結果を第1の中間値に割り当てるステップであって、前記ハッシュ関数への前記入力は、前記ユーザ名および前記新しいパスワードを有するステップと、
ハッシュ関数を実行した結果を第2の中間値に割り当てるステップであって、前記ハッシュ関数への前記入力は、前記新しいソルトおよび前記第1の中間値を有するステップと、
前記第2の中間値に累乗した前記新しいジェネレータを第3の中間値に割り当てるステップと、
前記新しいプライムモジュラスを法とする前記第3の中間値を前記新しいパスワードベリファイヤに割り当てるステップとを含むことを特徴とする請求項46に記載の方法。 - 2回目に前記認証クライアントを前記認証サーバに対して認証するステップであって、前記2回目の認証は、前記認証クライアントに周知の前記新しいパスワードと、前記認証サーバに周知の前記新しいパスワードベリファイヤと、前記認証クライアントおよび前記認証サーバの両方に周知の前記ユーザ名、新しいプライムモジュラス、前記新しいプライムモジュラスの新しいジェネレータ、および新しいソルトとに基づくステップをさらに備えることを特徴とする請求項44に記載の方法。
- 認証クライアントが新しいパスワードを実施するための方法を実施するための命令を有するコンピュータ読取り可能媒体であって、前記認証クライアントは前記認証サーバに対して認証されており、前記認証クライアントの前記認証は、前記認証クライアントに周知の元のパスワードと、前記認証サーバに周知の元のパスワードベリファイヤと、前記認証クライアントおよび前記認証サーバの両方に周知のユーザ名、元のプライムモジュラス、前記元のプライムモジュラスの元のジェネレータ、および元のソルトとに基づいており、前記方法は、
前記認証クライアントがそのパスワードを変更することの要求を前記認証サーバから受信するステップと、
新しいソルトを前記認証サーバから受信するステップと、
前記認証クライアントのユーザから新しいパスワードを要求し受信するステップと、
新しいパスワードベリファイヤを計算し、前記新しいソルトおよび前記ユーザ名を前記計算するステップへの入力として渡すステップと、
前記新しいパスワードベリファイヤを前記認証サーバに対してアクセス可能にするステップとを備えることを特徴とするコンピュータ読取り可能媒体。 - 変更パスワード要求データ構造を格納したコンピュータ読取り可能媒体であって、前記変更パスワード要求データ構造は、
ソルトを表すデータを有する第1のデータフィールドと、
プライムモジュラスを表すデータを有する第2のデータフィールドと、
前記プライムモジュラスのジェネレータを表すデータを有する第3のデータフィールドと、
前記ソルト、前記プライムモジュラス、および前記ジェネレータを扱うMACを表すデータを有する第4のデータフィールドとを有することを特徴とするコンピュータ読取り可能媒体。 - 前記ソルト、プライムモジュラス、ジェネレータ、およびMACは、EAP−SRPサーバ変更パスワードメッセージとEAP−SRPベンダ特有の変更パスワード要求メッセージとからなる群から選択されるメッセージの一部としてフォーマット化されることを特徴とする請求項50に記載の変更パスワード要求データ構造。
- 変更パスワード応答データ構造を格納したコンピュータ読取り可能媒体であって、前記変更パスワード応答データ構造は、
パスワードベリファイヤを表すデータを有する第1のデータフィールドと、
前記パスワードベリファイヤを扱うMACを表すデータを有する第2のデータフィールドとを備えることを特徴とするコンピュータ読取り可能媒体。 - 前記パスワードベリファイヤおよび前記MACは、EAP−SRPクライアント変更パスワードメッセージとEAP−SRPベンダ特有の変更パスワード応答メッセージとからなる群から選択されるメッセージの一部としてフォーマット化されることを特徴とする請求項52に記載の変更パスワード応答データ構造。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/135,043 US20030204724A1 (en) | 2002-04-30 | 2002-04-30 | Methods for remotely changing a communications password |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004030611A true JP2004030611A (ja) | 2004-01-29 |
Family
ID=22466241
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003125927A Ceased JP2004030611A (ja) | 2002-04-30 | 2003-04-30 | 通信パスワードをリモートで変更するための方法 |
Country Status (19)
Country | Link |
---|---|
US (1) | US20030204724A1 (ja) |
EP (1) | EP1359491B1 (ja) |
JP (1) | JP2004030611A (ja) |
KR (1) | KR100979576B1 (ja) |
CN (1) | CN100388244C (ja) |
AT (1) | ATE310272T1 (ja) |
AU (1) | AU2003203712B2 (ja) |
BR (1) | BR0301154A (ja) |
CA (1) | CA2424833A1 (ja) |
DE (1) | DE60302276T2 (ja) |
ES (1) | ES2250771T3 (ja) |
HK (1) | HK1062052A1 (ja) |
MX (1) | MXPA03003710A (ja) |
MY (1) | MY130400A (ja) |
NO (1) | NO20031913L (ja) |
PL (1) | PL359840A1 (ja) |
RU (1) | RU2307391C2 (ja) |
TW (1) | TWI288552B (ja) |
ZA (1) | ZA200302773B (ja) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006048654A (ja) * | 2004-06-30 | 2006-02-16 | Microsoft Corp | コールサイン |
JP2009530906A (ja) * | 2006-03-15 | 2009-08-27 | マイクロソフト コーポレーション | コールサインを用いたエンドポイント検証 |
US8086842B2 (en) | 2006-04-21 | 2011-12-27 | Microsoft Corporation | Peer-to-peer contact exchange |
US8261062B2 (en) | 2003-03-27 | 2012-09-04 | Microsoft Corporation | Non-cryptographic addressing |
JP2013149261A (ja) * | 2007-03-30 | 2013-08-01 | Nec Corp | ユーザ認証制御装置、ユーザ認証装置、データ処理装置、及びユーザ認証制御方法等 |
Families Citing this family (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7529933B2 (en) * | 2002-05-30 | 2009-05-05 | Microsoft Corporation | TLS tunneling |
US7386877B2 (en) * | 2002-07-12 | 2008-06-10 | Sun Microsystems, Inc. | Specifying a repository for an authentication token in a distributed computing system |
US7154378B1 (en) * | 2003-09-11 | 2006-12-26 | Stryker Corporation | Apparatus and method for using RFID to track use of a component within a device |
US7976461B2 (en) * | 2004-02-12 | 2011-07-12 | Stryker Corporation | Endoscopy device with integrated RFID and external network capability |
US7734929B2 (en) * | 2004-04-30 | 2010-06-08 | Hewlett-Packard Development Company, L.P. | Authorization method |
US7941671B2 (en) * | 2004-10-14 | 2011-05-10 | Oracle International Corporation | Method and apparatus for accommodating multiple verifier types with limited storage space |
US7596225B2 (en) * | 2005-06-30 | 2009-09-29 | Alcatl-Lucent Usa Inc. | Method for refreshing a pairwise master key |
US7698555B2 (en) * | 2005-08-29 | 2010-04-13 | Schweitzer Engineering Laboratories, Inc. | System and method for enabling secure access to a program of a headless server device |
KR100877593B1 (ko) * | 2006-05-09 | 2009-01-07 | (주)씽크에이티 | 랜덤하게 맵핑되는 가변 패스워드에 의한 인증 보안 방법 |
US7874011B2 (en) * | 2006-12-01 | 2011-01-18 | International Business Machines Corporation | Authenticating user identity when resetting passwords |
US20080288781A1 (en) * | 2007-05-18 | 2008-11-20 | Richard Lee Lawson | Systems and methods for secure password change |
US8233615B2 (en) * | 2008-01-15 | 2012-07-31 | Inside Secure | Modular reduction using a special form of the modulus |
US7522723B1 (en) * | 2008-05-29 | 2009-04-21 | Cheman Shaik | Password self encryption method and system and encryption by keys generated from personal secret information |
CN101741823B (zh) * | 2008-11-12 | 2013-01-16 | 北京大学 | 一种交叉验证的安全通讯方法及*** |
KR101094577B1 (ko) | 2009-02-27 | 2011-12-19 | 주식회사 케이티 | 인터페이스 서버의 사용자 단말 인증 방법과 그 인터페이스 서버 및 사용자 단말 |
CN102958100B (zh) * | 2011-08-25 | 2015-09-09 | 华为终端有限公司 | 无线局域网连接的实现方法及装置 |
CN103095659B (zh) * | 2011-11-03 | 2016-01-20 | 北京神州泰岳软件股份有限公司 | 一种互联网中账户登录方法和*** |
US8667284B2 (en) * | 2012-01-13 | 2014-03-04 | Microsoft Corporation | Detection of invalid escrow keys |
US10129248B2 (en) * | 2013-07-08 | 2018-11-13 | Assa Abloy Ab | One-time-password generated on reader device using key read from personal security device |
US9122888B2 (en) | 2013-07-22 | 2015-09-01 | Dell Products, Lp | System and method to create resilient site master-key for automated access |
US9077710B1 (en) * | 2013-12-18 | 2015-07-07 | Sabaki Corporation | Distributed storage of password data |
CN104065653B (zh) * | 2014-06-09 | 2015-08-19 | 北京石盾科技有限公司 | 一种交互式身份验证方法、装置、***和相关设备 |
CN104915592B (zh) * | 2015-05-28 | 2017-03-08 | 东莞盛世科技电子实业有限公司 | 密码设定方法及其设备 |
US9697351B1 (en) * | 2015-06-29 | 2017-07-04 | EMC IP Holding Company LLC | Providing a high security password from an initial character string of lowercase letter and numbers, and inclusion of one or more other characters |
CN104994115B (zh) * | 2015-08-06 | 2018-02-13 | 上海斐讯数据通信技术有限公司 | 一种登录认证方法及*** |
DE102019001731A1 (de) * | 2019-03-12 | 2020-09-17 | data-team Datendienste GmbH | Autorisierungsverfahren mittels Einmalpasswörtern |
CN112115437B (zh) * | 2020-09-04 | 2023-12-29 | 上海上讯信息技术股份有限公司 | 通过Linux设备远程修改Windows设备密码的方法与设备 |
CN114978704B (zh) * | 2022-05-24 | 2023-07-04 | 北京天融信网络安全技术有限公司 | 基于服务器的密码修改方法及服务器 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH07182064A (ja) * | 1993-12-24 | 1995-07-21 | Nec Corp | パスワード更新方式 |
JP2001524777A (ja) * | 1997-11-26 | 2001-12-04 | ノキア ネットワークス オサケ ユキチュア | データ接続の機密保護 |
US6539479B1 (en) * | 1997-07-15 | 2003-03-25 | The Board Of Trustees Of The Leland Stanford Junior University | System and method for securely logging onto a remotely located computer |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5241599A (en) * | 1991-10-02 | 1993-08-31 | At&T Bell Laboratories | Cryptographic protocol for secure communications |
US5440635A (en) * | 1993-08-23 | 1995-08-08 | At&T Corp. | Cryptographic protocol for remote authentication |
JP2828218B2 (ja) * | 1993-09-20 | 1998-11-25 | インターナシヨナル・ビジネス・マシーンズ・コーポレーシヨン | 分散通信ネットワークにおける許可パスワードまたはキーの変更方法およびシステム |
NL9401233A (nl) | 1994-03-25 | 1995-11-01 | Tno | Werkwijze voor membraangasabsorptie. |
US5706349A (en) * | 1995-03-06 | 1998-01-06 | International Business Machines Corporation | Authenticating remote users in a distributed environment |
US5719941A (en) * | 1996-01-12 | 1998-02-17 | Microsoft Corporation | Method for changing passwords on a remote computer |
US5953420A (en) * | 1996-10-25 | 1999-09-14 | International Business Machines Corporation | Method and apparatus for establishing an authenticated shared secret value between a pair of users |
US6766454B1 (en) * | 1997-04-08 | 2004-07-20 | Visto Corporation | System and method for using an authentication applet to identify and authenticate a user in a computer network |
US6064736A (en) * | 1997-09-15 | 2000-05-16 | International Business Machines Corporation | Systems, methods and computer program products that use an encrypted session for additional password verification |
JP3430896B2 (ja) * | 1998-01-13 | 2003-07-28 | 日本電気株式会社 | パスワード更新装置及び記録媒体 |
US6230269B1 (en) * | 1998-03-04 | 2001-05-08 | Microsoft Corporation | Distributed authentication system and method |
KR100506076B1 (ko) * | 2000-03-23 | 2005-08-04 | 삼성전자주식회사 | 패스워드를 기반으로 한 상호 인증 및 키 교환방법과 그장치 |
US6976164B1 (en) * | 2000-07-19 | 2005-12-13 | International Business Machines Corporation | Technique for handling subsequent user identification and password requests with identity change within a certificate-based host session |
-
2002
- 2002-04-30 US US10/135,043 patent/US20030204724A1/en not_active Abandoned
-
2003
- 2003-04-09 MY MYPI20031315A patent/MY130400A/en unknown
- 2003-04-09 ZA ZA200302773A patent/ZA200302773B/xx unknown
- 2003-04-09 CA CA002424833A patent/CA2424833A1/en not_active Abandoned
- 2003-04-14 EP EP03008063A patent/EP1359491B1/en not_active Expired - Lifetime
- 2003-04-14 ES ES03008063T patent/ES2250771T3/es not_active Expired - Lifetime
- 2003-04-14 DE DE60302276T patent/DE60302276T2/de not_active Expired - Lifetime
- 2003-04-14 AU AU2003203712A patent/AU2003203712B2/en not_active Ceased
- 2003-04-14 AT AT03008063T patent/ATE310272T1/de not_active IP Right Cessation
- 2003-04-24 PL PL03359840A patent/PL359840A1/xx unknown
- 2003-04-24 TW TW092109643A patent/TWI288552B/zh not_active IP Right Cessation
- 2003-04-25 MX MXPA03003710A patent/MXPA03003710A/es active IP Right Grant
- 2003-04-28 BR BR0301154-2A patent/BR0301154A/pt not_active IP Right Cessation
- 2003-04-29 NO NO20031913A patent/NO20031913L/no not_active Application Discontinuation
- 2003-04-29 KR KR1020030027200A patent/KR100979576B1/ko not_active IP Right Cessation
- 2003-04-29 RU RU2003112729/09A patent/RU2307391C2/ru not_active IP Right Cessation
- 2003-04-29 CN CNB031241689A patent/CN100388244C/zh not_active Expired - Fee Related
- 2003-04-30 JP JP2003125927A patent/JP2004030611A/ja not_active Ceased
-
2004
- 2004-05-05 HK HK04103185A patent/HK1062052A1/xx not_active IP Right Cessation
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH07182064A (ja) * | 1993-12-24 | 1995-07-21 | Nec Corp | パスワード更新方式 |
US6539479B1 (en) * | 1997-07-15 | 2003-03-25 | The Board Of Trustees Of The Leland Stanford Junior University | System and method for securely logging onto a remotely located computer |
JP2001524777A (ja) * | 1997-11-26 | 2001-12-04 | ノキア ネットワークス オサケ ユキチュア | データ接続の機密保護 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8261062B2 (en) | 2003-03-27 | 2012-09-04 | Microsoft Corporation | Non-cryptographic addressing |
JP2006048654A (ja) * | 2004-06-30 | 2006-02-16 | Microsoft Corp | コールサイン |
JP2009530906A (ja) * | 2006-03-15 | 2009-08-27 | マイクロソフト コーポレーション | コールサインを用いたエンドポイント検証 |
US8086842B2 (en) | 2006-04-21 | 2011-12-27 | Microsoft Corporation | Peer-to-peer contact exchange |
JP2013149261A (ja) * | 2007-03-30 | 2013-08-01 | Nec Corp | ユーザ認証制御装置、ユーザ認証装置、データ処理装置、及びユーザ認証制御方法等 |
JP2014167822A (ja) * | 2007-03-30 | 2014-09-11 | Nec Corp | ユーザ認証制御装置、ユーザ認証装置、データ処理装置、及びユーザ認証制御方法等 |
Also Published As
Publication number | Publication date |
---|---|
EP1359491A1 (en) | 2003-11-05 |
KR20030085512A (ko) | 2003-11-05 |
ZA200302773B (en) | 2003-10-14 |
DE60302276T2 (de) | 2006-06-08 |
MY130400A (en) | 2007-06-29 |
NO20031913D0 (no) | 2003-04-29 |
ATE310272T1 (de) | 2005-12-15 |
CA2424833A1 (en) | 2003-10-30 |
EP1359491A8 (en) | 2004-07-21 |
ES2250771T3 (es) | 2006-04-16 |
PL359840A1 (en) | 2003-11-03 |
DE60302276D1 (de) | 2005-12-22 |
EP1359491B1 (en) | 2005-11-16 |
TW200402981A (en) | 2004-02-16 |
RU2307391C2 (ru) | 2007-09-27 |
AU2003203712A1 (en) | 2003-11-20 |
NO20031913L (no) | 2003-10-31 |
US20030204724A1 (en) | 2003-10-30 |
CN1455341A (zh) | 2003-11-12 |
BR0301154A (pt) | 2004-08-17 |
CN100388244C (zh) | 2008-05-14 |
TWI288552B (en) | 2007-10-11 |
AU2003203712B2 (en) | 2008-06-05 |
KR100979576B1 (ko) | 2010-09-01 |
HK1062052A1 (en) | 2004-10-15 |
MXPA03003710A (es) | 2005-04-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2003203712B2 (en) | Methods for remotely changing a communications password | |
US8209744B2 (en) | Mobile device assisted secure computer network communication | |
US11336641B2 (en) | Security enhanced technique of authentication protocol based on trusted execution environment | |
US8130961B2 (en) | Method and system for client-server mutual authentication using event-based OTP | |
US9491174B2 (en) | System and method for authenticating a user | |
JP2017063432A (ja) | 証明書不要公開鍵基盤に基づく安全なクライアント・サーバ通信プロトコルを設計するシステムと方法 | |
US10594479B2 (en) | Method for managing smart home environment, method for joining smart home environment and method for connecting communication session with smart device | |
US7464265B2 (en) | Methods for iteratively deriving security keys for communications sessions | |
WO2016065321A1 (en) | Secure communication channel with token renewal mechanism | |
JP2006148879A (ja) | パスワード保護 | |
CN112425118A (zh) | 公钥-私钥对账户登录和密钥管理器 | |
US11438316B2 (en) | Sharing encrypted items with participants verification | |
KR20080050040A (ko) | 사용자 인증 방법 | |
Huang et al. | A secure communication over wireless environments by using a data connection core | |
WO2022135388A1 (zh) | 身份鉴别方法、装置、设备、芯片、存储介质及程序 | |
Krasnowski et al. | Introducing a Verified Authenticated Key Exchange Protocol over Voice Channels for Secure Voice Communication. | |
Thakur et al. | A Comprehensive Review of Wireless Security Protocols and Encryption Applications | |
KR100381710B1 (ko) | 회원제 운용 인터넷 서버의 보안 방법 및 그에 관한 서버시스템 | |
Chang et al. | Authentication schemes with no verification table | |
US11979501B2 (en) | Optimized access in a service environment | |
Kleppmann et al. | Strengthening Public Key Authentication Against Key Theft (Short Paper) | |
Jindal et al. | Fast and secure authentication using double token based scheme for WLANs |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060224 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090417 |
|
RD13 | Notification of appointment of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7433 Effective date: 20090527 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20090527 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090717 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100420 |
|
RD13 | Notification of appointment of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7433 Effective date: 20100602 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100611 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20100602 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100824 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101118 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101210 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20110111 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20110117 |
|
A045 | Written measure of dismissal of application [lapsed due to lack of payment] |
Free format text: JAPANESE INTERMEDIATE CODE: A045 Effective date: 20110520 |