JP6731491B2 - データ転送方法、非一過性のコンピュータ読み取り可能な記憶媒体、暗号デバイス、およびデータ使用のコントロール方法 - Google Patents
データ転送方法、非一過性のコンピュータ読み取り可能な記憶媒体、暗号デバイス、およびデータ使用のコントロール方法 Download PDFInfo
- Publication number
- JP6731491B2 JP6731491B2 JP2018540867A JP2018540867A JP6731491B2 JP 6731491 B2 JP6731491 B2 JP 6731491B2 JP 2018540867 A JP2018540867 A JP 2018540867A JP 2018540867 A JP2018540867 A JP 2018540867A JP 6731491 B2 JP6731491 B2 JP 6731491B2
- Authority
- JP
- Japan
- Prior art keywords
- security context
- key
- tenant
- cryptographic
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Description
第1のセキュリティコンテキスト内のデータに対応するアクセスコントロールリストを生成する工程であって、当該アクセルコントロールリストは、有効な使用クレデンシャルは、第1のタイプのデータの使用を許可するために与えられなければならないところの工程と、
第2のセキュリティコンテキスト内に、第1の暗号キーペアおよび第1暗号サーティフィケートを生成する工程であって、第1暗号キーペアは、第1パブリックキーKBLOB pubおよび第1プライベートキーKBLOB privを有し、第1暗号サーティフィケートは、第1パブリックキーKBLOB pubの起源を認証可能な情報を有する、ところの工程と、
第1パブリックキーKBLOB pubおよび第1の暗号サーティフィケートを第1セキュリティコンテキストに送信する工程と、
第1セキュリティコンテキスト内の第1暗号サーティフィケートを認証する工程と、
第1暗号サーティフィケートが有効であれば、第1セキュリティコンテキスト内の第1パブリックキーKBLOB pubにより、データおよび対応するアクセスコントロールリストを暗号化する工程と、
暗号化されたデータおよび対応するアクセスコントロールリスト、および、データの起源を認証する情報を、第2セキュリティコンテキストへ送信する工程と
を有する。
第2セキュリティコンテキストのカレントのコンフィギュレーションに関連する情報を生成する工程と、
第2識別プライベートキーK2ID privにより情報を暗号化サインする工程と、
サイン済みの情報を、第2セキュリティコンテキストから第1セキュリティコンテキストへ送信する工程とを有する。
第2暗号キーペアおよび第2暗号サーティフィケートを第1セキュリティコンテキスト内で生成する工程であって、第2暗号キーペアは、第2パブリックキーKtenant−signpub、第2プライベートキーKtenant−signpivを有し、第2暗号サーティフィケートは第2パブリックキーKtenant−signpubの起源を認証可能な情報を有するところの工程と、
第2パブリックキーKtenant−signpubおよび第2暗号サーティフィケートを第2セキュリティコンテキストへ送信する工程とを有する。
第1識別プライベートキーK1ID privにより第2暗号サーティフィケートを暗号化サインする工程と、
第2セキュリティコンテキストにおいて、第1識別パブリックキーK1ID pubを使って第2暗号サーティフィケートを認証する工程とを有する。
暗号化された暗号キーKtenantおよび対応するアクセスコントロールリストをKtenant−signpivによって暗号化サインする工程と、
暗号化された暗号キーKtenantおよび対応するアクセスコントロールリスト、暗号化された暗号キーKtenantのサインおよび対応するアクセスコントロールリストおよびKtenant−signpubのハッシュを第2セキュリティコンテキストに送信する工程とを有する。
第2セキュリティコンテキストにおいて、暗号キーKtenantの期限を認証する工程と、
暗号化された暗号キーKtenantおよび対応するアクセスコントロールリストを、第1プライベートキーKBLOB privによって第2セキュリティコンテキストにおいて解読する工程とを有する。
第2セキュリティコンテキストにおいて、他の暗号キーにより、暗号キーKtenantを再暗号化する工程であって、他の暗号キーは、第2セキュリティコンテキストを離れることができないところの工程と、
再暗号化された暗号キーKtenant、対応するアクセスコントロールリストおよび、暗号キーKtenantの期限を認証可能な情報を格納する工程とを有する。
第1セキュリティコンテキスト内で使用クレデンシャルを生成する工程であって、使用クレデンシャルは、
使用クレデンシャルに対応するデータが識別可能である情報と、
使用クレデンシャルの満期を決定可能である情報と
を有し、
使用クレデンシャルおよび当該使用クレデンシャルの起源が認証可能な情報を発行する工程と、
アクセスコントロールリストに関して使用クレデンシャルを認証し、かつ、当該使用クレデンシャルが第2セキュリティコンテキストにおいて満了しなかったことを認証する工程と、
使用クレデンシャルが有効でありかつ満了前である条件のもとで、第2のセキュリティコンテキスト内で、データの使用の第1のタイプを許可する工程と
を有する。
満了時間、および
基準時間ソースを同定する情報を有する。
基準時間ソースを選択する工程と、
基準時間ソースからカレントのタイムスタンプを要求する工程と、
タイムスタンプに基づいて、満了時間を計算する工程とを有する。
カレントのタイムスタンプを有するメッセージを、メッセージの起源を認証可能な情報とともにソースからテナントシステムへ送信する工程と、
メッセージの起源を認証する工程とを有する。
第1セキュリティコンテキスト内で、使用サーティフィケートをプライベートキーKtenant−signprivによって暗号化サインする工程であって、使用サーティフィケートの起源を認証可能な情報はサインであり、対応するパブリックキーKtenant−signpubは、インテグリティプロテクトであり、第2セキュリティコンテキストにアクセス可能である、ところの工程と、
第2セキュリティコンテキストにおいてパブリックキーKtenant−signpubを使って使用サーティフィケートを認証する工程とを有する。
使用クレデンシャル、該使用クレデンシャルの起源を認証可能である情報、および、使用の第1のタイプであるオペレーションをキーKtenantによって実行するためのリクエストを第2セキュリティコンテキストに与える工程と、
使用クレデンシャルが有効でありかつ満了前である条件の下で、第2セキュリティコンテキストにおいてオペレーションを実行する工程とを有する。
基準時間ソースからカレントのタイムスタンプをリクエストする工程と、
基準時間ソースから第2セキュリティコンテキストへ、カレントのタイムスタンプを有するメッセージを、メッセージの起源を認証可能な情報とともに送信する工程と、
メッセージの起源を認証する工程とを有する。
満了時間とタイムスタンプとを比較する工程を有する。
第1パブリックキーKBLOB pub、および第1パブリックキーKBLOB pubの起源を認証可能な情報を有する暗号サーティフィケートを、第2セキュリティコンテキストから受信するように構成された第1トランシーバと、
暗号オペレーションを実行するように構成された第1プロセッサであって、該第1プロセッサであって、
転送されるべきデータに対応するアクセスコントロールリストを生成し、ここで、アクセスコントロールリストは、有効使用クレデンシャルがデータの使用の第1のタイプを許可するために与えられなければならないことを特定し、
第2セキュリティコンテキストから生成された第1暗号キーペアを認証し、
第1パブリックキーKBLOB pubによって、データおよび対応するアクセスコントロールリストを暗号化するように構成されたプロセッサと
を有し、
第1トランシーバは、暗号化されたデータおよび対応するアクセスコントロールリスト、および、データの起源を認証可能な情報を第2セキュリティコンテキストに送信するように構成されている。
第1識別プライベートキーK1ID privを格納する第1デバイスメモリを有し、
第1トランシーバはさらに、
第1識別パブリックキーK1ID pubおよび第1識別サーティフィケートを第2セキュリティコンテキストに送信するように構成され、ここで、第1識別パブリックキーK1ID pubおよび第1識別プライベートキーK1ID privは暗号キーペアであり、第1識別サーティフィケートはK1ID pubを同定する情報を有し、製造業者プライベートキーKman privによって暗号化サインされ、かつ、
第2識別パブリックキーK2ID pub、および第2識別サーティフィケートを第2セキュリティコンテキストから受信するように構成され、第2識別サーティフィケートは、K2ID pubを同定する情報を有し、製造業者プライベートキーKman privによって暗号化サインされており、
第1プロセッサはさらに、製造業者パブリックキーKman pubを使って第2識別サーティフィケートを認証するように構成されている。
第2セキュリティコンテキストのカレントのコンフィギュレーションに関する情報を受信するように構成され、ここで、情報は第2識別プライベートキーK2ID privによって暗号化サインされ、第2識別パブリックキーK2ID pubおよび第2識別プライベートキーは、暗号キーペアであり、第1プロセッサはさらに、
第2識別パブリックキーK2ID pubを使ってサインを検証し、
第2セキュリティコンテキストのコンフィギュレーションがテナントのセキュリティ要求に一致すること、および、第2セキュリティコンテキストがACL内に含まれるポリシーを行使するように構成されていることを認証するように構成されている。
第2暗号キーペアおよび第2暗号サーティフィケートを第1セキュリティコンテキスト内に生成するように構成され、第2暗号キーペアは第2パブリックキーKtenant−signpub、第2プライベートキーKtenant−signprivを有し、第2暗号サーティフィケートは、第2パブリックキーKtenant−signpubの起源を同定可能な情報を有し、かつ、
第1識別プライベートキーK1ID privによって、第2暗号サーティフィケートを暗号化サインするように構成され、
第1トランシーバはさらに、第2パブリックキーKtenant−signpubおよびサイン済み第2暗号サーティフィケートを第2セキュリティコンテキストへ送信するように構成されている。
使用クレデンシャルを生成するように構成された第1プロセッサであって、当該使用クレデンシャルは、使用クレデンシャルに対応するデータを同定可能な情報と、
使用クレデンシャルの満期を決定可能な情報を有する、ところの第1プロセッサと、
使用クレデンシャル、および使用クレデンシャルの起源を認証可能な情報を第2セキュリティコンテキストに送信するように構成された第1トランシーバとを有する。
プライベートキーKtenant−signprivを格納する第1デバイスメモリを有し、第1プロセッサは、使用クレデンシャルをプライベートキーKtenant−signprivによって暗号化サインするように構成されている。
満了時間と、
基準時間ソースを識別する情報とを有する。
暗号オペレーションを実行するように構成されたプロセッサであって、当該プロセッサは、
第1暗号キーペアおよび第1暗号サーティフィケートを生成するように構成され、第1暗号キーペアは、第1パブリックキーKBLOB pubおよび第1プライベートキーKBLOB privを有し、第1暗号サーティフィケートは第1パブリックキーKBLOB pubの起源を認証可能な情報を有し、
第1パブリックキーKBLOB pubおよび第1暗号サーティフィケートを第1セキュリティコンテキストに送信し、
暗号化データおよび対応するアクセスコントロールリスト、および、データの起源を認証可能な情報を、第1セキュリティコンテキストから受信するように構成されたトランシーバと、
を有し、プロセッサはさらに
データの起源を認証し、
暗号化データおよび対応するアクセスコントロールリストを、第1プライベートキーKBLOB privを使って解読するように構成される。
他の暗号キーによって暗号キーKtenantを再暗号化するように構成され、当該他の暗号キーは、第2セキュリティコンテキストを離れることができない。
第2識別パブリックキーK2ID pubおよび第2識別サーティフィケートを第1セキュリティコンテキストに送信するように構成され、第2識別パブリックキーK2ID pubおよび第2識別プライベートキーK2ID privは暗号キーペアであり、第2識別サーティフィケートはK2ID pubを同定するための情報を有し、製造業者プライベートキーKman privによって暗号化サインされており、
第1識別プライベートキーK1ID pubおよび第1識別サーティフィケートを第1セキュリティコンテキストから受信するよう構成され、第1識別サーティフィケートはK1ID pubを同定する情報を有し、製造業者プライベートキーKman privによって暗号化サインされ、
プロセッサはさらに、
製造業者パブリックキーKman pubを使って第1識別サーティフィケートを検証する。
第2セキュリティコンテキストのカレント構成に関連する情報を生成し、
第2識別プライベートキーK2ID privによって情報を暗号化サインするように構成され、
トランシーバはさらに、
情報およびサインを第1セキュリティコンテキストに送信するように構成されている。
第2セキュリティコンテキストのカレント構成に関連する情報を有する第1暗号サーティフィケートを生成し、第2識別プライベートキーK2ID privによって第1暗号サーティフィケートをサインするように構成される。
第2パブリックキーKtenant−signpubおよびサイン済み第2暗号サーティフィケートを第1セキュリティコンテキストから受信するように構成され、第2暗号サーティフィケートは第2パブリックキーKtenant−signpubの起源を認証可能な情報を有し、
プロセッサはさらに、
第2パブリックキーKtenant−signpubの起源を認証するように構成されている。
暗号データ、および
データに対応するアクセスコントロールリストであって、アクセスコントロールリストは、データの使用の第1のタイプを許可するために有効使用クレデンシャルが与えられなければならないことを特定し、かつ、使用クレデンシャルが、使用クレデンシャルの満期が決定可能な情報を有しなければならず、かつ、データの使用の第1の第プライベートキーを許可するために満了前であることを特定する、アクセスコントロールリストと、
データの起源が同定可能である情報を格納する。
アクセスコントロールリストに関して受信した使用クレデンシャルを認証し、かつ、使用クレデンシャルが満了前であることを認証するように構成され、かつ
使用クレデンシャルが有効でありかつ満了前であるという条件のもとで、第2セキュリティコンテキスト内で暗号キーKtenantの使用の第1のタイプを許可するように構成されたプロセッサを有する。
Claims (39)
- テナントシステム内の第1セキュリティコンテキストと、サービスプロバイダーシステム内の第2セキュリティコンテキストとの間でデータ転送する方法であって、当該方法は、
第1セキュリティコンテキスト内のデータに対応するアクセスコントロールリストを生成する工程であって、前記アクセスコントロールリストは、有効使用クレデンシャルが前記データの使用の第1のタイプを許可するために与えられなければならないことを特定する、ところの工程と、
第1暗号キーペアおよび第1暗号サーティフィケートを前記第2セキュリティコンテキスト内で生成する工程であって、前記第1暗号キーペアは、第1パブリックキーKBLOB pubおよび第1プライベートキーKBLOB privを有し、前記第1暗号サーティフィケートは前記第1パブリックキーKBLOB pubの起源を認証可能な情報を含むところの工程と、
前記第1パブリックキーKBLOB pubおよび前記第1暗号サーティフィケートを前記第1セキュリティコンテキストに送信する工程と、
前記第1セキュリティコンテキスト内で前記第1暗号サーティフィケートを認証する工程と、
前記第1暗号サーティフィケートが有効であれば、前記第1セキュリティコンテキスト内で、前記第1パブリックキーKBLOB pubによって前記データおよび前記対応するアクセスコントロールリストを暗号化する工程と、
前記暗号化したデータおよび対応するアクセスコントロールリスト、および、前記データの起源を認証可能な情報を、前記第2セキュリティコンテキストへ送信する工程と
を備える方法。 - 前記データは、暗号キーKtenantを有する、ことを特徴とする請求項1に記載の方法。
- 前記第1セキュリティコンテキスト内で前記暗号キーKtenantを生成する工程をさらに備える、請求項2に記載の方法。
- 前記第2セキュリティコンテキストにおいて、前記暗号キーKtenantの起源を認証する工程と、
前記暗号化した暗号キーKtenantおよび対応するアクセスコントロールリストを、前記第1プライベートキーKBLOB privによって、前記第2セキュリティコンテキストにおいて解読する工程と
をさらに備える請求項3に記載の方法。 - 前記第2セキュリティコンテキストにおいて、他の暗号キーによって前記暗号キーKtenantを再暗号化する工程であって、前記他の暗号キーは前記第2セキュリティコンテキストを離れることができない、ところの工程と、
前記再暗号化された暗号キーKtenant、対応するアクセスコントロールリスト、および、暗号キーKtenantの起源を認証可能な情報を格納する工程と
をさらに備える請求項4に記載の方法。 - 前記使用の第1のタイプは、ひとつ以上の暗号オペレーションである、ことを特徴とする請求項2から5のいずれか一項に記載の方法。
- 前記第2セキュリティコンテキストが信用される製造業者によって製造されたものであること、前記第2セキュリティコンテキストのコンフィギュレーションが前記テナントのセキュリティ要求に一致すること、および、前記第2セキュリティコンテキストがアクセスコントロールリスト内に含まれるポリシーを行使するように構成されていることを、前記第1セキュリティコンテキストにおいて認証する工程をさらに備える請求項2から6のいずれか一項に記載の方法。
- 前記第2セキュリティコンテキストが第2識別プライベートキーK2ID privを格納する請求項2から7のいずれか一項に記載の方法であって、当該方法は、
第2識別パブリックキーK2ID pubおよび第2識別サーティフィケートを、前記第2セキュリティコンテキストから前記第1セキュリティコンテキストへ送信する工程であって、前記第2識別パブリックキーK2ID pubおよび前記第2識別プライベートキーK2ID privは、暗号キーペアであり、前記第2識別サーティフィケートはK2ID pubを同定する情報を有し、かつ、製造業者プライベートキーKman privによって暗号化サインされる、ところの工程をさらに備える方法。 - 前記第2セキュリティコンテキストのカレントのコンフィギュレーションに関連する情報を生成する工程と、
前記第2識別プライベートキーK2ID privにより、前記情報を暗号化サインする工程と、
サイン済みの情報を前記第2セキュリティコンテキストから前記第1セキュリティコンテキストへ送信する工程と
をさらに備える請求項8に記載の方法。 - 前記第1暗号サーティフィケートは、前記第2セキュリティコンテキストのカレントのコンフィギュレーションに関連する情報を有し、かつ、前記第2識別プライベートキーK2ID privによってサインされる、ことを特徴とする請求項9に記載の方法。
- 前記第1セキュリティコンテキストが第1識別プライベートキーK1ID privを格納するところの請求項8から10のいずれか一項に記載の方法であって、当該方法は、
第1識別パブリックキーK1ID pubおよび第1識別サーティフィケートを前記第1セキュリティコンテキストから前記第2セキュリティコンテキストへ送信する工程であって、前記第1識別パブリックキーK1ID pubおよび前記第1識別プライベートキーK1ID privは暗号キーペアであり、前記第1識別サーティフィケートは、K1ID pubを同定する情報を有し、かつ、製造業者プライベートキーKman privによって暗号化サインされる、ところの工程をさらに備える方法。 - 第2暗号キーペアおよび第2暗号サーティフィケートを前記第1セキュリティコンテキスト内で生成する工程であって、前記第2暗号キーペアは第2パブリックキーKtenant−signpub、および、第2プライベートキーKtenant−signprivを有し、前記第2暗号サーティフィケートは前記第2パブリックキーKtenant−signpubの起源を同定可能な情報を有する、ところの工程と、
前記第2暗号サーティフィケートを前記第1識別プライベートキーK1ID privによって暗号化サインする工程と、
前記第2パブリックキーKtenant−signpubおよびサイン済み前記第2暗号サーティフィケートを前記第2セキュリティコンテキストへ送信する工程と、
前記第2暗号サーティフィケートを、前記第1識別パブリックキーK1ID pubを使って検証する工程と
をさらに備える請求項11に記載の方法。 - 前記アクセスコントロールリストは、前記有効使用クレデンシャルが、前記暗号キーKtenantの前記第1のタイプの使用を許可するために、前記第2プライベートキーKtenant−signprivによってサインされる使用サーティフィケートであることを特定する、ことを特徴とする請求項12に記載の方法。
- 前記暗号キーKtenantの起源を認証可能な前記情報は、暗号化された暗号キーKtenant、およびKtenant−signprivによってサインされた対応するアクセスコントロールリストを有する、ことを特徴とする請求項12または13に記載の方法。
- 前記暗号化された暗号キーKtenantおよび対応するアクセスコントロールリスト、暗号キーKtenantの起源を認証可能な情報を前記第2セキュリティコンテキストへ送信する工程は、
暗号化された暗号キーKtenantおよび対応するアクセスコントロールリストをKtenant−signprivによって暗号化サインする工程と、
前記暗号化された暗号キーKtenantおよび対応するアクセスコントロールリスト、前記暗号化された暗号キーKtenantおよび対応するアクセスコントロールリスト、および、Ktenant−signpubのハッシュを、前記第2セキュリティコンテキストへ送信する工程と
を有する、ことを特徴とする請求項14に記載の方法。 - 前記アクセスコントロールリストは、前記有効使用クレデンシャルが、満期を決定可能な情報を有しなければならず、かつ、有効であるために満了前でなければならないことを特定する、ことを特徴とする請求項2から15のいずれか一項に記載の方法。
- 前記アクセスコントロールリストは、前記暗号キーKtenantが、前記第2セキュリティコンテキストを離れることができないキーによって第2セキュリティコンテキストの外部に格納用にのみ暗号化されることを特定する、ことを特徴とする請求項2から16のいずれか一項に記載の方法。
- 前記第1暗号サーティフィケートは、KBLOB privが一時的なものであること、KBLOB privが前記第2セキュリティコンテキストを離れることができないことを認証する、ことを特徴とする請求項2から17のいずれか一項に記載の方法。
- 請求項1から18のいずれか一項に記載の方法の手順を、コンピュータに実行させるためのプログラムを記録した、非一過性のコンピュータ読み取り可能な記憶媒体。
- 第1セキュリティコンテキストを有する暗号デバイスであって、前記第1セキュリティコンテキストは、
第1パブリックキーKBLOB pub、および、前記第1パブリックキーKBLOB pubの起源を認証可能な第1暗号サーティフィケートを、第2セキュリティコンテキストから受信するように構成された第1トランシーバと、
暗号オペレーションを実行するように構成された第1プロセッサであって、前記第1プロセッサは、
転送されるべきデータに対応するアクセスコントロールリストを生成し、ここで前記アクセスコントロールリストは、有効使用クレデンシャルが前記データの使用の第1のタイプを許可するために与えられなければならず、
前記第1パブリックキーKBLOB pubが前記第2セキュリティコンテキストを起源とすることを認証し、
前記データおよび前記対応するアクセスコントロールリストを前記第1パブリックキーKBLOB pubによって暗号化するように構成されている、ところの第1プロセッサと、
を備え、
前記第1トランシーバは、前記暗号化されたデータおよび対応するアクセスコントロールリスト、および、前記データの起源を認証可能な情報を前記第2セキュリティコンテキストへ送信するように構成されている、ことを特徴とするデバイス。 - 前記データは、暗号キーKtenantを有する、ことを特徴とする請求項20に記載のデバイス。
- 第1識別プライベートキーK1ID privを格納する第1デバイスメモリをさらに備え、前記第1トランシーバはさらに、
第1識別パブリックキーK1ID pubおよび第1識別サーティフィケートを前記第2セキュリティコンテキストへ送信し、ここで、前記第1識別パブリックキーK1ID pubおよび前記第1識別プライベートキーK1ID privは暗号キーペアであり、前記第1識別サーティフィケートは、K1ID pubを同定する情報を有し、製造業者プライベートキーKman privによって暗号化サインされ、
第2識別パブリックキーK2ID pubおよび第2識別サーティフィケートを前記第2セキュリティコンテキストから受信し、前記第2識別サーティフィケートは、K2ID pubを同定する情報を有し、かつ、前記製造業者プライベートキーKman privによって暗号化サインされる
ように構成されており、
前記第1プロセッサは、製造業者パブリックキーKman pubを使って前記第2識別サーティフィケートを検証するようにさらに構成されている、ことを特徴とする請求項21に記載のデバイス。 - 前記第1トランシーバはさらに、
前記第2セキュリティコンテキストのカレントコンフィギュレーションに関連する情報を受信するように構成され、前記情報は第2識別プライベートキーK2ID privによって暗号化サインされ、前記第2識別パブリックキーK2ID pubおよび前記第2識別プライベートキーK2ID privは暗号キーペアであり、
前記第1プロセッサは、
前記第2識別パブリックキーK2ID pubを使って前記サインを検証し、
前記第2セキュリティコンテキストの前記コンフィギュレーションが安全要求に一致すること、および、前記第2セキュリティコンテキストが前記アクセスコントロールリスト内に含まれるポリシーを行使するように構成されていることを認証する
ようにさらに構成されている、ことを特徴とする請求項22に記載のデバイス。 - 前記第1プロセッサは、さらに
第2暗号キーペアおよび第2暗号サーティフィケートを前記第1セキュリティコンテキスト内で生成するように構成され、前記第2暗号キーペアは、第2パブリックキーKtenant−signpubおよび第2プライベートキーKtenant−signprivを有し、前記第2暗号サーティフィケートは、前記第2パブリックキーKtenant−signpubの起源を同定可能な情報を有し、
前記第2暗号サーティフィケートを前記第1識別プライベートキーK1ID privによって暗号化サインするよう構成され、
前記第1トランシーバは、前記第2パブリックキーKtenant−signpubおよび前記サインされた第2暗号サーティフィケートを前記第2セキュリティコンテキストへ送信するようにさらに構成されている、ことを特徴とする請求項23に記載のデバイス。 - 第1セキュリティコンテキストを有するデバイスと協働する、第2セキュリティコンテキストを有する暗号デバイスであって、前記暗号デバイスは、
暗号オペレーションを実行するように構成されたプロセッサであって、前記プロセッサは、第1暗号キーペアおよび第1暗号サーティフィケートを生成するように構成され、前記第1暗号キーペアは、第1パブリックキーKBLOB pubおよび第1プライベートキーKBLOB privを有し、前記第1暗号サーティフィケートは、前記第1パブリックキーKBLOB pubの起源を認証可能な情報を有する、ところのプロセッサと、
トランシーバであって、前記第1パブリックキーKBLOB pubおよび前記第1暗号サーティフィケートを第1セキュリティコンテキストに送信し、かつ
暗号化されたデータおよび対応するアクセスコントロールリスト、および、前記データの起源を認証可能な情報を前記第1セキュリティコンテキストから受信するように構成されているトランシーバと、
を備え、
前記プロセッサはさらに、
前記データの起源を認証し、かつ、前記第1プライベートキーKBLOB privを使って、前記暗号化されたデータおよび対応するアクセスコントロールリストを解読するように構成されている、ことを特徴とするデバイス。 - 前記データは、暗号キーKtenantを有する、ことを特徴とする請求項25に記載のデバイス。
- 前記プロセッサはさらに、前記暗号キーKtenantを他の暗号キーによって再暗号化するように構成され、前記他の暗号キーは前記第2セキュリティコンテキストを離れることができない、ことを特徴とする請求項26に記載のデバイス。
- 第2識別プライベートキーK2ID privを格納するデバイスメモリをさらに備え、
前記トランシーバはさらに、
第2識別パブリックキーK2ID pubおよび第2識別サーティフィケートを前記第1セキュリティコンテキストへ送信するように構成され、前記第2識別パブリックキーK2ID pubはおよび前記第2識別プライベートキーK2ID privは暗号キーペアであり、前記第2識別サーティフィケートは、K2ID pubを同定する情報を有し、かつ、製造業者プライベートキーKman privによって暗号化サインされ、
第1識別パブリックキーK1ID pubおよび第1識別サーティフィケートを前記第1セキュリティコンテキストから受信するように構成され、前記第1識別サーティフィケートはK1ID pubを同定する情報を有し、かつ、前記製造業者プライベートキーKman privによって暗号サインされ、
前記プロセッサはさらに、製造業者パブリックキーKman pubを使って前記第1識別サーティフィケートを検証するように構成されている、ことを特徴とする請求項27に記載のデバイス。 - 前記プロセッサはさらに、
前記第2セキュリティコンテキストのカレントコンフィギュレーションに関連する情報を生成し、かつ、前記第2識別プライベートキーK2ID privによって前記情報を暗号化サインするように構成され、
前記トランシーバはさらに、前記情報およびサインを前記第1セキュリティコンテキストへ送信するように構成されている、ことを特徴とする請求項28に記載のデバイス。 - 前記プロセッサはさらに、前記第2セキュリティコンテキストの前記カレントコンフィギュレーションに関連する情報を有する前記第1暗号サーティフィケートを生成し、かつ、前記第1暗号サーティフィケートを前記第2識別プライベートキーK2ID privによってサインするように構成されている、ことを特徴とする請求項29に記載のデバイス。
- 前記トランシーバはさらに、
第2パブリックキーKtenant−signpubおよびサインされた第2暗号サーティフィケートを前記第2セキュリティコンテキストから受信するように構成され、前記第2暗号サーティフィケートは、前記第2パブリックキーKtenant−signpubの起源を認証可能な情報を有し、
前記プロセッサはさらに、前記第2パブリックキーKtenant−signpubの起源を認証するように構成されている、ことを特徴とする請求項28から30のいずれか一項に記載のデバイス。 - サービスプロバイダー内の信用された第2セキュリティコンテキストにはアクセス可能であるが、残りのサービスプロバイダーシステムからは安全であるような方法でサービスプロバイダー内に格納されたデータの使用をコントロールする方法であり、アクセスコントロールリストは、格納されたデータの使用の第1のタイプ許可するために、有効使用クレデンシャルが前記データにより与えられなければならないことを特定する方法であって、
使用クレデンシャルを第1セキュリティコンテキスト内で生成する工程であって、前記使用クレデンシャルは、
前記使用クレデンシャルに対応するデータを同定可能である情報、および
前記使用クレデンシャルの満期を判定する情報を有する、ところの工程と、
前記使用クレデンシャル、および前記使用クレデンシャルの起源を認証可能な情報を発行する工程と、
前記アクセスコントロールリストに関して前記使用クレデンシャルを認証し、かつ、前記使用クレデンシャルが前記第2セキュリティコンテキストにおいて満了しなかったことを認証する工程と、前記データの使用の前記第1のタイプを、前記第2セキュリティコンテキスト内で、前記使用クレデンシャルが有効でありかつ満了していないことを条件に許可する工程と
を備える方法。 - 前記データは、暗号キーKtenantを有する、ことを特徴とする請求項32に記載の方法。
- 前記使用の第1のタイプは、ひとつ以上の暗号オペレーションである、ことを特徴とする請求項33に記載の方法。
- 前記使用クレデンシャル、および前記使用クレデンシャルの起源を認証可能な情報は、前記サービスプロバイダーに発行され、当該方法は、
前記使用クレデンシャル、および、前記使用クレデンシャルの起源を認証可能な情報、および、前記暗号キーKtenantによって、使用の第1のタイプであるオペレーションを実行するリクエストを前記第2セキュリティコンテキストに与える工程と、
前記使用クレデンシャルが有効でありかつ満了していないことを条件に、前記第2セキュリティコンテキストにおいて前記オペレーションを実行する工程と
をさらに備える請求項34に記載の方法。 - 前記使用クレデンシャルは使用サーティフィケートである、請求項33から35のいずれか一項に記載の方法であって、当該方法は、
前記使用サーティフィケートを前記第1セキュリティコンテキスト内で、プライベートキーKtenant−signprivによって暗号化サインする工程であって、前記使用サーティフィケートの起源を認証可能な情報はサインであり、対応するパブリックキーKtenant−signpubはインテグリティ保護され、前記第2セキュリティコンテキストにアクセス可能である、ところの工程と、
前記パブリックキーKtenant−signpubを使って前記第2セキュリティコンテキストにおいて前記使用サーティフィケートを検証する工程と
をさらに備える方法。 - 前記使用クレデンシャルの満期を判定可能な情報は、満了時間、および基準時間ソースを同定する情報を有する、ことを特徴とする請求項33から36のいずれか一項に記載の方法。
- 前記使用クレデンシャルに対応する前記暗号キーKtenantを同定可能な情報は前記暗号キーKtenantのハッシュである、ことを特徴とする請求項33から37のいずれか一項に記載の方法。
- 請求項32から38のいずれか一項に記載の方法の手順を、コンピュータに実行させるためのプログラムを記録した非一過性のコンピュータ読み取り可能な記憶媒体。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
GB1602088.5 | 2016-02-05 | ||
GB1602088.5A GB2547025A (en) | 2016-02-05 | 2016-02-05 | A method of data transfer, a method of controlling use of data and a cryptographic device |
PCT/GB2017/050264 WO2017134445A2 (en) | 2016-02-05 | 2017-02-03 | A method of data transfer, a method of controlling use of data and a cryptographic device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019509667A JP2019509667A (ja) | 2019-04-04 |
JP6731491B2 true JP6731491B2 (ja) | 2020-07-29 |
Family
ID=55641862
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018540867A Active JP6731491B2 (ja) | 2016-02-05 | 2017-02-03 | データ転送方法、非一過性のコンピュータ読み取り可能な記憶媒体、暗号デバイス、およびデータ使用のコントロール方法 |
Country Status (11)
Country | Link |
---|---|
US (3) | US11101983B2 (ja) |
EP (2) | EP3412001B1 (ja) |
JP (1) | JP6731491B2 (ja) |
KR (2) | KR102318637B1 (ja) |
CN (3) | CN114238999A (ja) |
BR (1) | BR112018015254A2 (ja) |
CA (2) | CA3123268C (ja) |
ES (1) | ES2800295T3 (ja) |
GB (1) | GB2547025A (ja) |
PL (1) | PL3412001T3 (ja) |
WO (1) | WO2017134445A2 (ja) |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018236420A1 (en) * | 2017-06-20 | 2018-12-27 | Google Llc | CLOUD EQUIPMENT SECURITY MODULES FOR CRYPTOGRAPHIC EXTERNALIZATION OPERATIONS |
US10938560B2 (en) * | 2017-06-21 | 2021-03-02 | Microsoft Technology Licensing, Llc | Authorization key escrow |
US10831935B2 (en) * | 2017-08-31 | 2020-11-10 | Pure Storage, Inc. | Encryption management with host-side data reduction |
US11374760B2 (en) | 2017-09-13 | 2022-06-28 | Microsoft Technology Licensing, Llc | Cyber physical key |
FR3073998B1 (fr) * | 2017-11-23 | 2019-11-01 | In Webo Technologies | Procede numerique de controle d'acces a un objet, une ressource ou service par un utilisateur |
EP3562089A1 (de) * | 2018-04-23 | 2019-10-30 | Siemens Aktiengesellschaft | Automatisiertes zertifikatsmanagement |
US10305479B1 (en) * | 2018-06-12 | 2019-05-28 | Nxp B.V. | Fault attack protection against synchronized fault injections |
US10869190B2 (en) * | 2018-07-13 | 2020-12-15 | Micron Technology, Inc. | Secure vehicular services communication |
JP6952661B2 (ja) * | 2018-08-30 | 2021-10-20 | 株式会社東芝 | 情報処理装置、通信機器、情報処理システム、情報処理方法、および情報処理プログラム |
US10965551B2 (en) * | 2018-11-21 | 2021-03-30 | Microsoft Technology Licensing, Llc | Secure count in cloud computing networks |
US11356283B2 (en) * | 2019-05-08 | 2022-06-07 | Seagate Technology Llc | Data storage using an encryption key with a time expiration associated therewith |
US11223615B2 (en) * | 2019-05-09 | 2022-01-11 | Sap Se | Provisioning initial keystore for multi-tenant, microservice architecture-based integration service in a cloud computing environment setup |
KR102429325B1 (ko) * | 2022-05-02 | 2022-08-04 | 에스엠테크놀러지(주) | 병렬형 인증서 검증 시스템 및 그 동작 방법 |
Family Cites Families (49)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7743248B2 (en) * | 1995-01-17 | 2010-06-22 | Eoriginal, Inc. | System and method for a remote access service enabling trust and interoperability when retrieving certificate status from multiple certification authority reporting components |
EP0898397A2 (en) | 1997-08-22 | 1999-02-24 | Nokia Mobile Phones Ltd. | Method for sending a secure communication in a telecommunications system |
DE19801241C2 (de) | 1998-01-12 | 1999-11-04 | Deutsche Telekom Ag | Verfahren zur Generierung asymmetrischer Kryptoschlüssel beim Anwender |
AU4426200A (en) | 1999-04-29 | 2000-11-17 | Michael Bleahen | Improvements in and relating to secure data transmission |
AU8475401A (en) * | 2000-08-08 | 2002-02-18 | Wachovia Corp | Internet third-party authentication using electronic tickets |
GB2366470B (en) * | 2000-08-25 | 2005-07-20 | Hewlett Packard Co | Improvements relating to document transmission techniques iv |
US20030021417A1 (en) * | 2000-10-20 | 2003-01-30 | Ognjen Vasic | Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data |
KR20010008103A (ko) * | 2000-11-08 | 2001-02-05 | 안병엽 | 디피-헬만형 키 공유 확인이 가능한 인증된 키 합의프로토콜의 구현 방법 |
US7017041B2 (en) * | 2000-12-19 | 2006-03-21 | Tricipher, Inc. | Secure communications network with user control of authenticated personal information provided to network entities |
US20030177094A1 (en) | 2002-03-15 | 2003-09-18 | Needham Bradford H. | Authenticatable positioning data |
CN1215386C (zh) | 2002-04-26 | 2005-08-17 | St微电子公司 | 根据量子软计算控制过程或处理数据的方法和硬件体系结构 |
AU2002333848A1 (en) | 2002-09-13 | 2004-04-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Secure broadcast/multicast service |
FR2846819B1 (fr) | 2002-11-06 | 2005-04-15 | France Telecom | Procede d'echange securise entre deux unites de communication, systeme de controle et serveur pour la mise en oeuvre du procede |
US20050154889A1 (en) | 2004-01-08 | 2005-07-14 | International Business Machines Corporation | Method and system for a flexible lightweight public-key-based mechanism for the GSS protocol |
US9032192B2 (en) * | 2004-10-28 | 2015-05-12 | Broadcom Corporation | Method and system for policy based authentication |
US7725703B2 (en) * | 2005-01-07 | 2010-05-25 | Microsoft Corporation | Systems and methods for securely booting a computer with a trusted processing module |
US8245292B2 (en) | 2005-11-16 | 2012-08-14 | Broadcom Corporation | Multi-factor authentication using a smartcard |
US8615663B2 (en) | 2006-04-17 | 2013-12-24 | Broadcom Corporation | System and method for secure remote biometric authentication |
US7971061B2 (en) | 2006-12-11 | 2011-06-28 | Pitney Bowes Inc. | E-mail system and method having certified opt-in capabilities |
US20080307495A1 (en) * | 2007-06-08 | 2008-12-11 | Michael Holtzman | Memory device with circuitry for improving accuracy of a time estimate used in digital rights management (DRM) license validation |
US7913086B2 (en) * | 2007-06-20 | 2011-03-22 | Nokia Corporation | Method for remote message attestation in a communication system |
EP2034661A1 (en) | 2007-09-07 | 2009-03-11 | Deutsche Telekom AG | Method and system for distributed, localized authentication in the framework of 802.11 |
WO2009070430A2 (en) * | 2007-11-08 | 2009-06-04 | Suridx, Inc. | Apparatus and methods for providing scalable, dynamic, individualized credential services using mobile telephones |
US20100023757A1 (en) | 2008-07-22 | 2010-01-28 | Winmagic Data Security | Methods and systems for sending secure electronic data |
KR100989185B1 (ko) * | 2008-08-26 | 2010-10-20 | 충남대학교산학협력단 | Rsa기반 패스워드 인증을 통한 세션키 분배방법 |
US9548859B2 (en) | 2008-12-03 | 2017-01-17 | Google Technology Holdings LLC | Ticket-based implementation of content leasing |
US8621203B2 (en) * | 2009-06-22 | 2013-12-31 | Nokia Corporation | Method and apparatus for authenticating a mobile device |
JP5068803B2 (ja) | 2009-12-15 | 2012-11-07 | 日本電信電話株式会社 | サービス提供システムおよび方法 |
JP5404501B2 (ja) * | 2010-03-30 | 2014-02-05 | 日本電信電話株式会社 | 暗号化情報の有効期限延長システム、有効期限延長方法及びプログラム |
US8887246B2 (en) * | 2010-06-22 | 2014-11-11 | Telefonaktiebolaget L M Ericsson (Publ) | Privacy preserving authorisation in pervasive environments |
US20120131333A1 (en) | 2010-11-23 | 2012-05-24 | General Instrument Corporation | Service key delivery in a conditional access system |
CN102014133B (zh) * | 2010-11-26 | 2013-08-21 | 清华大学 | 在云存储环境下一种安全存储***的实现方法 |
US8843750B1 (en) | 2011-01-28 | 2014-09-23 | Symantec Corporation | Monitoring content transmitted through secured communication channels |
US8798261B2 (en) | 2011-03-21 | 2014-08-05 | Sony Corporation | Data protection using distributed security key |
US8429409B1 (en) * | 2012-04-06 | 2013-04-23 | Google Inc. | Secure reset of personal and service provider information on mobile devices |
FR2990696B1 (fr) * | 2012-05-16 | 2016-02-12 | Roquette Freres | Souche productrice de turanose et utilisations |
US9209973B2 (en) * | 2012-11-20 | 2015-12-08 | Google Inc. | Delegate authorization in cloud-based storage system |
US8938792B2 (en) * | 2012-12-28 | 2015-01-20 | Intel Corporation | Device authentication using a physically unclonable functions based key generation system |
US10210341B2 (en) * | 2013-02-12 | 2019-02-19 | Amazon Technologies, Inc. | Delayed data access |
US9547771B2 (en) | 2013-02-12 | 2017-01-17 | Amazon Technologies, Inc. | Policy enforcement with associated data |
US9716728B1 (en) * | 2013-05-07 | 2017-07-25 | Vormetric, Inc. | Instant data security in untrusted environments |
WO2014185845A1 (en) * | 2013-05-13 | 2014-11-20 | Telefonaktiebolaget L M Ericsson (Publ) | Procedure for platform enforced secure storage in infrastructure clouds |
CN103532981B (zh) * | 2013-10-31 | 2016-08-17 | 中国科学院信息工程研究所 | 一种面向多租户的身份托管鉴权云资源访问控制***及控制方法 |
CN104753881B (zh) * | 2013-12-30 | 2019-03-26 | 格尔软件股份有限公司 | 一种基于软件数字证书和时间戳的WebService安全认证访问控制方法 |
CN104980928B (zh) * | 2014-04-03 | 2018-12-07 | 华为终端(东莞)有限公司 | 一种用于建立安全连接的方法、设备及*** |
CN106664206B (zh) * | 2014-06-18 | 2020-05-12 | 维萨国际服务协会 | 用于已认证的通信的高效方法 |
CN105024824B (zh) * | 2014-11-05 | 2018-12-21 | 浙江码博士防伪科技有限公司 | 基于非对称加密算法的可信标签的生成与验证方法及*** |
RU2018103181A (ru) * | 2015-06-30 | 2019-07-31 | Виза Интернэшнл Сервис Ассосиэйшн | Конфиденциальные аутентификация и обеспечение |
CN105141593A (zh) * | 2015-08-10 | 2015-12-09 | 刘澄宇 | 一种私有云平台安全计算方法 |
-
2016
- 2016-02-05 GB GB1602088.5A patent/GB2547025A/en not_active Withdrawn
-
2017
- 2017-02-03 PL PL17704057T patent/PL3412001T3/pl unknown
- 2017-02-03 CN CN202111279697.7A patent/CN114238999A/zh active Pending
- 2017-02-03 CA CA3123268A patent/CA3123268C/en active Active
- 2017-02-03 BR BR112018015254-4A patent/BR112018015254A2/pt not_active Application Discontinuation
- 2017-02-03 ES ES17704057T patent/ES2800295T3/es active Active
- 2017-02-03 JP JP2018540867A patent/JP6731491B2/ja active Active
- 2017-02-03 EP EP17704057.3A patent/EP3412001B1/en active Active
- 2017-02-03 CN CN201780009864.1A patent/CN108604985B/zh active Active
- 2017-02-03 US US16/075,575 patent/US11101983B2/en active Active
- 2017-02-03 CA CA3013687A patent/CA3013687C/en active Active
- 2017-02-03 KR KR1020187025706A patent/KR102318637B1/ko active IP Right Grant
- 2017-02-03 WO PCT/GB2017/050264 patent/WO2017134445A2/en active Application Filing
- 2017-02-03 KR KR1020217033999A patent/KR102471298B1/ko active IP Right Grant
- 2017-02-03 CN CN202111046724.6A patent/CN113691560B/zh active Active
- 2017-02-03 EP EP20158813.4A patent/EP3675415B1/en active Active
-
2021
- 2021-07-15 US US17/376,930 patent/US11849029B2/en active Active
-
2023
- 2023-11-08 US US18/504,378 patent/US20240073003A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
KR102471298B1 (ko) | 2022-11-29 |
CA3013687C (en) | 2021-08-24 |
US20190052456A1 (en) | 2019-02-14 |
CA3013687A1 (en) | 2017-08-10 |
CN108604985B (zh) | 2021-11-16 |
PL3412001T3 (pl) | 2021-01-25 |
WO2017134445A3 (en) | 2017-09-14 |
KR20210130840A (ko) | 2021-11-01 |
CN114238999A (zh) | 2022-03-25 |
BR112018015254A2 (pt) | 2018-12-18 |
EP3675415B1 (en) | 2023-12-06 |
CN113691560A (zh) | 2021-11-23 |
US11101983B2 (en) | 2021-08-24 |
EP3675415A1 (en) | 2020-07-01 |
GB201602088D0 (en) | 2016-03-23 |
ES2800295T3 (es) | 2020-12-29 |
CA3123268A1 (en) | 2017-08-10 |
JP2019509667A (ja) | 2019-04-04 |
EP3412001A2 (en) | 2018-12-12 |
CA3123268C (en) | 2023-10-24 |
US20210344482A1 (en) | 2021-11-04 |
CN113691560B (zh) | 2023-08-25 |
US11849029B2 (en) | 2023-12-19 |
CN108604985A (zh) | 2018-09-28 |
EP3412001B1 (en) | 2020-03-25 |
US20240073003A1 (en) | 2024-02-29 |
KR20180111933A (ko) | 2018-10-11 |
WO2017134445A2 (en) | 2017-08-10 |
GB2547025A (en) | 2017-08-09 |
KR102318637B1 (ko) | 2021-10-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6731491B2 (ja) | データ転送方法、非一過性のコンピュータ読み取り可能な記憶媒体、暗号デバイス、およびデータ使用のコントロール方法 | |
US9332002B1 (en) | Authenticating and authorizing a user by way of a digital certificate | |
EP2954448B1 (en) | Provisioning sensitive data into third party network-enabled devices | |
US9680827B2 (en) | Geo-fencing cryptographic key material | |
US9686244B2 (en) | Rule-based validity of cryptographic key material | |
US9654922B2 (en) | Geo-fencing cryptographic key material | |
US20150271158A1 (en) | Rule-based Validity of Cryptographic Key Material | |
US20150271157A1 (en) | Rule-based Validity of Cryptographic Key Material | |
JP5992535B2 (ja) | 無線idプロビジョニングを実行するための装置及び方法 | |
CN115277168B (zh) | 一种访问服务器的方法以及装置、*** | |
US20190173880A1 (en) | Secure node management using selective authorization attestation | |
KR20100025624A (ko) | 안전하지 않은 통신 채널에서 비인증서 공개키를 사용한 보안키 생성 방법 | |
KR100970552B1 (ko) | 비인증서 공개키를 사용하는 보안키 생성 방법 | |
JP2024513521A (ja) | 組み込みデバイスの安全な信頼の起点登録及び識別管理 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20181012 Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181003 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181003 |
|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7426 Effective date: 20181012 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190830 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190924 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191220 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200107 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20200131 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20200131 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200312 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200331 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200603 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200616 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200706 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6731491 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |