JP4222834B2 - 格納された鍵の入手および安全な配信により鍵サーバが認証される暗号鍵を格納する方法および装置 - Google Patents

格納された鍵の入手および安全な配信により鍵サーバが認証される暗号鍵を格納する方法および装置 Download PDF

Info

Publication number
JP4222834B2
JP4222834B2 JP2002571620A JP2002571620A JP4222834B2 JP 4222834 B2 JP4222834 B2 JP 4222834B2 JP 2002571620 A JP2002571620 A JP 2002571620A JP 2002571620 A JP2002571620 A JP 2002571620A JP 4222834 B2 JP4222834 B2 JP 4222834B2
Authority
JP
Japan
Prior art keywords
key
request
server
secure system
secure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002571620A
Other languages
English (en)
Other versions
JP2005509305A (ja
Inventor
ロバート アレン,
ロバート エイ. ジャードネック,
ジョン ワン,
トム ウー,
Original Assignee
アルコット システムズ インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アルコット システムズ インコーポレイテッド filed Critical アルコット システムズ インコーポレイテッド
Publication of JP2005509305A publication Critical patent/JP2005509305A/ja
Application granted granted Critical
Publication of JP4222834B2 publication Critical patent/JP4222834B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Warehouses Or Storage Devices (AREA)
  • Pile Receivers (AREA)

Description

(関連出願のクロスリファレンス)
本出願は、「METHOD AND APPARATUS FOR CRYPTOGRAPHIC KEY STORAGE USING A VERIFIER AND ACCOMMODATING KEY USERS THAT OPERATE INDEPENDENTLY OF THE VERIFIER」(2001年3月9日出願)と称される米国仮出願第60/274,457号の非仮出願からの優先権を主張し、かつ非仮出願であり、この出願は、参考のため、本明細書中にその全体が援用される。
(発明の分野)
本発明は、概して、暗号システムに関し、より具体的には、鍵によりセキュリティ保護されたデータから離れた鍵ストレージに関する。
(発明の背景)
暗号は、データをセキュリティ保護するために用いられる。複数のシステムにおいて、鍵の知識は、データへのアクセスを可能にし、鍵の知識の欠如は、アクセスに対してデータがセキュリティ保護される。好適には、データをセキュリティ保護するために用いられる鍵は、十分に大きい可能なセットから選択されるので、攻撃者は、大量の計算資源を用いてすら、徹底的な試行錯誤によって鍵を推測することができない。通常、大きいセットから選択される鍵は、人々が記憶するには過度に長く、従って、ユーザの代理として鍵を格納し、かつ鍵が用いられ得る前にパスフレーズを入力することを要求するシステムを採用することが必要である。パスワードまたはPIN(Personal Identification Number)が記憶され得るパスフレーズは、通常、暗号鍵に直接変換され、かつユーザの格納された鍵を暗号化および復号化するために用いられる。残念ながら、PINまたはパスワードは、ユーザが記憶するのに十分な短さである場合、攻撃者が試行錯誤によって推測するのに十分な短さでもあり、これにより、格納された鍵のセキュリティを蝕み、従って、暗号化されたデータのセキュリティを蝕む。
上述の問題に対する1つの解決策は、中央鍵管理を用いることであり、鍵は、それ自体が攻撃者によるアクセスからセキュリティ保護される中央サーバに格納される。セキュリティ保護されたデータをその中に有するシステムにアクセスする攻撃者が、ブルートフォース攻撃を用いて、および各々の考えられる短いパスフレーズを試す場合、中央サーバは、パスフレーズが試される度にシステムから照会を受け取る。一旦中央サーバが異常な数の試みに気付くと、それが中央サーバの設計の一部である場合、中央サーバは、そのシステムからのすべてのさらなる照会を無視し、および/または不正使用管理者(fraud manager)に警告を送るように選択され得る。
データをセキュリティ保護するための中央鍵サーバの使用は公知である。典型的な構成において、鍵によってセキュリティ保護されるデータを保持するシステム(「鍵クライアント」)は、鍵サーバに対してそれ自体を認証し、かつ鍵サーバは、鍵クライアントに対してそれ自体を認証する。相互の認証に続いて、クライアントサーバセッションが確立され、ここで、クライアントは、鍵サーバから鍵をリクエストする。このような構成において、システム全体のセキュリティは、クライアントとサーバとの間の、この初期認証のセキュリティに依存する。
(発明の要旨)
本発明の局面による、鍵管理システムの1実施形態において、セキュリティ保護されたデータは、鍵サーバ上に安全に格納された制御鍵によってセキュリティ保護される第1のシステムに格納される。セキュリティ保護されたデータは、不正使用、改変またはアクセスといった攻撃に対してセキュリティ保護され、ここで、セキュリティ保護されたデータへのアクセスに対する認証は、アクセス鍵ペアのアクセス秘密鍵の知識によって決定される。セキュリティ保護されたデータをセキュリティ保護する例は、制御鍵を用いてデータを暗号化することである。認証されたユーザが、セキュリティ保護されたデータにアクセスするべき場合、第1のシステムは、鍵サーバに対してリクエストを生成し、リクエストは、アクセス秘密鍵を用いて署名され、ここで、このリクエストは、復号制御鍵を求めるものであり、リクエストは、リクエストのための第1のシステムによって生成された鍵ペアのワンタイム公開鍵を含む。復号制御鍵が対称鍵の場合、暗号化制御鍵と同じである。鍵サーバは、アクセス鍵ペアのアクセス公開鍵を用いて署名を検証する。署名が有効である場合、鍵サーバは、復号制御鍵を第1のシステムに送信し、ワンタイム秘密鍵を用いて暗号化される。第1のシステムは、その後、ワンタイム秘密鍵を用いて、応答による復号制御鍵を復号化し得る。第1のシステムは、その後、搬送中、セキュリティ保護された状態である復号制御鍵を用いて、セキュリティ保護されたデータを復号化し得る。
本発明の他の特徴および利点は、以下の詳細な説明および好適な実施形態に鑑みて明らかである。
(発明の詳細な説明)
図に示されたシステムは、最初に、「鍵バッグ(key bag)」内のアプリケーション鍵をセキュリティ保護して、鍵バッグ内のアプリケーション鍵が、リモート鍵サーバに対してリクエストを行うことなしにはアクセスされ得ないという特定の用途を参照して記載される。本発明において用いられるように、「リモート」は、セキュリティの境界線によって分離され、ローカルシステムへのアクセスが、リモートシステムへのアクセスを自動的に授与しないことである。リモートは、物理的分離を必要としないが、物理的分離は、リモート性(remoteness)を提供する1つの方法であることが理解されるべきである。この定義を想定すれば、システムは、ローカルシステムが攻撃者にとってアクセス可能である一方で、リモートシステムはアクセス可能でないように構成され得ることが明らかである。
図1は、本発明が用いられ得る例示の構成10のブロック図である。ここに示されるように、いくつかの鍵クライアント12および鍵サーバ14は、ネットワーク16を介して結合される。特定のインプリメンテーションにおいて、鍵サーバ14は、Arcot’s WebFort Key Authorityサーバであり得、かつ鍵クライアント12は、ユーザの代わりにセキュリティ操作を実行する能力を有するエンドユーザブラウジングシステムであり得る。
構成10の1つの目的は、鍵クライアントが鍵サーバから鍵を比較的容易に取得することを可能にする一方で、セキュリティの突破を困難にすることである。1つの考えられるセキュリティの突破は、侵入する(interloping)鍵クライアント22が、別の鍵クライアントに属する鍵を鍵サーバから取り出すことができる場合に起こり得る。別の考えられるセキュリティの突破は、侵入する鍵サーバ24が認証された鍵サーバの代役を務める場合に生じ得る。侵入する鍵クライアント22が、別の鍵クライアントの鍵を取得することが出来た場合、その侵入する鍵クライアント22は、暗号化された署名鍵の盗まれたセットを復号し、その後、これらの署名鍵を用いてメッセージに署名すること等によって、別の鍵クライアントの振りをし得る。侵入する鍵サーバ24は、別の鍵サーバの振りをすることが出来た場合、その侵入する鍵サーバは、鍵クライアントに欠陥のある鍵を提供し、かつそのアクションによって生成された弱点を攻略し得るか、または、認証された鍵サーバが動作するように制御および制約することなく、弱められた鍵クライアントのセキュリティに対する別の攻撃と呼応して作用し得る。
図2は、1つの鍵サーバ14および1つの鍵クライアント12をかなり詳細に示すブロック図である。ここに示されるように、鍵サーバ14は、通信ハンドラ30、サービスハンドラ32、不正使用モニタ34および鍵データベース36を含む。鍵サーバの他の構成
が代わりに用いられ得ることが理解されるべきである。示される実施例において、通信ハンドラ30は、鍵クライアント12に結合され、かつ通信を処理する。通信ハンドラ30は、HTTPサーバ、FTPサーバ、低次TCP/IPパケットハンドラ、または、当該分野にて公知である他のオブジェクトであり得る。鍵サーバ14と鍵クライアント12との間の直接接続が示されるが、おそらくセキュリティ保護されていないネットワークが2つの間に挿入されて、認証されないサーバおよびクライアントによる侵入が可能になり得、従って、クライアントサーバ接続の最初に信頼の欠如があることが理解されるべきである。
示されるように、通信ハンドラ30は、サービスハンドラ32と結合される。このサービスハンドラは、その後、不正使用モニタ34および鍵データベース36と結合される。さらに示されるのは、鍵を無能力にする目的で、不正手段モニタ34とサービスハンドラ32との間が接続される。特定の接続が示される一方で、より多くの接続またはより少ない接続が本発明の範囲から逸脱することなく用いられ得ることが理解されるべきである。
通常の動作中に、通信ハンドラ30は、鍵クライアントから鍵リクエストを受け取り、そのリクエストを、サービスハンドラ32に転送する。サービスハンドラ32は、その後、鍵データベース36からその鍵クライアントの鍵を取得することによって鍵リクエストに応答するか否かを決定し、そのリクエストに応答してその鍵を提供する。あるいは、サービスプロバイダ32は、リクエストに応答しないことを決定し得、かつそれを不正使用モニタ34に通知し得る。特定の鍵クライアントからのリクエストの数の特定の所定の閾値が生成されて、その閾値がブルートフォース攻撃を示す場合、このようなアクションが行われ得る。サービスハンドラ32および鍵データベース36の特定の動作のさらなる詳細が以下の図に示され、および/または以下に記載される。
鍵クライアント12に関して、通信ハンドラ40、セキュリティハンドラ42、復号器44および鍵バッグ46を含むことが示される。通信ハンドラ40は、鍵クライアント12から鍵サーバへの通信を処理する。セキュリティハンドラ42は、種々のデータエレメントを含むことがさらに示されるが、図示されないさらなるデータエレメントもまた含まれ得ることが理解されるべきである。セキュリティハンドラ42は、証明書50、アクセス公開鍵52およびアクセス秘密鍵54を保持する。アクセス公開鍵52は、暗号化され得、かつ証明書50の内部に格納され得る。証明書50は、証明書の認証によって取得され、かつアクセス鍵ペアと関連付けられる証明書であり得、従って、証明書が有効である場合、アクセス鍵ペアが証明されることが証明書の認証機関を信用するエンティティに保証され得る。
種々のモジュール間を通過するデータおよび制御のための鍵クライアント12に関する種々の接続が、図2に示される。より多くの接続またはより少ない接続が存在し得ることが理解されるべきである。通信ハンドラ40とセキュリティハンドラ42との間の、示される接続の1つのペアにおいて、通信ハンドラ40は、ワンタイム鍵ペアを生成し、かつワンタイム公開鍵をセキュリティハンドラ42に送信する。セキュリティハンドラ42から通信ハンドラ40に署名されたリクエストを搬送するための、セキュリティハンドラ42と通信ハンドラ40との間の別のデータ通信経路が示される。以下においてより詳細に説明されるように、署名されたリクエストは、通信ハンドラ40に鍵Kが提供される鍵サーバに提供される。通信ハンドラ40と復号器44との間に存在する通信経路は、復号器44に鍵Kを提供する。復号器44は、鍵バッグ46と結合されることが示され、従って、復号器44は、暗号データを取得し得、鍵Kを用いて暗号化され、データム(datum)Dを復号化して鍵クライアント12によって用いられるように利用可能であるデータムDを生成する。
データムDは、種々のタイプのデータエレメントのいずれかであり得る。1実施例において、データムDは、ブラウザまたはPKIアプリケーションによって用いられる署名鍵である。鍵バッグ46は、暗号データエレメントの大きい、および、おそらく異なった収集の貯蔵所として利用され得ることが考えられる。本明細書中の別の箇所にて、データムDは、「アクセス制御されたデータム(access−controlled datum)」になるように生成される。
特定の実施形態において、アクセス制御されたデータは、従来のブラウザ(例えば、Netscape Communicator browser、Microsoft Internet Explorer browser)またはカスタム公開鍵インフラストラクチャ(PKI)アプリケーションといった、「鍵システム」(無意識システム)において用いられ得る従来の秘密鍵である。アクセス制御データムは、Triple DES(3DES)またはAESといった、制御鍵および標準的対称暗号アルゴリズムを用いて暗号化され得る。
制御鍵が、データムを正確に復号する場合、鍵クライアントは、鍵サーバを正当化するように指示することが保証される。なぜなら、正当な鍵サーバのみが正確なコントロール鍵を伝送し得るからである。正確なデータが復号化されたことを認識する周知の技術がある。例えば、認識できるプレーンテキストが、アクセス制御データムの1部分として含まれ得、正確に復号化されたデータが認識され得ることを確実にし、または鍵付きメッセージ認証コード(MAC)がデータムとともに含まれ得る。
図3は、鍵クライアントが鍵サーバから制御鍵を取得するためのプロセスを図示するフローチャートである。とりわけ、すべての必要とされる認証は、一周のメッセージング工程で実行され得、制御鍵は、鍵クライアントによってその一周のメッセージ工程で取得され得る。ここで、図を参照して、鍵クライアント上でアクセス制御データムにアクセスするプロセスが、鍵クライアントがワンタイム鍵ペアOTを生成することで開始し得る。鍵クライアントは、その後、リクエストタイプID、およびワンタイム鍵ペアOTの公開鍵部分(OTpub)といったデータフィールドを含むリクエストメッセージを含む。鍵クライアントは、その後、鍵クライアントのアクセス秘密鍵を用いて、リクエストデータフィールドに署名する。
アクセス秘密鍵は、暗号偽装を用いて保護され得る。暗号偽装の例は、Kausikによる米国特許第6,170,058号により詳細に記載される(この開示は、参考のため、本明細書中に援用される。本明細書中では以降「Kausik」)。アクセス秘密鍵は、その代わりに、スマートカード等のハードウェアデバイスに格納され得る。Kausik偽装プロセスは、フォーマットおよびデータムのセマンティクスを詳細に知ることを必要とし得るので、本明細書中に記載されたシステムを用いてアクセス制御データムを保護することは、アクセス制御データムを直接的に保護するために暗号偽装を用いるよりも単純である。なぜなら、アクセス制御データムは、標準的対称暗号アルゴリズムを用いて、フォーマットの知識またはデータムのセマンティクスの必要をなくして暗号化され得るからである。
再び図3を参照して、一旦リクエストが、アクセス秘密鍵を用いて署名されると、リクエストが鍵サーバに送信される。鍵クライアントは、用いられるべき鍵サーバ、好適な鍵サーバおよび他の鍵サーバ、あるいはリクエストが向けられる鍵サーバのアドレスを決定する特定の他の構成を参照しながら、データ構造を保持し得る。
一旦リクエストが鍵サーバによって受信されると、この鍵サーバは、鍵クライアントの公開鍵を用いて鍵クライアントの署名を検証する。署名が検証されない場合、鍵サーバは、不正使用検知処理を開始し、これは、メッセージを不正使用モニタに送信するサービスハンドラによって行われ得る。
しかしながら、署名が検証されない場合、鍵サーバは、リクエストの送信側によって、リクエストにおけるフィールドから、または特定の他の方法によって鍵クライアントを識別する。鍵サーバは、その後、鍵サーバの鍵データベースから識別された鍵クライアントの制御鍵を取得する。鍵サーバは、その後、識別された鍵クライアントの制御鍵を鍵サーバの鍵データベースから取得する。鍵サーバは、その後、リクエストが提供されたワンタイム公開鍵を用いる鍵クライアントの制御鍵を暗号化し、その後、暗号化された制御鍵を鍵クライアントに送信する。鍵クライアントは、ワンタイム鍵ペアを生成するので、鍵クライアントは、ワンタイム秘密鍵を用いて、鍵サーバからの応答を復号することができる。鍵クライアントは、その後、制御鍵を用いて暗号化されるか、または制御鍵を用いて復号することが出来るアクセス制御データムを復号するために制御鍵を用い得る。好適には、制御鍵は、これが、所与のセッションにおいて秘密鍵を操作するために必要とされる限りにおいてのみ鍵クライアント上に保持され得る。
鍵サーバは、制御鍵を求めるリクエストに応答する前に、鍵クライアントを認証するために、1つ以上の種々の認証技術を用い得る。1実施形態において、鍵サーバは、リクエストと共に鍵クライアントによって提供されるデジタル証明書を用いて署名を検証する。
いくつかの場合において、鍵データベースは、暗号化された形態で保持される。このような場合、鍵サーバは、鍵クライアントに応答するためのワンタイム公開鍵を用いて制御鍵を暗号化する前に、鍵クライアントの制御鍵を復号化および識別するために使用できるマスター鍵を保持する。
ここで、図4を参照して、ネットワークシステムがここで示され、アクセス制御データが用いられ得るシステムを図示する。ここで示されるように、鍵クライアント12は、ブラウザ、セキュリティハンドラ、および場合によっては、他のPKIアプリケーションを動作させるシステムである。インターフェースするブラウザの当該分野において周知のように、ブラウザは、種々のソースから証明書を取得し得、ウェブサーバと安全に、または安全でなく接続する。ブラウザが秘密鍵を必要とする場合、その秘密鍵は、アクセス制御データムDによって表され得る。セキュリティハンドラ42が暗号化されない形態のデータムDをブラウザに提供するようにするために、上述のように、セキュリティハンドラ42は、場合によっては、Arcot鍵認証機関(AKA)ゲートウェイ等のゲートウェイを通じて鍵サーバ14と双方向通信して、アクセス制御データムの復号化を可能にする制御鍵を鍵データベース36から取得する。
図2および図4に示されるように、鍵クライアント12は、鍵クライアント12にデジタルアイデンティティを提供するためにセキュリティハンドラを用いる。別の実施形態において、図5に示されるように、ハードウェハスマートカード142は、セキュリティハンドラ42の代わりに用いられる。このような実施形態において、アクセス制御データムをリクエストする場合、PKIアプリケーションおよびブラウザは、スマートカードインターフェース144と双方向通信する。スマートカードインターフェース144は、ゲートウェイまたは鍵サーバと双方向通信するためにまた用いられ得る。典型的な動作において、ハードウェアスマートカード142内のセキュリティ保護されるスマートカードプロセッサ150は、秘密鍵動作(例えば、復号化、署名)を求めるリクエストを受け取り、内部ストレージ152内に格納された秘密鍵を用いてリクエストされた動作を実行することによってリクエストに応答し、その結果を戻す。スマートカードの当該分野にて周知のように、スマートカードプロセッサ150は、ストレージ152内に格納された秘密アイデンティティ鍵へのアクセスを制御するようにプログラムされ得る。
しかしながら、アクセス鍵はセキュリティ保護されているので、このプロセッサは、デジタルアイデンティティを提供し、そのアクセス鍵を知ることは、システムがアクセス制御データムを復号化することを可能にする。アクセス鍵が損なわれた(compromised)か、または定期的に更新される必要がある場合、あるいは、鍵クライアントが初期化されると、セキュリティハンドラまたはスマートカードに新しいアクセスを安全にロードするために、新しいアクセス鍵およびプロセスが必要とされる。セキュリティハンドラまたはスマートカードが活性化されると、アイデンティティが示されたユーザは、活性化プロセスにおいて、新しいアクセス秘密鍵を鍵サーバに登録する。
活性化プロセスは、ユーザがセキュリティハンドラまたはスマートカード用の新しいデータセットを(ダウンロードその他によって)取得し、その後、新しいデータセットの秘密鍵を活性化することで開始する。活性化プロセスは、鍵クライアントがワンタイム鍵ペアを生成し、鍵クライアントが活性化リクエストメッセージ(「Create−Secret」)を作成して新しい制御鍵をリクエストすることで開始する。活性化リクエストメッセージは、ワンタイム公開鍵を含み、ユーザのアクセス秘密鍵によって署名される。必要ではないが、アクセス秘密鍵は、ユーザによって保持されるすべてのアイデンティティ記録(IR)に対して同じであり得、ここで、各アイデンティティ記録が鍵サーバの異なったセットと関連付けられる。
鍵クライアントは、活性化リクエストメッセージを鍵サーバに送信する。鍵サーバは、リクエストに対して署名を検証するためか、または、そうでない場合、デジタル証明書をチェックするために認証サーバに照会する。認証サーバは、検証の結果を鍵サーバに戻す。署名の検証が成功した場合、鍵サーバは、リクエストメッセージの署名されたコンテンツを構文解析する。鍵サーバは制御鍵を生成し、これを、リクエストするユーザIDのもとに鍵データベース内に安全に格納する。ユーザが制御鍵または他の秘密をすでに有する場合、鍵サーバは第2の秘密を生成する。さらに、鍵サーバが制御鍵を鍵データベース内に安全に格納した場合、鍵サーバは、マスター鍵で制御鍵を暗号化する。
鍵サーバは、その後、少なくとも1つのメッセージタイプおよび制御鍵(または他の機密)を含む鍵クライアントに対する応答メッセージを作成する。応答メッセージは、ワンタイム公開鍵を用いて暗号化され、鍵クライアントに送信される。鍵クライアントは、その後、応答メッセージを復元および復号し、新しい制御鍵を用いてアクセス制御データム(従来の秘密鍵)を暗号化し、IR内の制御鍵(必要に応じて)を制御した鍵サーバのアドレスを格納する。制御鍵は、次の動作のために、メモリ内に1セッションでキャッシュされ得るが、好適には、そのセッションを越えては格納されない。
マスター鍵は、鍵データベース内に格納される秘密ユーザ専用制御鍵を暗号化および復号化するために、鍵サーバによって用いられる。鍵サーバは、鍵サーバが起動または初期化するとマスター鍵を取得する。マスター鍵は、ハードウェアデバイス内、スマートカード内、またはパスワードによって保護されたファイル内に格納され得る。アドミニストレータは、鍵サーバを起動または初期化する時点にて、パスワードを入力することを適宜必要とされ得る。パスワードは、マスター鍵を復号化するために用いられ、マスター鍵が鍵サーバによって用いられるようにする。マスター鍵がパスワードによって保護されたファイル内に格納される場合、パスワードによって保護されたファイル内に鍵を格納するための複数の標準的技術が利用可能である。これらの技術のうちの1つは、PKCS#12規格である。
上述のシステムは、別個の素子である認証サーバおよび鍵サーバに関して記載される一方で、いくつかの実施形態は、1つのサーバとして構築された認証サーバおよび鍵サーバを有し得る。これらの実施形態において、署名を検証するために、メッセージが鍵サーバから認証サーバに送信される必要はない。いくつかの実施形態は、他のタイプのアクセス制御されたデータを、従来の秘密鍵だけよりも安全にし得る。
クライアントソフトウェアは、ブラウザ、PKIアプリケーション、インターネットプロトコル(IP)セキュリティのために用いられる秘密鍵を安全に格納することを必要とするVPN(仮想プライベートネットワーク)クライアントソフトウェアプログラムであり得る。PKIアプリケーションは、UNIX(R)、Linux、または秘密鍵の安全な格納を必要とするWindows(R)といった特定のオペレーティングシステム用のネットワークログオンプログラムであり得る。PKIアプリケーションは、むしろ、Kerberosセキュリティプロトコルのバージョンをインプリメントするプログラム、電子メールプログラム、クライアントによって認証されたSSL(Secure Sockets Layer)またはTLS(Transport Layer Security)を用いるプログラム、ワイヤレスまたはモバイルデバイスプログラム、あるいはデータベースクライアントプログラムといった、秘密鍵の安全な格納を必要とするソフトウェアプログラムであり得る。クライアントシステムの特定のインプリメンテーションにおいて、アクセス制御されたデータムは、ブラウザまたはカスタム公開鍵インフラストラクチャ(PKI)アプリケーションに使用できる署名鍵である。
鍵断片を用いる特定の実施形態がここで記載される。この実施形態において、ユーザの鍵バッグは、大きいランダム対称鍵を用いて暗号化され、一時的または永久的にユーザのコンピュータシステム(通常、鍵クライアントを実行する機器)に格納され得る。対称鍵の1断片は、本明細書中で鍵認証機関(KA)と呼ばれるセキュアサーバに格納される。鍵バッグからの鍵を復号化および使用するために、ユーザは、個人識別番号(PIN)を入力することによって、または、認可されたユーザが所有するスマートカードを用いることに等によって、ユーザのシステムがKAに対してユーザを認証することを可能にする識別子へのアクセスを実証しなければならない。これらの条件が満たされた場合、KAは、ユーザの資格認定の一部として鍵クライアント機器上に格納された第2の断片と組み合わされ得る鍵断片を提供する。この組み合わせは、鍵バッグからの鍵を復号化するために用いられ得る鍵をもたらす。
ユーザクライアントKA双方向通信に関して、KAに対してクライアントを認証するために強力な2ファクタ認証が用いられ得、この認証は、米国特許第6,170,058号に記載される暗号偽装を用いること等によってソフトウェアにて完全にインプリメントされ得る。このようなシステムは、S/MIME、Form Signing、およびSSL Client AuthenticationといったPKIアプリケーション、あるいはPKCS#11モジュールおよび/またはCSPを用いる任意のアプリケーションにてハードウェアスマートカードの代わりとして用いられる。
図6は、このようなユーザシステムをインプリメントするために用いられ得るユーザシステム600のブロック図である。ここに示されるように、ユーザシステム600は、ユーザ資格認定602(すなわち、鍵のために、ユーザのアイデンティティを表すデータセット)、鍵バッグ604、プロセッサ606、コンバイナ(combiner)608、鍵ストレージ610および復号器612を備える。ユーザ資格認定602は、アクセス秘密鍵(Apriv)、Aprivに対応する暗号化された公開鍵(Apub)を含む証明書、およびアトリビュートセットを備えることが示される。アトリビュートセットは、認証およびキー入力の目的で、ユーザのアイデンティティの部分をなし、このユーザのKAが配置される場所を示すKAロケーションフィールド、鍵バッグが配置される場所を示す鍵バッグロケーションフィールドを含む種々のデータフィールド、リモート鍵バッグが許可されるか否かを示すフラグ、およびローカル鍵断片Kaを含む。通常、鍵バッグは、ユーザシステムに対してローカルであるが、ローミングを可能にするため、および他の目的で、リモートで格納され得る。いくつかの場合、ユーザシステムは、複数のユーザ資格認定602を有し、そうでない場合、ユーザに複数のスマートカードが発行される。
図7は、1つ以上のユーザシステム600と双方向通信し得るKAシステムのブロック図である。ここに示されるように、KA700は、証明書復号器702、鍵データベース704、復号器706および暗号器708を備える。Kaは、本明細書中に記載されるアクションを実行するために必要とされる他の要素を含むことが理解されるべきである。
アクセス秘密鍵は、ユーザの安全なデジタルアイデンティティを表し、暗号偽装を用いて保護され得る。鍵バッグ内に格納された鍵は、暗号偽装を気づき得ない複数のPKIアプリケーションによって生成および使用され得る従来の秘密鍵であり得る。鍵バッグからの鍵を復号化するために、ユーザシステムは、KAにリクエストを送信し、KAは、鍵断片を戻す。このプロセスは、次に、図6〜図7を参照して、さらに詳細に記載される。
鍵復号プロセスは、ユーザシステム600上のアプリケーションが鍵を必要とする場合に開始する。このアプリケーションは、プロセッサ606への鍵リクエストを作成し、プロセッサは、その後、このリクエストに応答して鍵を生成するために動作する。プロセッサ606は、通常、図6に示される形態でKAへのリクエストを形成する。
証明書認証機関は、多くの場合、ユーザのシステム上のブラウザに鍵生成命令とともにウェブページを送信することによって従来の鍵を生成する。この命令は、その後、ユーザのシステムによって実行される。この命令を実行する際に、ブラウザは、プロセッサ606を呼び出すか、または、すでに呼び出されたプロセッサ606へのリクエストを作成し、このリクエストは、その後、PKCS#11モジュールまたはCSPとして機能し得、鍵ペアおよびPKCS#10証明書リクエストを生成する。
プロセッサ600は、ユーザの資格認定のKAロケーションアトリビュートを調べることによって、どのKAを用いるのかを決定する。KAへのリクエストは、リクエストのタイプ(例えば、「FETCH」)の表示、ユーザID、暗号化された形態で公開鍵Apubを含む証明書、ワンタイム公開鍵、および、場合によっては他のフィールドを含む。リクエストは、アクセス秘密鍵Aprivを用いて署名される。ワンタイム公開鍵は、この特定のリクエストのための、プロセッサ606によって生成されるワンタイム公開鍵ペアの鍵である。証明書は、リクエストの部分として署名され得るが、必ずしも署名される必要はない。
KA700がリクエストを受信すると、KAは、KAドメイン鍵を用いて署名を検証する。好適には、KAのみが、証明書からのアクセス公開鍵Apubを復号化するために復号器702によって用いられるドメイン鍵を有する。ドメイン鍵は、ハードデバイスまたはパスワードによって保護されたファイルに格納され得る。
検証が成功した場合、KA700は、鍵データベース704から秘密鍵の断片を取得する。特定の鍵断片は、リクエストを作成するユーザと関連付けられた鍵断片である。いくつかの実施形態において、一人のユーザごとに、ただ1つの鍵断片があるが、他の実施形態においては、鍵データベース704は、所与のユーザについて複数の鍵断片を保持し得、リクエストは、どの鍵断片がリクエストされているかを特定する。
ユーザシステム600に対する応答を含む応答データムRを形成する際に、さらなるセキュリティのために鍵データベース704において鍵断片がすべて暗号化されるのにともなって、KA700は、マスター鍵Mを用いて鍵断片Ksを復号化する。鍵断片は、その後、ワンタイム公開鍵OTpubを用いて暗号化され、従って、応答データムRを形成する。
KAマスター鍵Mは、鍵データベースに格納されるユーザ専用データを暗号化および復号化するために用いられる。KAは、起動または初期化すると、マスター鍵を取得する。マスター鍵がハードウェアデバイス、スマートカード、またはパスワードによって保護されたファイル内に格納され得る。アドミニストレータは、KAを始動または初期化する時点にてパスワードを入力することを選択的にリクエストされ得る。このパスワードは、マスター鍵を復号化して、これをKAが使用できるようにするために用いられ得る。
一旦プロセッサ606が応答を受信すると、プロセッサは、ワンタイム秘密鍵を用いてRを復号化し、その後、アクセス秘密鍵を用いて結果を復号化して、秘密鍵Ksを明らかにする。プロセッサ606を、その後、連結することによって、またはその他の方法によってKsとKaとを連結してKbを形成することによって結合するコンバイナ608にKsを提供する。1つの可能な組み合わせ技術は、SHA−1またはMD5といったハッシュアルゴリズムの使用である。ハッシュは、単純な連結のために望ましい。なぜなら、ハッシュの組み合わせの結果は、特定の長さになるからである。Kbは、鍵バッグ604からの1つ以上の従来の秘密鍵を復号化するために用いられ得る。秘密鍵は、その後、署名等の目的で用いられ得る。Kbは、同じセッションにおいて次の動作のためにメモリ(例えば、ストレージ610)に選択的にキャッシュされるが、セッションが完了した後に、リセットまたは消去され得る。
上記の記載は、ユーザシステムが、そのユーザの秘密鍵断片Ksを格納するKAとの関係をすでに確立したことを想定する。初期化段階において、ユーザシステムは、「FETCH」リクエストの代わりに「CREATE」リクエストといった異なったリクエストタイプを有するリクエストを送信し得る。KAがCREATEリクエストを受信し、そのリクエストの署名が検証されると、KAは、秘密鍵Ksを生成し、これを、鍵データベース内でリクエストするユーザのUserIDのもとに安全に格納し、マスター鍵を用いて暗号化される。KAは、その後、秘密鍵Ksを含む応答を送信する。この応答は、リクエスト内に提供されたワンタイム鍵を用いて暗号化される。
一旦プロセッサ606が応答を受信すると、プロセッサは、ワンタイム秘密鍵を用いてRを復号化し、その後、その結果を、アクセス秘密鍵を用いて復号化して、秘密鍵Ksを明らかにする。プロセッサ606は、その後、KsとKaとを組み合わせることによって生成された対称鍵Kbを用いて、鍵バッグ内に格納するための従来の秘密鍵を暗号化するためにKsを用い得る。
上述のシステムにおいて、従来の秘密鍵は、ユーザシステムに配置された鍵バッグに格納され、ユーザ資格認定は、ユーザシステムに格納される。他の実施形態において、ユーザ資格認定および/または鍵バッグは、サーバに格納され、サーバは、ユーザが従来の秘密鍵を用いる一方で、ローカルユーザシステムから離れることを可能にする。ローミングユーザ資格認定のホストとして働くKAまたは暗号化された鍵バッグは、機密鍵を提供するものとは、別個のKAのインスタンスであり得るか、またはこれらのインスタンスは、同じシステムであり得る。ローミングサポートがディセーブルされるべき場合、ユーザアトリビュートの「鍵バッグローミング許可(Key Bag Roaming Allowed)」フラッグが「No」に設定され得る。
ローミングの第1のタイプにおいて、ユーザは、ユーザのローカル機器に関するユーザ資格認定を必要としない。ユーザは、ローミングサービスを行うサーバ(例えば、Webブラウザを有するWebサーバ)にアクセスし得る。ユーザは、「ペットの名前は(Name of Pet?)」または「幼年時代の先生の名前は(Name of Childhood Teacher?)」といった所定の質問のセットを用いて、問題を形成するように促される。質問が正確に回答された場合、そのユーザのユーザ資格認定は、ユーザの現在のローカル機器にダウンロードされる。好適には、ユーザ資格認定がローミングサーバにおけるデータベースに格納された場合、少なくともアクセス秘密鍵が、暗号偽装により保護され、Ka鍵断片は、サーバにて個々のユーザのKa値が知られることを防止するために、(ソフトウェアまたはハードウェアモジュール暗号を用いて)暗号化された形態で格納され得る。
ローミングの第2のタイプに関して、ユーザは、従来の秘密鍵を格納し、したがって、これらの秘密鍵がローミング中にアクセスされ得る。両方の場合に、ユーザ資格認定の場所および鍵バッグは、ローミングする使用およびローミングしない使用について同じであり得るが、最初の場合、ユーザシステムは、ユーザの現在のローカルシステムのサーバとして機能する。しかしながら、ユーザがローミング中であり、その鍵バッグのローカルコピーを保持しない場合、プロセッサ600は、署名された「FETCH」メッセージをサーバに送信することによって、ユーザの資格認定を用いて暗号化された鍵バッグのホストとして働くサーバと連絡する。暗号化された鍵バッグをダウンロードするためのプロセスおよびメッセージフローは、秘密鍵Ksをダウンロードするために用いられるプロセスと同一または類似であるが、暗号化された鍵バッグが、Ksではなく送信されたデータであることを除く。
上述の実施形態において、ユーザシステムは、その動作を実行する一方で、ネットワークを介してKAと接続される。いくつかの場合、ユーザは、秘密鍵を動作させる一方で、ネットワークと接続されない実行を必要とし得る。例えば、ユーザは、航空機内で座っている間、ラップトップ上でS/MIME電子メールに署名または復号することを所望し得る。このような動作を可能にするために、いくつかの実施形態は、上述のオフラインモードおよびオンラインモードを含む。
オフライン動作を可能にするために、ユーザ資格認定が登録された場合、ユーザはオフラインパスワードを選択する。ユーザが「オフラインに進む(go offline)」を選定すると、プロセッサ600は、ユーザ資格認定およびユーザによって入力されたPINを用いて、KAに対してユーザを認証する。プロセッサは、その後、「オフライン鍵コンテナ」を自動的にダウンロードする。切断されたセッションごとに、オフライン鍵のロックを外すために、ユーザは、プロセッサにオフラインパスワードを提供する必要がある。オフライン鍵コンテナは、設定された時間の経過といった特定の所定の基準が満たされた後、またはユーザが次にオンライン状態になった場合は自動的に消去され得る。KAは、オフライン鍵コンテナを使用する時間制限、ユーザがKAと双方向通信することが可能な時間範囲および日付の範囲、ならびに/あるいはユーザがKAと双方向通信することが可能なIPアドレス範囲といった管理上のポリシー設定を含むように構成され得る。
アプリケーションは、ユーザの代理である計算エージェントを含み得、ここで、計算エージェントは、ソフトウェアおよび/またはハードウェア上で動作し、かつユーザの代わりである。いくつかの実施形態は、制御鍵を求めるリクエストおよび新しい制御鍵を生成するリクエストの他に、他のタイプのリクエストを含み得る。スマートカードが用いられる場合、これらのカードは、SIMMカードまたはGSMセルラー電話に適合するスマートカードであり得る。
アクセス制御されるデータを管理するための新しい種類の技術がこれまで提示された。本発明は、ここで、好適な実施形態を参照して記載された。代替および置換は、ここで、当業者に明らかである。従って、上掲の請求項によって提供される場合を除いて、本発明を限定することは意図されない。
図1は、種々の認証された鍵サーバおよび認証された鍵クライアントがネットワークと結合され、不正サーバおよびクライアントもネットワークと結合され得るネットワークシステムのブロック図である。 図2は、1つの鍵サーバおよび1つの鍵クライアントのブロック図である。 図3は、鍵サーバに格納された鍵を用いる鍵クライアント上の鍵を復号化するためのプロセスのフローチャートである。 図4は、鍵クライアントの1実施形態をより詳細に示すブロック図である。 図5は、鍵クライアントの別の実施形態をより詳細に示すブロック図であり、ここで、鍵クライアントは、鍵クライアントによって用いられる認証データをセキュリティ保護するスマートカードを用いる。 図6は、ユーザのシステムのブロック図である。 図7は、鍵認証機関サーバのブロック図である。

Claims (7)

  1. 暗号化されたデータにアクセスする方法であって、該暗号化されたデータは、第1のセキュリティ保護されたシステムに格納され、該暗号化されたデータを復号化するために使用可能なコントロール鍵は、第2のセキュリティ保護されたシステムに格納され、該第1のセキュリティ保護されたシステムは、第1のセキュリティ保護されたシステム鍵ペアの秘密鍵を保持し、該方法は、
    該第1のセキュリティ保護されたシステムが、ワンタイム鍵ペアを取得することと、
    該第1のセキュリティ保護されたシステムが、該コントロール鍵を求めるリクエストを生成することであって、該リクエストは、少なくとも該ワンタイム鍵ペアの公開鍵を含む、ことと、
    該第1のセキュリティ保護されたシステムが、該第1のセキュリティ保護されたシステム鍵ペア秘密鍵を用いて該リクエストに署名することと、
    該第1のセキュリティ保護されたシステムが、該第2のセキュリティ保護されたシステムに該署名されたリクエストを送信することと、
    該第2のセキュリティ保護されたシステムが、該第1のセキュリティ保護されたシステム鍵ペアの公開鍵に基づいて、該リクエストに署名した該第1のセキュリティ保護されたシステムを認証することと、
    該第2のセキュリティ保護されたシステムが、該第1のセキュリティ保護されたシステムが認証された場合に、署名されたリクエストに対する応答を生成および送信することであって、該応答は、少なくとも、該第1のセキュリティ保護されたシステムによってリクエストされたコントロール鍵であって、該リクエストに提供された該ワンタイム鍵ペアの公開鍵を用いて暗号化されるコントロール鍵を含む、ことと、
    該第1のセキュリティ保護されたシステムが、該ワンタイム鍵ペアの秘密鍵を用いて該応答の少なくとも部分を復号化して、該コントロール鍵を取得することと、
    該第1のセキュリティ保護されたシステムが、該応答の部分として提供される該コントロール鍵を少なくとも用て、該暗号化されたデータを復号化すること
    を包含する、方法。
  2. 前記第1のセキュリティ保護されたシステムは鍵サーバクライアントであり、前記第2のセキュリティ保護されたシステムは鍵サーバである、請求項1に記載の方法。
  3. 前記第2のセキュリティ保護されたシステムは、複数の第1のセキュリティ保護されたシステムにサービスを提供する鍵サーバである、請求項1に記載の方法。
  4. 前記第1のセキュリティ保護されたシステムが、前記ワンタイム鍵ペアを取得することは、該第1のセキュリティ保護されたシステムが、ワンタイム鍵ペアを生成することを包含する、請求項1に記載の方法。
  5. 前記暗号化されたデータは、複数の秘密鍵を含む、請求項1に記載の方法。
  6. セキュリティ保護されたシステムであって、該セキュリティ保護されたシステムでは、暗号化されたデータが保持され、該暗号化されたデータがリモートシステムに格納されたコントロール鍵を用いて復号化され得該セキュリティ保護されたシステムは、
    セキュリティ保護されたシステム鍵ペアの秘密鍵のためのストレージと、
    通信ハンドラであって、
    ワンタイム鍵ペアを生成または取得すること
    を実行する通信ハンドラと、
    セキュリティハンドラであって、
    該コントロール鍵を求めるリクエストを生成することであって、該リクエストは、少なくとも該ワンタイム鍵ペアの公開鍵を含む、ことと、
    セキュリティ保護されたシステム鍵ペアの該秘密鍵を用いて該リクエストに署名することであって、該通信ハンドラは、該署名されたリクエストを該リモートシステムに送 信する、ことと、
    リモートシステムからの該署名されたリクエストに対する応答を処理することと、
    ワンタイム鍵ペアの該秘密鍵を用いて該署名されたリクエストからコントロール鍵を取得すること
    を実行するセキュリティハンドラと、
    該暗号化されたデータを、該リモートシステムによって提供される該コントロール鍵を用いて復号化する復号器と
    を備え、
    これにより、該リモートシステムは、該リモートシステムによって提供された該コントロール鍵が、該暗号化されたデータを正確に復号化するか否かに基づいて認証される、セキュリティ保護されたシステム。
  7. セキュリティ保護された鍵サーバであって、複数の鍵クライアントの鍵が保持され、該セキュリティ保護された鍵サーバと該複数の鍵クライアントとはネットワークを介して結合されており、該セキュリティ保護された鍵サーバは、
    鍵のデータベースであって、各鍵は鍵クライアントと関連付けられる、データベースと、
    ワンタイム公開鍵を含む鍵リクエストであって、鍵クライアントによって署名される鍵リクエストを受け取る通ハンドラと、
    サービスハンドラであって、
    該鍵クライアントの公開鍵に基づいて、該鍵リクエストに署名した該鍵クライアントを認証することと、
    該認証されたクライアントへの応答であって、該リクエストされた鍵を含み、該ワンタイム公開鍵を用いて暗号化される応答を暗号化することであって、該認証されたクライアントへの応答は、該通信ハンドラによって送信される、ことと
    を実行するサービスハンドラと
    を備える、セキュリティ保護された鍵サーバ。
JP2002571620A 2001-03-09 2002-03-11 格納された鍵の入手および安全な配信により鍵サーバが認証される暗号鍵を格納する方法および装置 Expired - Fee Related JP4222834B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US27445701P 2001-03-09 2001-03-09
US10/093,881 US7711122B2 (en) 2001-03-09 2002-03-08 Method and apparatus for cryptographic key storage wherein key servers are authenticated by possession and secure distribution of stored keys
PCT/US2002/007392 WO2002073861A2 (en) 2001-03-09 2002-03-11 Method and apparatus for cryptographic key storage wherein key servers are authenticated by possession and secure distribution of stored keys

Publications (2)

Publication Number Publication Date
JP2005509305A JP2005509305A (ja) 2005-04-07
JP4222834B2 true JP4222834B2 (ja) 2009-02-12

Family

ID=26788006

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002571620A Expired - Fee Related JP4222834B2 (ja) 2001-03-09 2002-03-11 格納された鍵の入手および安全な配信により鍵サーバが認証される暗号鍵を格納する方法および装置

Country Status (8)

Country Link
US (3) US7711122B2 (ja)
EP (1) EP1374474B1 (ja)
JP (1) JP4222834B2 (ja)
AT (1) ATE406726T1 (ja)
AU (1) AU2002252288A1 (ja)
DE (1) DE60228554D1 (ja)
HK (1) HK1058270A1 (ja)
WO (1) WO2002073861A2 (ja)

Families Citing this family (158)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7711122B2 (en) * 2001-03-09 2010-05-04 Arcot Systems, Inc. Method and apparatus for cryptographic key storage wherein key servers are authenticated by possession and secure distribution of stored keys
US7603703B2 (en) * 2001-04-12 2009-10-13 International Business Machines Corporation Method and system for controlled distribution of application code and content data within a computer network
US7899753B1 (en) 2002-03-25 2011-03-01 Jpmorgan Chase Bank, N.A Systems and methods for time variable financial authentication
US7174465B2 (en) * 2002-06-26 2007-02-06 Lenovo Singapore Pte, Ltd Secure method for system attribute modification
US7773754B2 (en) * 2002-07-08 2010-08-10 Broadcom Corporation Key management system and method
JP2004112510A (ja) * 2002-09-19 2004-04-08 Sony Corp データ処理方法、そのプログラムおよびその装置
US7665118B2 (en) * 2002-09-23 2010-02-16 Credant Technologies, Inc. Server, computer memory, and method to support security policy maintenance and distribution
US7437752B2 (en) * 2002-09-23 2008-10-14 Credant Technologies, Inc. Client architecture for portable device with security policies
US20060190984A1 (en) * 2002-09-23 2006-08-24 Credant Technologies, Inc. Gatekeeper architecture/features to support security policy maintenance and distribution
US7665125B2 (en) * 2002-09-23 2010-02-16 Heard Robert W System and method for distribution of security policies for mobile devices
AU2007216818B2 (en) * 2003-02-28 2010-05-13 Blackberry Limited System and method of protecting data on a communication device
DE60335221D1 (de) 2003-02-28 2011-01-13 Research In Motion Ltd System und Verfahren zum Schutz von Daten in einem Kommunikationsgerät
IL154739A0 (en) * 2003-03-04 2003-10-31 Bamboo Mediacasting Ltd Segmented data delivery over non-reliable link
US7363508B2 (en) * 2003-05-21 2008-04-22 Palo Alto Research Center Incorporated System and method for dynamically enabling components to implement data transfer security mechanisms
IL157886A0 (en) * 2003-09-11 2009-02-11 Bamboo Mediacasting Ltd Secure multicast transmission
IL157885A0 (en) * 2003-09-11 2004-03-28 Bamboo Mediacasting Ltd Iterative forward error correction
US20090224889A1 (en) * 2003-12-12 2009-09-10 Abhinav Aggarwal System and method for universal identity verification of biological humans
KR20070053654A (ko) 2004-03-05 2007-05-25 넥스트넷 와이어리스 인크. 경쟁 체제 데이터 링크를 통한 등시성 데이터그램 전달을위한 방법 및 장치
US20050203843A1 (en) * 2004-03-12 2005-09-15 Wood George L. Internet debit system
US7418728B2 (en) * 2004-03-17 2008-08-26 Arcot Systems, Inc. Auditing secret key cryptographic operations
BRPI0509538B1 (pt) * 2004-04-02 2019-01-15 Blackberry Ltd método, sinal digital, portadora, e primeiro sistema para estabelecer um percurso de comunicação bidirecional
US7646872B2 (en) * 2004-04-02 2010-01-12 Research In Motion Limited Systems and methods to securely generate shared keys
US8190913B2 (en) 2004-04-30 2012-05-29 Research In Motion Limited System and method for content protection on a computing device
US7996673B2 (en) * 2004-05-12 2011-08-09 Echoworx Corporation System, method and computer product for sending encrypted messages to recipients where the sender does not possess the credentials of the recipient
US7660798B1 (en) * 2004-10-04 2010-02-09 Adobe Systems Incorporated System and method for providing document security, access control and automatic identification of recipients
CA2584525C (en) 2004-10-25 2012-09-25 Rick L. Orsini Secure data parser method and system
US7630493B2 (en) * 2005-01-18 2009-12-08 Tricipher, Inc. Multiple factor private portion of an asymmetric key
US20060182277A1 (en) * 2005-02-14 2006-08-17 Tricipher, Inc. Roaming utilizing an asymmetric key pair
US8099607B2 (en) * 2005-01-18 2012-01-17 Vmware, Inc. Asymmetric crypto-graphy with rolling key security
US20060182283A1 (en) * 2005-02-14 2006-08-17 Tricipher, Inc. Architecture for asymmetric crypto-key storage
US7636940B2 (en) * 2005-04-12 2009-12-22 Seiko Epson Corporation Private key protection for secure servers
DE102005018676B4 (de) * 2005-04-21 2008-09-25 Wincor Nixdorf International Gmbh Verfahren zur Schlüsselverwaltung für Kryptographiemodule
US8090945B2 (en) * 2005-09-16 2012-01-03 Tara Chand Singhal Systems and methods for multi-factor remote user authentication
CN101346947B (zh) * 2005-12-23 2011-08-03 艾利森电话股份有限公司 用于电信网络中路由优化的方法和设备
US7769176B2 (en) 2006-06-30 2010-08-03 Verint Americas Inc. Systems and methods for a secure recording environment
US7848524B2 (en) * 2006-06-30 2010-12-07 Verint Americas Inc. Systems and methods for a secure recording environment
US7953978B2 (en) * 2006-09-07 2011-05-31 International Business Machines Corporation Key generation and retrieval using key servers
US8379865B2 (en) * 2006-10-27 2013-02-19 Safenet, Inc. Multikey support for multiple office system
JP2008177683A (ja) * 2007-01-16 2008-07-31 Kyocera Mita Corp データ提供システム、データ受領システム、データ提供方法、データ提供プログラム及びデータ受領プログラム
US8291227B2 (en) * 2007-02-02 2012-10-16 Red Hat, Inc. Method and apparatus for secure communication
US9846866B2 (en) * 2007-02-22 2017-12-19 First Data Corporation Processing of financial transactions using debit networks
WO2008122688A1 (en) * 2007-04-10 2008-10-16 Meridea Financial Software Oy Method, device, server arrangement, system and computer program products for securely storing data in a portable device
CA2587239A1 (en) * 2007-05-02 2008-11-02 Kryptiva Inc. System and method for ad-hoc processing of cryptographically-encoded data
US8392713B2 (en) * 2007-06-01 2013-03-05 Microsoft Corporation Secure offline activation process for licensed software application programs
US20090240937A1 (en) * 2008-03-19 2009-09-24 Safenet, Inc. Separated storage of data and key necessary to access the data
US9444622B2 (en) * 2008-09-15 2016-09-13 Hewlett Packard Enterprise Development Lp Computing platform with system key
JP5297529B2 (ja) * 2009-06-23 2013-09-25 パナソニック株式会社 認証システム
US10454674B1 (en) * 2009-11-16 2019-10-22 Arm Limited System, method, and device of authenticated encryption of messages
US9231758B2 (en) 2009-11-16 2016-01-05 Arm Technologies Israel Ltd. System, device, and method of provisioning cryptographic data to electronic devices
GB201000288D0 (en) * 2010-01-11 2010-02-24 Scentrics Information Security System and method of enforcing a computer policy
US9544143B2 (en) 2010-03-03 2017-01-10 Duo Security, Inc. System and method of notifying mobile devices to complete transactions
US9532222B2 (en) 2010-03-03 2016-12-27 Duo Security, Inc. System and method of notifying mobile devices to complete transactions after additional agent verification
US8510552B2 (en) * 2010-04-07 2013-08-13 Apple Inc. System and method for file-level data protection
US8621036B1 (en) * 2010-11-17 2013-12-31 Israel L'Heureux Secure file access using a file access server
SG10201602471QA (en) * 2011-04-01 2016-04-28 Ericsson Telefon Ab L M Methods and apparatuses for avoiding damage in network attacks
US8885833B2 (en) * 2011-04-11 2014-11-11 Microsoft Corporation One-time recovery credentials for encrypted data access
US20120272339A1 (en) * 2011-04-25 2012-10-25 Ganesan Kumaravel Method and system for accessing password-protected data on a device
US9467463B2 (en) 2011-09-02 2016-10-11 Duo Security, Inc. System and method for assessing vulnerability of a mobile device
US9014023B2 (en) 2011-09-15 2015-04-21 International Business Machines Corporation Mobile network services in a mobile data network
US8255687B1 (en) * 2011-09-15 2012-08-28 Google Inc. Enabling users to select between secure service providers using a key escrow service
US9524388B2 (en) 2011-10-07 2016-12-20 Duo Security, Inc. System and method for enforcing a policy for an authenticator device
EP2592805B1 (en) * 2011-11-08 2014-05-14 ATS Group (IP Holdings) Limited Method and system for preserving privacy and accountability
JP5454960B2 (ja) * 2011-11-09 2014-03-26 株式会社東芝 再暗号化システム、再暗号化装置及びプログラム
US8971192B2 (en) 2011-11-16 2015-03-03 International Business Machines Corporation Data breakout at the edge of a mobile data network
US9330245B2 (en) * 2011-12-01 2016-05-03 Dashlane SAS Cloud-based data backup and sync with secure local storage of access keys
US8639928B2 (en) * 2011-12-05 2014-01-28 Certicom Corp. System and method for mounting encrypted data based on availability of a key on a network
US8774403B2 (en) 2011-12-08 2014-07-08 Dark Matter Labs, Inc. Key creation and rotation for data encryption
US8769615B2 (en) 2011-12-19 2014-07-01 International Business Machines Corporation Key storage and retrieval in a breakout component at the edge of a mobile data network
US8458494B1 (en) 2012-03-26 2013-06-04 Symantec Corporation Systems and methods for secure third-party data storage
US8966287B2 (en) 2012-03-26 2015-02-24 Symantec Corporation Systems and methods for secure third-party data storage
JP2013205604A (ja) * 2012-03-28 2013-10-07 Toshiba Corp 通信装置および鍵管理方法
US9887989B2 (en) 2012-06-23 2018-02-06 Pomian & Corella, Llc Protecting passwords and biometrics against back-end security breaches
US8712044B2 (en) * 2012-06-29 2014-04-29 Dark Matter Labs Inc. Key management system
US9774446B1 (en) * 2012-12-31 2017-09-26 EMC IP Holding Company LLC Managing use of security keys
US8904503B2 (en) 2013-01-15 2014-12-02 Symantec Corporation Systems and methods for providing access to data accounts within user profiles via cloud-based storage services
CN105051750B (zh) 2013-02-13 2018-02-23 安全第一公司 用于加密文件***层的***和方法
US9338156B2 (en) 2013-02-22 2016-05-10 Duo Security, Inc. System and method for integrating two-factor authentication in a device
US9607156B2 (en) 2013-02-22 2017-03-28 Duo Security, Inc. System and method for patching a device through exploitation
US9443073B2 (en) 2013-08-08 2016-09-13 Duo Security, Inc. System and method for verifying status of an authentication device
US9037865B1 (en) 2013-03-04 2015-05-19 Ca, Inc. Method and system to securely send secrets to users
US9130943B1 (en) * 2013-03-11 2015-09-08 Ca, Inc. Managing communications between client applications and application resources of on-premises and cloud computing nodes
US9363669B2 (en) * 2013-04-12 2016-06-07 Blackberry Limited Methods and systems for server-initiated activation of device for operation with server
US9369289B1 (en) * 2013-07-17 2016-06-14 Google Inc. Methods and systems for performing secure authenticated updates of authentication credentials
US9202076B1 (en) 2013-07-26 2015-12-01 Symantec Corporation Systems and methods for sharing data stored on secure third-party storage platforms
US9053310B2 (en) 2013-08-08 2015-06-09 Duo Security, Inc. System and method for verifying status of an authentication device through a biometric profile
DE102013108714B3 (de) * 2013-08-12 2014-08-21 Deutsche Post Ag Unterstützung einer Entschlüsselung von verschlüsselten Daten
US9092302B2 (en) 2013-09-10 2015-07-28 Duo Security, Inc. System and method for determining component version compatibility across a device ecosystem
US9608814B2 (en) 2013-09-10 2017-03-28 Duo Security, Inc. System and method for centralized key distribution
WO2015062904A1 (en) * 2013-10-28 2015-05-07 Kmaas Aps A system and a method for management of confidential data
US9774448B2 (en) 2013-10-30 2017-09-26 Duo Security, Inc. System and methods for opportunistic cryptographic key management on an electronic device
US9246676B2 (en) 2013-11-22 2016-01-26 Cisco Technology, Inc. Secure access for encrypted data
KR101451639B1 (ko) * 2014-02-18 2014-10-16 주식회사 시큐브 일회용 랜덤키를 이용한 본인 확인 및 도용 방지 시스템 및 방법
US9762590B2 (en) 2014-04-17 2017-09-12 Duo Security, Inc. System and method for an integrity focused authentication service
US9076004B1 (en) 2014-05-07 2015-07-07 Symantec Corporation Systems and methods for secure hybrid third-party data storage
US9654463B2 (en) * 2014-05-20 2017-05-16 Airwatch Llc Application specific certificate management
CN106664200B (zh) * 2014-05-30 2020-10-09 黑莓有限公司 用于控制对资源的访问的方法、计算设备和存储介质
CN105450400B (zh) * 2014-06-03 2019-12-13 阿里巴巴集团控股有限公司 一种身份验证方法、客户端、服务器端及***
CN104219228B (zh) * 2014-08-18 2018-01-02 四川长虹电器股份有限公司 一种用户注册、用户识别方法及***
RU2710897C2 (ru) 2014-08-29 2020-01-14 Виза Интернэшнл Сервис Ассосиэйшн Способы безопасного генерирования криптограмм
US9531542B2 (en) * 2014-09-19 2016-12-27 Bank Of America Corporation Secure remote password
US9531692B2 (en) * 2014-09-19 2016-12-27 Bank Of America Corporation Method of securing mobile applications using distributed keys
US10187213B2 (en) * 2014-11-07 2019-01-22 Venafi, Inc. Off device storage of cryptographic key material
US9979719B2 (en) 2015-01-06 2018-05-22 Duo Security, Inc. System and method for converting one-time passcodes to app-based authentication
JP6521640B2 (ja) * 2015-01-14 2019-05-29 キヤノン株式会社 情報処理装置及びその制御方法、並びにプログラム
CN107210914B (zh) * 2015-01-27 2020-11-03 维萨国际服务协会 用于安全凭证供应的方法
US9967091B2 (en) * 2015-02-12 2018-05-08 Xerox Corporation Method for enhancing security in distributed systems
US10853592B2 (en) 2015-02-13 2020-12-01 Yoti Holding Limited Digital identity system
WO2016133958A1 (en) * 2015-02-17 2016-08-25 Visa International Service Association Cloud encryption key broker apparatuses, methods and systems
CN104683107B (zh) * 2015-02-28 2019-01-22 深圳市思迪信息技术股份有限公司 数字证书保管方法和装置、数字签名方法和装置
US10541811B2 (en) * 2015-03-02 2020-01-21 Salesforce.Com, Inc. Systems and methods for securing data
US9660969B2 (en) 2015-03-31 2017-05-23 Here Global B.V. Method and apparatus for providing key management for data encryption for cloud-based big data environments
US9641341B2 (en) 2015-03-31 2017-05-02 Duo Security, Inc. Method for distributed trust authentication
US9774579B2 (en) 2015-07-27 2017-09-26 Duo Security, Inc. Method for key rotation
US9390154B1 (en) 2015-08-28 2016-07-12 Swirlds, Inc. Methods and apparatus for a distributed database within a network
US9529923B1 (en) 2015-08-28 2016-12-27 Swirlds, Inc. Methods and apparatus for a distributed database within a network
US10747753B2 (en) 2015-08-28 2020-08-18 Swirlds, Inc. Methods and apparatus for a distributed database within a network
US10454900B2 (en) * 2015-09-25 2019-10-22 Mcafee, Llc Remote authentication and passwordless password reset
WO2017082697A1 (en) * 2015-11-13 2017-05-18 Samsung Electronics Co., Ltd. Method and apparatus for downloading profile on embedded universal integrated circuit card of terminal
US10142100B2 (en) * 2016-07-06 2018-11-27 Sap Se Managing user-controlled security keys in cloud-based scenarios
US10394674B2 (en) * 2016-08-24 2019-08-27 Apple Inc. Local recovery of electronic subscriber identity module (eSIM) installation flow
CN107800535A (zh) * 2016-09-05 2018-03-13 上海前隆金融信息服务有限公司 一种数据安全的处理方法及装置
GB201617620D0 (en) * 2016-10-18 2016-11-30 Cybernetica As Composite digital signatures
LT3539026T (lt) * 2016-11-10 2022-03-25 Swirlds, Inc. Būdai ir aparatas paskirstytajai duomenų bazei, apimančiai anonimines įvestis
US10205709B2 (en) 2016-12-14 2019-02-12 Visa International Service Association Key pair infrastructure for secure messaging
US10686787B2 (en) * 2016-12-15 2020-06-16 Thales Dis France Sa Use of personal device for convenient and secure authentication
WO2018118930A1 (en) 2016-12-19 2018-06-28 Swirlds, Inc. Methods and apparatus for a distributed database that enables deletion of events
US10574648B2 (en) 2016-12-22 2020-02-25 Dashlane SAS Methods and systems for user authentication
KR102252731B1 (ko) * 2017-01-10 2021-05-18 한국전자통신연구원 소프트웨어 인증장치를 위한 키 관리 방법 및 장치
US10432397B2 (en) 2017-05-03 2019-10-01 Dashlane SAS Master password reset in a zero-knowledge architecture
KR102415097B1 (ko) 2017-07-11 2022-06-29 스월즈, 인크. 네트워크 내의 분산 데이터베이스를 효율적으로 구현하기 위한 방법들 및 장치
US10505916B2 (en) * 2017-10-19 2019-12-10 T-Mobile Usa, Inc. Authentication token with client key
RU2740865C1 (ru) 2017-11-01 2021-01-21 Свирлдз, Инк. Способы и устройство для эффективной реализации базы данных, поддерживающей быстрое копирование
US10848312B2 (en) 2017-11-14 2020-11-24 Dashlane SAS Zero-knowledge architecture between multiple systems
US10587409B2 (en) 2017-11-30 2020-03-10 T-Mobile Usa, Inc. Authorization token including fine grain entitlements
US10412113B2 (en) 2017-12-08 2019-09-10 Duo Security, Inc. Systems and methods for intelligently configuring computer security
US10904004B2 (en) 2018-02-27 2021-01-26 Dashlane SAS User-session management in a zero-knowledge environment
US11438168B2 (en) 2018-04-05 2022-09-06 T-Mobile Usa, Inc. Authentication token request with referred application instance public key
US11347868B2 (en) 2018-04-17 2022-05-31 Domo, Inc Systems and methods for securely managing data in distributed systems
CN109347625B (zh) * 2018-08-31 2020-04-24 阿里巴巴集团控股有限公司 密码运算、创建工作密钥的方法、密码服务平台及设备
US11176539B2 (en) * 2018-11-08 2021-11-16 Paypal, Inc. Card storage handler for tracking of card data storage across service provider platforms
US11133940B2 (en) * 2018-12-04 2021-09-28 Journey.ai Securing attestation using a zero-knowledge data management network
US11658962B2 (en) 2018-12-07 2023-05-23 Cisco Technology, Inc. Systems and methods of push-based verification of a transaction
EP3668135B1 (de) * 2018-12-14 2020-12-09 Deutsche Telekom AG Autorisierungsverfahren zum freigeben oder sperren von ressourcen und endgerät
CN109660534B (zh) * 2018-12-15 2022-01-28 平安科技(深圳)有限公司 基于多商户的安全认证方法、装置、电子设备及存储介质
SG11202109729SA (en) 2019-05-22 2021-10-28 Swirlds Inc Methods and apparatus for implementing state proofs and ledger identifiers in a distributed database
US10769873B1 (en) * 2019-06-28 2020-09-08 Alibaba Group Holding Limited Secure smart unlocking
US11610012B1 (en) * 2019-11-26 2023-03-21 Gobeep, Inc. Systems and processes for providing secure client controlled and managed exchange of data between parties
US11574513B2 (en) * 2020-03-31 2023-02-07 Lockfob, Llc Electronic access control
WO2021216030A1 (en) * 2020-04-20 2021-10-28 Hewlett-Packard Development Company, L.P. Remote connection decryption
US11522686B2 (en) 2020-07-16 2022-12-06 Salesforce, Inc. Securing data using key agreement
US11368292B2 (en) 2020-07-16 2022-06-21 Salesforce.Com, Inc. Securing data with symmetric keys generated using inaccessible private keys
US20230050628A1 (en) * 2020-11-09 2023-02-16 Yat Wan Lui Encryption method and system for xenomorphic cryptography
US20220343351A1 (en) * 2021-04-23 2022-10-27 Sovanta Ag Distributed scoring system
GB2622552A (en) * 2021-07-16 2024-03-20 James Regan Timothy Method for encrypted communication between systems using parallel key banks and reduced character sets
US12010218B2 (en) 2021-10-29 2024-06-11 Google Llc Managing data availability on encryption key status changes in replicated storage systems
US11691788B1 (en) 2022-01-20 2023-07-04 Cryoport, Inc. Foldable cassette bags for transporting biomaterials
CN114900338B (zh) * 2022-04-20 2023-07-21 岚图汽车科技有限公司 一种加密解密方法、装置、设备和介质
US11811752B1 (en) * 2022-08-03 2023-11-07 1080 Network, Inc. Systems, methods, and computing platforms for executing credential-less network-based communication exchanges

Family Cites Families (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5016274A (en) * 1988-11-08 1991-05-14 Silvio Micali On-line/off-line digital signing
NZ329891A (en) * 1994-01-13 2000-01-28 Certco Llc Method of upgrading firmware of trusted device using embedded key
JP3348753B2 (ja) * 1994-04-28 2002-11-20 日本電信電話株式会社 暗号鍵配送システムおよび方法
US5999711A (en) * 1994-07-18 1999-12-07 Microsoft Corporation Method and system for providing certificates holding authentication and authorization information for users/machines
US5606617A (en) * 1994-10-14 1997-02-25 Brands; Stefanus A. Secret-key certificates
US5960086A (en) * 1995-11-02 1999-09-28 Tri-Strata Security, Inc. Unified end-to-end security methods and systems for operating on insecure networks
US5815573A (en) * 1996-04-10 1998-09-29 International Business Machines Corporation Cryptographic key recovery system
US5768373A (en) * 1996-05-06 1998-06-16 Symantec Corporation Method for providing a secure non-reusable one-time password
US5937066A (en) * 1996-10-02 1999-08-10 International Business Machines Corporation Two-phase cryptographic key recovery system
US5889860A (en) * 1996-11-08 1999-03-30 Sunhawk Corporation, Inc. Encryption system with transaction coded decryption key
US8225089B2 (en) * 1996-12-04 2012-07-17 Otomaku Properties Ltd., L.L.C. Electronic transaction systems utilizing a PEAD and a private key
JPH10215284A (ja) * 1997-01-29 1998-08-11 Ado Hotsuku:Kk ネットワーク接続システム及びネットワーク接続方法
US6335972B1 (en) * 1997-05-23 2002-01-01 International Business Machines Corporation Framework-based cryptographic key recovery system
US6775382B1 (en) * 1997-06-30 2004-08-10 Sun Microsystems, Inc. Method and apparatus for recovering encryption session keys
US6978017B2 (en) * 1997-10-14 2005-12-20 Entrust Limited Method and system for providing updated encryption key pairs and digital signature key pairs in a public key system
US6160891A (en) * 1997-10-20 2000-12-12 Sun Microsystems, Inc. Methods and apparatus for recovering keys
EP0914001A1 (en) * 1997-10-28 1999-05-06 CANAL+ Société Anonyme Downloading of applications in a digital decoder
US6098056A (en) * 1997-11-24 2000-08-01 International Business Machines Corporation System and method for controlling access rights to and security of digital content in a distributed information system, e.g., Internet
US6246771B1 (en) * 1997-11-26 2001-06-12 V-One Corporation Session key recovery system and method
US6185685B1 (en) * 1997-12-11 2001-02-06 International Business Machines Corporation Security method and system for persistent storage and communications on computer network systems and computer network systems employing the same
US6170058B1 (en) * 1997-12-23 2001-01-02 Arcot Systems, Inc. Method and apparatus for cryptographically camouflaged cryptographic key storage, certification and use
US6393127B2 (en) * 1998-03-02 2002-05-21 Motorola, Inc. Method for transferring an encryption key
JPH11298470A (ja) * 1998-04-16 1999-10-29 Hitachi Ltd 鍵の配布方法およびシステム
JP2000049766A (ja) * 1998-07-27 2000-02-18 Hitachi Ltd 鍵管理サーバシステム
GB2350981A (en) * 1999-06-11 2000-12-13 Int Computers Ltd Cryptographic key recovery
US6834112B1 (en) * 2000-04-21 2004-12-21 Intel Corporation Secure distribution of private keys to multiple clients
AU2001287164B2 (en) * 2000-08-04 2008-06-26 First Data Corporation Method and system for using electronic communications for an electronic contact
US7024552B1 (en) * 2000-08-04 2006-04-04 Hewlett-Packard Development Company, L.P. Location authentication of requests to a web server system linked to a physical entity
US6947556B1 (en) * 2000-08-21 2005-09-20 International Business Machines Corporation Secure data storage and retrieval with key management and user authentication
JP2002073568A (ja) * 2000-08-31 2002-03-12 Sony Corp 個人認証システムおよび個人認証方法、並びにプログラム提供媒体
US7178169B1 (en) * 2000-09-01 2007-02-13 Zoran Corporation Method and apparatus for securing transfer of and access to digital content
US7054447B1 (en) * 2000-09-01 2006-05-30 Pgp Corporation Method and apparatus for periodically removing invalid public keys from a public key server
US7181762B2 (en) * 2001-01-17 2007-02-20 Arcot Systems, Inc. Apparatus for pre-authentication of users using one-time passwords
US7711122B2 (en) * 2001-03-09 2010-05-04 Arcot Systems, Inc. Method and apparatus for cryptographic key storage wherein key servers are authenticated by possession and secure distribution of stored keys

Also Published As

Publication number Publication date
EP1374474B1 (en) 2008-08-27
WO2002073861A2 (en) 2002-09-19
HK1058270A1 (en) 2004-05-07
DE60228554D1 (de) 2008-10-09
WO2002073861A3 (en) 2003-10-30
US7711122B2 (en) 2010-05-04
US8290165B2 (en) 2012-10-16
US20020126850A1 (en) 2002-09-12
JP2005509305A (ja) 2005-04-07
AU2002252288A1 (en) 2002-09-24
EP1374474A4 (en) 2006-08-09
EP1374474A2 (en) 2004-01-02
US8904180B2 (en) 2014-12-02
WO2002073861A9 (en) 2003-12-24
ATE406726T1 (de) 2008-09-15
US20100172504A1 (en) 2010-07-08
US20130046985A1 (en) 2013-02-21

Similar Documents

Publication Publication Date Title
JP4222834B2 (ja) 格納された鍵の入手および安全な配信により鍵サーバが認証される暗号鍵を格納する方法および装置
US9847882B2 (en) Multiple factor authentication in an identity certificate service
CN109088889B (zh) 一种ssl加解密方法、***及计算机可读存储介质
US9330245B2 (en) Cloud-based data backup and sync with secure local storage of access keys
EP1500226B1 (en) System and method for storage and retrieval of a cryptographic secret from a plurality of network enabled clients
US8644516B1 (en) Universal secure messaging for cryptographic modules
JP4907895B2 (ja) プライベートデータを露出せずに通信ネットワークを介してパスワードで保護されたプライベートデータを回復する方法およびシステム
US7992193B2 (en) Method and apparatus to secure AAA protocol messages
US8904178B2 (en) System and method for secure remote access
WO2018014760A1 (zh) 图形码信息提供、获取方法、装置及终端
US20030070068A1 (en) Method and system for providing client privacy when requesting content from a public server
US12003634B2 (en) Systems and methods for encrypted content management
CN108809633B (zh) 一种身份认证的方法、装置及***
EP4096147A1 (en) Secure enclave implementation of proxied cryptographic keys
EP4145763A1 (en) Exporting remote cryptographic keys
CN108881153B (zh) 用于登入的认证方法
JPH10242957A (ja) ユーザ認証方法およびシステムおよびユーザ認証用記憶媒体
TW200803392A (en) Method, device, server arrangement, system and computer program products for securely storing data in a portable device
EP3051770A1 (en) User opt-in computer implemented method for monitoring network traffic data, network traffic controller and computer programs
EP3720165A1 (en) Method for proving at least one of identity and entitlement
CA3225987A1 (en) End to end encryption with roaming capabilities
CA3210990A1 (en) End to end encryption with roaming capabilities
CN114531235A (zh) 一种端对端加密的通信方法及***

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050302

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080228

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080528

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20081105

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20081118

R150 Certificate of patent or registration of utility model

Ref document number: 4222834

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111128

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121128

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121128

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131128

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees