[go: up one dir, main page]

JP3731867B2 - コンピュータ用のアクセス制御 - Google Patents

コンピュータ用のアクセス制御 Download PDF

Info

Publication number
JP3731867B2
JP3731867B2 JP2001066298A JP2001066298A JP3731867B2 JP 3731867 B2 JP3731867 B2 JP 3731867B2 JP 2001066298 A JP2001066298 A JP 2001066298A JP 2001066298 A JP2001066298 A JP 2001066298A JP 3731867 B2 JP3731867 B2 JP 3731867B2
Authority
JP
Japan
Prior art keywords
program
message
unique identifier
computer
originator
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2001066298A
Other languages
English (en)
Other versions
JP2001282375A (ja
Inventor
ジェームズ・リオーダ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2001282375A publication Critical patent/JP2001282375A/ja
Application granted granted Critical
Publication of JP3731867B2 publication Critical patent/JP3731867B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2103Challenge-response

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、コンピュータ上のプログラムおよびアプリケーションのセキュアかつ信頼される処理に関する。具体的には、本発明は、別のプログラムに対してプログラムを識別する機構に関する。
【0002】
【従来の技術】
従来のコンピュータおよびコンピュータ・システム、特に定義済みネットワーク内の接続されたシステムは、システム管理者によって管理される。現在使用されているアクセス制御機構は、システム管理者によって決定されるセキュリティ・ポリシーに基づいて、ユーザを互いに分離することに焦点を合わせている。一部のシステム、主に軍用システムは、より微細な粒度のアクセス制御ポリシーを可能にして、個々のユーザの異なる態様の分離を可能にしているが、これらのシステムは、その複雑さのゆえに管理者にとって非現実的に高価になっている。その結果、これらのシステムのアクセス制御機構は、広く採用されてはいない。
【0003】
さまざまなデータベースおよびJavaで使用可能なアクセス制御方式は、データおよびオブジェクトのより微細な粒度の制御を提供するが、システム・レベルでのアクセス制御の一般的な問題を解決しない。
【0004】
ほとんどのパーソナル・コンピュータ(PC)は、セキュリティの問題を十分に解決することができない。DOS、Windows、およびMacOSを含むPCオペレーティング・システムは、大量のウィルス、トロイの木馬、および他の悪意のあるソフトウェア(マルウェアとも称する)によって襲撃されてきた。そのようなマルウェアの公開および使用は、本質的に、破壊行為の1形態であり、その危険性は、インターネットの使用に伴って増大する。
【0005】
経済的に意味のあるトランザクションでそのようなシステムが使用される場合、攻撃者にとってはるかに大きい利益があり、したがって、はるかに大きい誘因がある。したがって、セキュリティの必要は絶対的であり、これによって適当なアクセス制御機構の必要が生じる。
【0006】
PDAと略されることもある携帯情報端末などのハンド・ヘルド・デバイスは、そのフォーム・ファクタおよび使用法の特性から、多くのe-commerceアプリケーションでの使用に非常に望ましいものになっている。残念ながら、現在のPDAオペレーティング・システムは、e-commerceアプリケーションに必要なセキュリティを提供しない。PDAが、強力な汎用計算装置であるという事実そのもののゆえに、PDAは攻撃に対して脆弱である。PDAに基づくe-commerceシステムは、すべての範囲の攻撃に対して潜在的に脆弱であり、このために、スマートカードなどのPDAに含まれる他のシステムも危険にさらされる可能性がある。
【0007】
一般に、システム管理者は、特定のプログラムまたはユーザをどれほど信頼できるかを決定しなければならない。この決定には、プログラムを特権付きでインストールするためにどれほどの信頼が必要であるかを決定する際の、システムにある情報リソースの価値の検討が含まれる。システム管理者が、システムおよび特権を継続的に更新しなければならないことが短所である。
【0008】
米国特許第3996449号明細書は、コンピュータにロードされるオペレーティング・システムが有効であるかどうかを判定するオペレーティング・システム認証機構に関する。オペレーティング・システムに固有のユーザの識別コードまたは秘密鍵と、有効なオペレーティング・システムおよび識別コードの所定の関数であるベリファイヤ値が、それぞれ記憶される。ロードされるオペレーティング・システムと識別コードの関数であるハッシュ関数が、認証機構によって生成される。オペレーティング・システムをロードした後に、ハッシュ関数を認証値として使用し、ベリファイヤ値と比較して、ロードされるオペレーティング・システムの認証性を判定する。
【0009】
米国特許第5113442号明細書に、複数のユーザの間でアクセス権を制御する方法およびこの方法を使用するオペレーティング・システムが記載されている。各ユーザは、素数であるユーザ識別番号を与えられ、各セキュア・オブジェクトは、そのセキュア・オブジェクトに対する同一のアクセス権を有する全ユーザのユーザ識別番号の積である値を含むアクセス・コードを与えられる。セキュア・オブジェクトへのアクセスを求めるユーザによる要求に応答して、そのセキュア・オブジェクトのアクセス・コードを、要求元ユーザのユーザ識別番号で割る。要求されたセキュア・オブジェクトへのユーザのアクセス権は、除算の結果が0の剰余をもたらすかどうかに基づいて決定される。
【0010】
用語集
以下は、以下の説明の理解を助けるための略式の定義である。
【0011】
ハッシュ関数とは、任意の長さのバイナリ・ストリングをある固定長のバイナリ・ストリングにマッピングする、計算的に効率的な関数である。
【0012】
一方向ハッシュ関数とは、可変長のメッセージMまたは何らかのデータを受け取り、ハッシュまたは固有識別子とも称する固定長の値を作る関数である。固有識別子を与えられて、その固有識別子を用いてメッセージを見つけることは、計算的に実行不可能である。実際、その固有識別子を用いてメッセージMに関する有用な情報を判定することはできない。言い換えると、そのような固有識別子を作成する時間は、固有識別子から可変長メッセージを再構成する時間よりかなり短い。さらに、2つの同一の固有識別子を見つける時間は、1つの固有識別子を作成する時間よりかなり長い。
【0013】
信頼コンピューティング基盤(TCB)とは、それらの組合せがセキュリティ・ポリシを実施する責任を負うハードウェア、ファームウェア、およびソフトウェアを含むコンピュータ・システム内の保護機構の完全性を指す。
【0014】
【発明が解決しようとする課題】
本発明の目的は、従来技術の短所を克服することである。
【0015】
本発明のもう1つの目的は、コンピュータ・システムまたは分散システムでのプログラムのセキュア・アクセス制御の機構を提供することである。
【0016】
本発明のもう1つの目的は、システム管理者を必要としないアクセス制御機構を提供することである。
【0017】
本発明のもう1つの目的は、スプーフ不能であり、したがってセキュアな形で動作するアクセス制御機構を提供することである。
【0018】
本発明のもう1つの目的は、コンピュータ上のプログラムの同一性を、同一のまたは異なるコンピュータ上の別のプログラムに対して検証する方法および装置を提供することである。
【0019】
【課題を解決するための手段】
本発明の目的は、同封の独立請求項で規定される特徴によって達成される。さらに有利な実施形態は、めいめいの従属請求項に示されている。
【0020】
本発明は、コンピュータまたは分散コンピュータでのセキュア・アクセス制御のための一般的で柔軟な機構を提供する。コンピュータに言及する時には、すべての種類のコンピュータが、TCBと省略される信頼コンピューティング基盤を有することを意味する。そのようなコンピュータは、ネットワークのメンバとすることができ、複数のセキュア・ドメインまたはセキュア・アプリケーションをサポートすることができる。
【0021】
本発明の基本概念は、コンピュータが、暗号関数すなわち、一方向ハッシュ関数とも称する暗号チェックサムを使用して、プログラム固有の暗号識別子または省略形でプログラム固有識別子を自動的に生成し、これを用いてアクセス制御機構の基礎を形成することである。これらのプログラム固有識別子は、プログラムの名前とみなすことができ、プログラムにハッシュ関数を適用することによって得られる。出力のプログラム固有識別子は、ハッシュ値とも称するが、オンザフライで格納、キャッシュ記憶、または導出することができる、特定のプログラムについて実質的に一意の値である。一般に、名前は、信頼コンピューティング基盤によって、より詳細にはオペレーティング・システムによって用意される。暗号関数は、少なくとも以下の判断基準を満たす。そのような固有識別子を作成する時間が、固有識別子からプログラムまたはその一部を再構成する時間よりかなり短い。さらに、2つの同一の固有識別子を見つける時間が、1つの固有識別子を作成する時間よりかなり長い。
【0022】
この機構は、次の形で稼動する。メッセージ・オリジネータ・プログラムが、その派生名を含むメッセージを、メッセージ・レシーバ・プログラムに送る。名前は、オペレーティング・システムによって与えられ、送出中または転送中にメッセージに追加することができる。メッセージを受け取った後に、名前は、メッセージ・レシーバ・プログラムまたは信頼コンピューティング基盤もしくはその両方に既知であるかどうかを検証される。それを行うことによって、特殊な要求を含めることができるメッセージを、検証に応じて受け入れるか拒否することができる。メッセージに対する応答について、メッセージ・レシーバ・プログラムは、いわゆる応答メッセージ・オリジネータ・プログラムに変化する、すなわち、メッセージ・レシーバ・プログラムが、メッセージ・オリジネータ・プログラムになり、その固有名を用いてメッセージ応答を送る。
【0023】
プログラムとは、アプリケーション・プログラム、Javaベース・プログラム、または仮想マシンなど、コンピュータ上で稼動することができるすべての種類のコードまたはソフトウェアと理解される。
【0024】
本発明の機構は、スプーフ可能でない、簡単に実施されるなど、複数の長所を示す。名前が信頼コンピューティング基盤によって自動的に作成されるので、システム管理者の仕事は冗長になる。複数のドメインまたはアプリケーションが、セキュアでないプログラムによって攻撃可能にならずに同一のコンピュータ上で稼動することができるので、一般に、コンピュータの信頼性を劇的に高めることができ、コンピュータを安全で信頼性のある装置にすることができる。
【0025】
本発明の機構を使用することによって、疑わしいプログラムおよび攻撃プログラムなどの、制御されず、潜在的にセキュアでないプログラムが、コンピュータの制御を奪うことができず、機密のプログラムおよびアプリケーションに干渉することができなくなる。
【0026】
一方で、プログラム固有識別子すなわちプログラム固有名が、メッセージ・レシーバ・プログラムに既知であり、もう一方で、受入または肯定応答と、メッセージ・オリジネータ・プログラムに既知の応答プログラム固有識別子を含む応答メッセージが送られる場合に、両方のプログラムがお互いを信頼することができ、これによって、メッセージ・レシーバ・プログラムが、メッセージ・オリジネータ・プログラムと進んでインターオぺレートするという長所が生ずる。両方のプログラムの間の信頼される通信を簡単にセット・アップすることができる。
【0027】
上述のプログラム固有識別子は、メッセージ・オリジネータ・プログラムに第1ハッシュ関数を適用することによって導出可能であり、応答プログラム固有識別子は、メッセージ・レシーバ・プログラムに第2ハッシュ関数を適用することによって導出可能である。これが有利であることがわかる。というのは、一般に、さまざまなハッシュ関数を適用して、プログラム固有識別子を作成することができ、したがって、この機構が特殊なタイプのハッシュ関数に制限されないからである。唯一の前提は、通信をセット・アップするために、プログラム固有識別子が、メッセージ・レシーバ・プログラムに既知でなければならないことである。
【0028】
それにもかかわらず、適用されるハッシュ関数を、同一にすることもでき、これによって、MD5またはSHA−1などの一方向ハッシュ関数が適用可能になる。そのようなハッシュ関数は、周知であり、信頼性のある形で動作し、ユーザまたは計算時間全般に著しい影響を及ぼすことなく、ミリ秒単位の時間で処理することができるすなわち、プログラムに適用することができる。
【0029】
ハッシュ関数ジェネレータは、プログラム固有識別子が、信頼コンピューティング基盤によって自動的に導出され、用意されるように、この信頼コンピューティング基盤内で実施されなければならない。基礎となるセキュリティ・ポリシに基づいて、攻撃者は、信頼コンピューティング基盤を迂回することも密かに傷つけることもできない。
【0030】
プログラム固有識別子またはメッセージもしくはその両方が、秘密暗号鍵の使用によって署名されるならば有利である。それを行うことによって、異なるプログラムの間の相互信頼を、簡単に確立し、セット・アップすることができる。さらに、任意の信頼関係を作成することができ、これによって、ユーザが何も構成しなくてよいことが特に有利である。
【0031】
秘密暗号鍵によって署名された追加のプログラム固有識別子を、メッセージ内で送る場合も有利である。というのは、メッセージ・レシーバ・プログラムが、開発者によって、保護された形で管理可能になり、これによって、追加の信頼されるプログラムをインストールでき、それを用いて信頼されるドメインまたは信頼されるアプリケーションを簡単にセットアップできるからである。言い換えると、同一の開発者から来る異なるプログラムが、お互いを信頼し、相互信頼関係を作成することができる。
【0032】
メッセージ・レシーバ・プログラムまたは信頼コンピューティング基盤もしくはその両方が、公開暗号鍵を有することができ、それを用いて応答に署名することができる。これは、要求側プログラムであるメッセージ・オリジネータ・プログラムが、正しく記述されている場合に、メッセージ・レシーバ・プログラムまたは信頼コンピューティング基盤もしくはその両方が、ユーザによって許可された文書についてのみ署名を生成することを暗示する。
【0033】
プログラム固有識別子が、リストまたはデータベースに事前に格納される場合、この識別子への高速アクセスをもたらすことができ、したがって高速の検証をもたらすことができる。これは、信頼されるプログラム固有識別子が、信頼コンピューティング基盤内で配布またはインストールされる場合、またはコンピュータが初めて初期化される時にも有利である。
【0034】
プログラム固有識別子が、メッセージ・レシーバ・プログラムまたは信頼コンピューティング基盤に未知である場合には、メッセージまたは要求が拒否され、たとえばメッセージ・オリジネータ・プログラムに0が返される。これは、メッセージ・オリジネータ・プログラムが、信頼されるプログラムではなく、疑わしいか危険である可能性があることを暗示する。そのようなプログラムについて、特殊なドメインを作成することができる。しかし、やはり、決定的な点は、そのようなプログラムが、他のものすなわち、たとえば信頼されるプログラム、関係する文書、またはコンピュータ上のプライベートな記録に干渉できないことである。
【0035】
【発明の実施の形態】
全般的に図面を参照し、特に図1を参照して、暗号関数を使用する、コンピュータのためのアクセス制御機構の本質的特徴を下で詳細に説明する。まず、一般的な点を扱う。
【0036】
ハッシュ関数
ハッシュ関数は、任意の長さのバイナリ・ストリングをある固定長のバイナリ・ストリングにマッピングする、計算的に効率的な関数である。
【0037】
一方向ハッシュ関数
一方向ハッシュ関数とは、可変長のメッセージを受け取り、固定長のハッシュまたは値を作る関数である。したがって、h=H(M)であり、ここで、Hは一方向ハッシュ関数、Mはメッセージ、hはメッセージMのハッシュ値である。
【0038】
ハッシュhを与えられて、そのハッシュを有するメッセージMを見つけることは、計算的に実行不可能である。実際に、そのハッシュを用いてメッセージMに関する有用な情報を判定することはできない。いくつかの一方向ハッシュ関数の場合、同一のハッシュを作る2つのメッセージを判定することも、計算的に実行不可能である。さらに、一方向ハッシュ関数は、暗号関数と同様に、公開または秘密とすることができる。MD5、SHA−1、およびSnefruが、公開一方向ハッシュ関数の例である。
【0039】
そのような一方向ハッシュ関数が、任意のプログラムとすることができるプログラムEに適用される場合に、出力のハッシュ値hは、実質的に一意の値になり、これをプログラム固有識別子とも呼ぶ。このプログラム固有識別子は、特定のプログラムEに与えられた名前とみなすこともできる。言い換えると、プログラムEは、バイト・ストリームE={b0、b1、b2、…}と見なすことができるが、これをその実質的に一意の名前H(E)と関連付けることができる。プログラムEが実行される時には、プログラムEは、ラベルH(E)を用いて実行される。プログラムEによって作成される永続データは、プログラムEからのみアクセス可能であり、やはり名前H(E)をもつ。
【0040】
たとえば上で述べた一方向ハッシュ関数SHA−1を使用すると、2つの同一のプログラム固有識別子が見つかる確率は、約1対280であり、所与のプログラムに対して同一のプログラム固有識別子を有する別のプログラムが見つかる確率は、約1対2160である。
【0041】
信頼コンピューティング基盤(TCB)
信頼コンピューティング基盤(TCBと略記する場合もある)とは、それらの組合せがセキュリティ・ポリシを実施する責任を負うハードウェア、ファームウェア、およびソフトウェアを含むコンピュータ・システム内の保護機構の完全性を指す。オペレーティング・システムは信頼コンピューティング基盤の一部である。セキュリティ・ポリシは、信頼コンピューティング基盤を迂回または密かに傷つけることができない、すなわち、攻撃に対してセキュアであることを必要とする。
【0042】
本発明のアクセス制御機構は、一般に、コンピュータ内およびコンピュータ・システム内で使用することができる。コンピュータに言及する時には、ローカル・ネットワークのメンバになることができるすべての種類の装置を意味する。装置の例が、ラップトップ・コンピュータ、ワークパッド、ノードパッド、携帯情報端末(PDA)、ノートブック・コンピュータおよび他のウェアラブル・コンピュータ、デスクトップ・コンピュータ、コンピュータ端末、ネットワーク接続されたコンピュータ、インターネット端末および他の計算システム、セットトップ・ボックス、キャッシュ・レジスタ、バー・コード・スキャナ、POS端末、キオスク・システム、セルラ電話、ポケットベル、腕時計、ディジタル時計、バッジ、スマートカード、および他のハンドヘルド・デバイスおよび組込装置である。検討される他の装置には、ヘッドセット、ヒューマン・インターフェース・デバイス(Human Interface Device、HID)準拠周辺機器、データ・アクセス・ポイントおよびボイス・アクセス・ポイント、カメラ、プリンタ、ファクシミリ機、キーボード、ジョイスティック、調理器具、工具、煙検出器または炎検出器などのセンサ、および事実上あらゆる他のディジタル装置が含まれる。
【0043】
本発明に関連して使用することができるウェアラブル・コンピュータの他の例が、「スモール・ウォレット(smart wallet)」コンピュータ、宝石、または衣類などのコンピュータ様ハードウェアを備えた所持品である。「スモール・ウォレット」コンピュータのほかに、ウェアラブル・コンピュータの多数の他の変形形態がある。「ベルト」コンピュータは、ユーザが移動中に文書のサーフィン、口述筆記、および編集を行えるようにする、そのような変形形態である。もう1つの例が、小学生の携帯情報端末に相当する子供のコンピュータである。子供のコンピュータは、宿題を保持し、計算を実行し、子供が宿題を管理するのを助けることができる。子供のコンピュータは、他の子供のコンピュータとインターフェースして共同作業を促進することができ、教師のコンピュータにアクセスして宿題またはフィードバックをダウンロードすることができる。ウェアラブル・デバイスまたはポータブル・デバイス、オフィス・ツールまたはオフィス機器、家庭のツールまたは機器、自動車内で使用するシステム、または、公共の場で使用するシステム(自動販売機、券売機、自動預金支払機)を、本発明に関連して使用することができる。
【0044】
本発明の理解を助けるために、図1に、コンピュータ2の高水準ブロック図を示す。
【0045】
コンピュータ2には、1つまたは複数の中央処理装置(CPU)6、ランダム・アクセス・メモリ(RAM)8、および入出力(I/O)インターフェース10などのハードウェア構成要素4が含まれる。コンピュータ2には、オペレーティング・システム20も含まれる。2次ストレージ装置12(ハード・ディスクなど)、入力装置14(キーボード、マウス、タッチ・スクリーン、マイクロフォン、赤外線受信器、またはRF受信器など)、表示装置16(モニタ、またはLCDディスプレイなど)、および出力装置18(プリンタ、赤外線送信器、またはRF送信器など)などのさまざまな周辺装置が、コンピュータ2に接続される。スマートカード・デバイスも、入出力装置14、18に結合することができる。複数のプログラム22、24、および26が、コンピュータ2内で実行される。プログラム22、24、および26は、コンピュータ2内で順次実行することができるが、コンピュータ・システム2内で並列に実行されることが好ましい。
【0046】
ハードウェア構成要素4およびオペレーティング・システム20が、セキュアで信頼されるコンピューティングの基礎を構成する信頼コンピューティング基盤TCBを形成する。信頼コンピューティング基盤内に、プログラム固有識別子を作成するジェネレータ・モジュール21が実施される。このジェネレータ・モジュール21は、基本的に、ソフトウェアならびにハードウェアで実施することができる暗号関数ジェネレータ21である。ハッシュ関数、好ましくは上で述べた一方向ハッシュ関数の適用によるハッシュ値の生成は、プロセッサにとって時間を消費しないので、暗号関数ジェネレータ21は、オペレーティング・システム20自体の中で実施することができる。実質的に一意の値を出力するものであれば、どの暗号関数でも適する。
【0047】
図1に関連して説明したコンピュータ2の構造は、以下の実施形態で使用することができる、基礎となる装置とみなされる。
【0048】
さらに図2を参照するが、図2は、メッセージの交換を示す高水準概略図である。いくつかの基本を、以下で説明する。メッセージ・オリジネータ・プログラムDが、別のプログラム、ここではメッセージ・レシーバ・プログラムSとの通信を求めている。メッセージ・レシーバ・プログラムSは、1つまたは複数のプログラム固有識別子を知っている。これらの識別子は、事前に記憶するかキャッシュ記憶することができ、オペレーティング・システム20に既知にすることもできる。まず、メッセージ・オリジネータ・プログラムDが、メッセージ・レシーバ・プログラムSに、メッセージ内で要求mを送る。これによって、オペレーティング・システム20の一部としてのジェネレータ・モジュール21が、メッセージ・オリジネータ・プログラムDからプログラム固有識別子H(D)を導出し、H(D)、mという符号を付された矢印によって示されるように、このプログラム固有識別子H(D)をメッセージに追加する。
【0049】
一般に、オペレーティング・システム20は、メッセージ・オリジネータ・プログラムによってメッセージ・レシーバ・プログラムに送られるすべての要求に、メッセージ・レシーバ・プログラムによって検証または識別することができるメッセージ・オリジネータ・プログラムのめいめいのプログラム固有識別子を追加する。
【0050】
図を簡単にするために、ジェネレータ・モジュール21は、図2に図示されていない。プログラム固有識別子H(D)は、メッセージ・オリジネータ・プログラムDから事前に格納することもできる。プログラム固有識別子H(D)および要求mを含むメッセージを受け取った後に、メッセージ・レシーバ・プログラムSは、プログラム固有識別子H(D)の抽出を試み、これを既知の識別子を用いて検証する。プログラム固有識別子H(D)が、メッセージ・レシーバ・プログラムSに既知である(これを箱S内のH(D)によって示す)場合には、メッセージ・レシーバ・プログラムSは、メッセージ・オリジネータ・プログラムDとのその後の通信を受け入れる。そのために、メッセージ・レシーバ・プログラムSは、応答nおよびそのプログラム固有識別子H(S)(応答プログラム固有識別子H(S)とも称する)を含む応答メッセージを、箱Sから箱Dへの矢印によって示されるように、メッセージ・オリジネータ・プログラムDに送る。それに関して、応答プログラム固有識別子H(S)は、オペレーティング・システム20によって供給される。メッセージ・オリジネータ・プログラムDおよびメッセージ・レシーバ・プログラムSは、ネットワークを介して接続可能な異なるコンピュータまたはシステム上で実行することができるので、各プログラムDおよびSは、プログラム固有識別子を提供する各プログラムの信頼コンピューティング基盤を有することができる。ネットワークへの接続は、ワイヤ、赤外線、無線などの当技術分野で既知の手段によって提供される。
【0051】
以下では、本発明のさまざまな例示的実施形態を説明する。
【0052】
図3に、鍵を使用する購入シナリオの概略図を示す。信頼コンピューティング基盤に基づき、それと共にオペレーティング・システム20上で、ここでブラウズB、表示D、および署名Sと呼ぶ、コンパートメント内の複数のプログラムまたはアプリケーションが稼動する。この実施形態の基礎になる概念は、誰でも何かを要求することができなければならないということである。表示Dおよび署名Sは、セキュア・コンパートメント内で稼動し、したがって、信頼できるが、ブラウズBはそうではないので、ブラウズBまたは他のプログラムは、表示Dに要求を送ることができる。
【0053】
たとえば、署名が必要な時には、文書がセキュア・コンパートメントの表示Dおよび署名Sに渡され、表示、許可、および署名生成が行われる。この方式のセキュリティは、署名Sおよび表示Dのコンパートメントと、それがユーザに情報を表示する能力と、署名コンパートメントが表示Dからの要求を受け入れる能力だけに依存する。署名Sは、箱S内に示されている署名鍵kへのアクセスだけを必要とする。
【0054】
ユーザにデータを表示する表示Dコンパートメントの能力は、2つの主な前提すなわち、コンパートメントに表示Dに対するリソース・ロックを含めることができることと、データ自体が単一の明瞭に定義された意味を有することを有する。表示Dをロックする能力は、トロイの木馬の脅威を減らすのに有用である。システム・リソースに対する排他ロックの許可によって、悪意を持ったコードが、システムをソフト的またはハード的のいずれかでロックし、これによってサービス拒否攻撃を計画的に実施できるようになる。すべてのシステム・ロックがソフト・ロックになることを強制できると仮定すると、この脅威は、人の関心を引かなくなる。したがって、主な問題は、システムが十分な数のリソースをロックできなければならないということになる。これらのリソースには、ディスプレイ、タッチ・スクリーン、さまざまな他のI/Oデバイス、メモリ・ページなどが含まれる。
【0055】
署名Sは、その鍵kを保護でき、管理できなければならず、文書に署名する要求がブラウズBからのものであることを保証できなければならない。これらのデータの保護および管理は、これらのデータが、署名の外部インターフェースを介してのみ他のコンパートメントからアクセス可能にならなければならないことを意味する。これによって、システムのいくつかの低水準特性が暗示される。すなわち、システムは、メモリへの生のアクセスを許可してはならず、メッセージの保全性(IPC)が維持されなければならず、システム・リソースへのアクセスが、完全な特権を使用しないことである。
【0056】
上で説明した、コンパートメントごとのプログラム固有識別子を生成する方式を使用することによって、命名システムが提供され、その結果、コンパートメントの間に明瞭に定義された相違が存在することになる。
【0057】
ユーザが、品目を選択し、購入したいと思っていると仮定する。品目は、ブラウザBを使用して選択することができ、このブラウザBは、図1に関して示したコンピュータに基づくことができるPDA(携帯情報端末)上で稼動するWAP(Wireless Applications Protocol)のブラウザである。ブラウザは、信頼されないユーザによって供給される複合データを操作する極度に洗練されたソフトウェアである。しかし、ブラウザBが、支払い許可の条件について表示Dおよび署名Sに渡される要求を生成することが可能である。そのため、ブラウザBは、メッセージ内の文書に署名する要求mを表示Dに送り、これによって、オペレーティング・システム20が、要求mにブラウザBのプログラム固有識別子H(B)を付加する。これは、H(B)、mという符号を付された矢印によって示されている。
【0058】
ブラウザBと比較して小さいソフトウェアである表示Dは、H(D)、mという符号を付された矢印によって示されるように、要求mをそのプログラム固有識別子H(D)と共に転送する。署名コンパートメントである署名Sは、スマートカードとすることができるが、それが知っているプログラム固有識別子を用いて受け取ったメッセージを検証する。プログラム固有識別子H(D)が、署名Sに既知である(これは箱SのH(D)によって示される)時には、要求mが受け入れられる。さらに、表示Dが、正しく記述されている場合には、署名Sは、ユーザによって許可された文書だけについて署名を生成する。
【0059】
鍵kの下での要求mに対する署名を、k-1と表す。署名Sは、要求mに署名し、それをそのプログラム固有識別子と共に表示Dに送る。これは、H(S)、k-1mという符号を付された矢印によって示されている。さらに、表示Dは、H(D)、k-1mという符号を付された矢印によって示されているように、そのプログラム固有識別子と共に、署名された要求をブラウザBに渡す。
【0060】
図4に、ハッシュを使用するアクセス制御を有するファイル・システム・オブジェクトの概略図を示す。当然、異なるアプリケーション(以下ではオブジェクトとも称する)が、データを共用する必要がある。図4には、永続オブジェクトすなわち、オブジェクトA、オブジェクトF、およびオブジェクトGが示されており、オブジェクトAおよびオブジェクトGは、信頼されるオブジェクトであるオブジェクトFに接続されている。さらに、オブジェクトFは、オブジェクトAの項目だけを有するアクセス制御リスト40を有する。オブジェクトFは、それぞれH(A)、r(n1)およびH(G)、r(n2)という符号を付された、オブジェクトFに向かう矢印によって示されるように、どちらもがめいめいのプログラム固有識別子H(A)およびH(G)を伴う2つの読取要求r(n1)およびr(n2)を受け取る。第1の要求r(n1)は、オブジェクトAから来るものであり、オブジェクトFのアクセス制御リスト40に現れる。これは、許可され、H(F)、d1という符号を付された矢印によって示されるように、オブジェクトFによってd1が返される。第2の要求r(n2)は、オブジェクトGから来るものであり、オブジェクトFのアクセス制御リスト40には現れない。したがって、第2の要求r(n2)は拒否され、H(F)、0という符号を付された矢印によって示されるように、ヌルが返される。読取特権と書込特権について異なるアクセス制御リストを保持することができる。
【0061】
一般に、豊富なメソッドのセットを有するより複雑なオブジェクトFが、同一のタイプの構成を使用して、所望のアクセス制御ポリシを実施することができる。
【0062】
図4には、信頼されるオブジェクトの集合を更新することが許可されない静的セットアップが示されているが、図5に、図4の構成に基づく、動的セットアップのためのファイル・システム・オブジェクトを示す。
【0063】
図5の構成は、ディジタル署名を使用して更新することができる。したがって、オブジェクトFは、箱Fに示されているように、公開鍵Kを有する。オブジェクトFおよびオブジェクトGは、第1オペレーティング・システム42に基づき、オブジェクトCとも称するヘルパ・アプリケーションは、当技術分野で既知のチャネル46によって接続される第2オペレーティング・システム44に基づく。第1オペレーティング・システム42は、ユーザ側で稼動し、第2オペレーティング・システム44は、開発者または信頼される当事者側で稼動する。オブジェクトCは、オブジェクトFへのk-1H(G)の配布に使用され、このk-1は秘密鍵であり、オブジェクトFは、署名の有効性を検証し、オブジェクトGのプログラム固有識別子H(G)をアクセス制御リスト40に追加する。めいめいの矢印によって示されるように、オブジェクトGからオブジェクトFへのH(G)、r(n1)などのアクセス要求が、オブジェクトFによって許可されるようになり、オブジェクトFは、H(F)、d1を返す。
【0064】
この構成は、署名が有効である限り、ディジタル署名を担持するものが信頼される必要はないという事実に依存する。
【0065】
まさにこの事実を使用して、ヘルパ・アプリケーションを使用する任意の複雑さを有する信頼関係をセット・アップすることができる。
【0066】
図6は、オブジェクトAとオブジェクトGの間の相互信頼(MT)関係をセット・アップするのに、ここでもオブジェクトCであるヘルパ・アプリケーションを使用する実施形態の概略図を示す。オブジェクトAおよびGの両方が、それぞれオブジェクトAおよびGの下に示されているように、公開鍵kおよびそれ自体の固有のアクセス制御リストを有する。ヘルパ・アプリケーションとしてオブジェクトCを使用すると、オブジェクトCは、そのプログラム固有識別子H(C)と共にk-1H(G)をオブジェクトAに配布し、オブジェクトAは、署名の有効性を検証し、そのアクセス制御リストにプログラム固有識別子H(G)を追加する。その一方で、オブジェクトCは、そのプログラム固有識別子H(C)と共にk-1H(A)をオブジェクトGに配布し、オブジェクトGは、署名の有効性を検証し、そのアクセス制御リストにプログラム固有識別子H(A)を追加する。その後の通信について、オブジェクトAは、オブジェクトGに直接に連絡でき、その逆も可能である。というのは、オブジェクトAおよびGが、箱AおよびGの間の破線によって示されるように、お互いを知り、信頼するからである。
【0067】
図6に関連して説明した方式は、鍵、証明書、開発者登録などの御しにくいヒエラルキーを必要とする従来のコード署名と同一ではない。この方式は、コード署名を使用してシステム特権を判定するのではなく、開発者ソフトウェア仲間の証明書として署名を使用する。
【0068】
これが有用になる可能性がある例が、銀行が、共通鍵を共用することを望む複数の支払方式を有する場合である。個々の構成要素を、個別に更新することができる。
【0069】
下の実施形態で、暗号関数に基づくアクセス制御機能を使用する、ディジタル署名を使用する支払システムの設計を説明する。このシステムは、WAP自体のセキュリティに依存せずにWAPを介して使用されるように設計されている。下記で、複数のステップを示す。
【0070】
グローバル・セットアップ
銀行の初期セットアップは、非常に侵入的ではない。というのは、銀行が、装置を作成したものすなわち、PDAまたはコンピュータの製造業者と連絡する必要がないからである。
【0071】
1.銀行は、個々のユーザ鍵に署名するための公開鍵/秘密鍵対を生成する。この鍵対を、mk/mk-1と表す。これは、銀行のマスタ鍵またはその派生物とすることができる。
【0072】
2.銀行が、銀行のアプリケーション・スイートへのメンバシップを識別するための公開鍵/秘密鍵対を生成する。この鍵対を、ak/ak-1と表す。
【0073】
3.銀行が、公開鍵mkおよびakを含む署名プログラムSを記述する。
【0074】
4.さらに、銀行が、図3に関連して説明したものなどの表示プログラムDを記述する。このプログラムは、署名されるもの、たとえば、払受人、金額、日付、および説明などを、その簡単な説明として受け入れる。表示プログラムDは、その後、物理表示装置をロックし、その後、必要な情報をユーザに表示する。ユーザが同意する場合には、表示プログラムDは、ロックを解放し、図3に関連して述べたものなどの条件が署名プログラムSに渡される。
【0075】
5.銀行は、図6に関連して示したように、ak-1H(D)を計算し、これをヘルパまたは登録プログラムCに配置する。
【0076】
個々のセットアップ
銀行が、ユーザ用の鍵を生成し、配布することを望むと仮定する。
【0077】
1.ユーザUのそれぞれについて、銀行が、鍵対uk/uk-1と、署名された鍵対mk-1(uk/uk-1)を担持するアプリケーションCUとを生成する。
【0078】
2.銀行が、ユーザUに表示プログラムD、署名プログラムS、登録プログラムC、およびアプリケーションCUを提供する。アプリケーションCUだけが、ユーザUに依存し、秘密を必要とする唯一の構成要素である。銀行は、秘密を何らかの形で分割することを望む場合がある。
【0079】
3.その後、ユーザUが、上のステップで述べたアプリケーションをインストールし、システムが、めいめいのプログラム固有識別子H(D)、H(S)、H(C)、およびH(CU)に対応する4つの新しいセキュリティ・ドメインを自動的にセット・アップする。
【0080】
4.ユーザUが、アプリケーションCUを実行し、アプリケーションCUが、mk-1(uk/uk-1)を含むメッセージを署名プログラムSに送る。署名プログラムSは、鍵mkを使用して、uk/uk-1が有効なユーザ鍵であることを検証する。その後、アプリケーションCUが、登録プログラムCを呼び出し、アプリケーションCU自体はもはや不要なのでそれ自体を削除する。登録プログラムCは、ak-1H(D)を含むメッセージを署名プログラムSに送る。次に、署名プログラムSが、akを使用して、表示プログラムDが信頼されるアプリケーションであるかどうかを検証する。したがって、署名プログラムSは、表示プログラムDを信頼する。
【0081】
アプリケーションまたはプログラムは、WAPブラウザとして、署名の生成を望む時に、表示および承認のためにテキストまたは文書を表示プログラムDに渡す。ユーザUが承認する場合には、その要求が、署名プログラムSに渡され、署名プログラムSがそれに署名する。署名プログラムSは、要求が信頼される表示プログラムDから来たので、その要求がユーザの望みを反映していることを知る。署名は、最終的に、最初のアプリケーションに返される。
【0082】
銀行が、たとえばホーム・バンキング用などの、署名プログラムSによって信頼される新しいアプリケーションNを生成することを望む場合には、銀行は、ak-1H(N)を担持するヘルパ・アプリケーションC’を生成するだけでよい。
【0083】
スマートカード
銀行が、スマートカードを使用して、ユーザの鍵対の秘密部分を保護することを望む場合には、「個々のセットアップ」を次のように変更することができる。
【0084】
1.ユーザUsのそれぞれについて、銀行が、鍵対uk/uk-1を生成し、それをスマートカードに格納する。この鍵対uk/uk-1に、銀行のマスタ鍵を用いて署名することができるmk-1(uk/uk-1)。
【0085】
2.銀行が、ユーザUsに、少なくとも表示プログラムDおよび登録プログラムCを供給する。
【0086】
3.その後、ユーザUsが、上のステップで述べたアプリケーションをインストールし、システムが、めいめいのプログラム固有識別子H(D)およびH(C)に対応する2つの新しいセキュリティ・ドメインを自動的にセット・アップする。
【0087】
4.ユーザUsが、登録プログラムCを実行し、登録プログラムCが、ak-1H(D)を含むメッセージをスマートカードに送る。スマートカードは、akを使用して、表示プログラムDが信頼されるアプリケーションであることを検証し、したがって、以後、表示プログラムDを信頼する。
【0088】
表示プログラムDが、スマートカードに要求を送る時には、その要求が、表示プログラムDのプログラム固有識別子H(D)と共に配布される。
【0089】
開示された実施形態のいずれもが、1つまたは複数の図示または説明された他の実施形態と組み合わせることができる。これは、実施形態の1つまたは複数の特徴についても可能である。
【0090】
本発明は、ハードウェア、ソフトウェア、またはハードウェアおよびソフトウェアの組合せで実現することができる。あらゆる種類のコンピュータ・システムまたは、本明細書で説明した方法を実行するように適合された他の装置が、適する。ハードウェアおよびソフトウェアの通常の組合せは、ロードされ実行される時に本明細書で説明した方法を実行するようにコンピュータ・システムを制御するコンピュータ・プログラムを伴う汎用コンピュータ・システムとすることができる。本発明は、本明細書で説明した方法の実施形態を可能にするすべての特徴を含み、コンピュータ・システムにロードされた時にこれらの方法を実行することができる、コンピュータ・プログラム製品で実施することもできる。
【0091】
この文脈でのコンピュータ・プログラム手段またはコンピュータ・プログラムは、情報処理能力を有するシステムに、直接に、または、a)別の言語、コード、または表記への変換と、b)異なる材料形態での再生産との一方または両方の後にのいずれかで、特定の機能を実行させることを意図された命令のセットの、あらゆる言語、コード、または表記での表現を意味する。
【0092】
まとめとして、本発明の構成に関して以下の事項を開示する。
【0093】
(1)メッセージ・レシーバ・プログラム(S)によってメッセージ・オリジネータ・プログラム(D)の同一性を検証する方法であって、
・信頼コンピューティング基盤(TCB)によって前記メッセージ・オリジネータ・プログラム(D)に供給された、プログラム固有識別子(H(D))を含むメッセージを前記メッセージ・オリジネータ・プログラム(D)から受け取るステップと、
・前記受け取ったプログラム固有識別子(H(D))が前記メッセージ・レシーバ・プログラム(S)に既知であるかどうかを検証するステップと
を含む方法。
(2)メッセージ・レシーバ・プログラム(S)に対してメッセージ・オリジネータ・プログラム(D)の同一性を開示する方法であって、
・信頼コンピューティング基盤(TCB)によって前記メッセージ・オリジネータ・プログラム(D)に供給されたプログラム固有識別子(H(D))を含むメッセージを前記メッセージ・オリジネータ・プログラム(D)から前記メッセージ・レシーバ・プログラム(S)に送ることであって、上記プログラム固有識別子(H(D))が、それが前記メッセージ・レシーバ・プログラム(S)に既知であるかどうかを前記メッセージ・レシーバ・プログラム(S)側で検証可能である、送ること
を含む方法。
(3)メッセージ・レシーバ・プログラム(S)によってメッセージ・オリジネータ・プログラム(D)の同一性を検証する方法であって、
・信頼コンピューティング基盤(TCB)によって前記メッセージ・オリジネータ・プログラム(D)にプログラム固有識別子(H(D))を供給するステップと、
前記プログラム固有識別子(H(D))を含むメッセージを前記メッセージ・オリジネータ・プログラム(D)から前記メッセージ・レシーバ・プログラム(S)に送るステップと、
・前記メッセージ・レシーバ・プログラム(S)側で前記メッセージを受け取るステップと、
・前記受け取ったプログラム固有識別子(H(D))が前記メッセージ・レシーバ・プログラム(S)に既知であるかどうかを検証するステップと
を含む方法。
(4)メッセージ・レシーバ・プログラム(S)が、その後、応答メッセージ・オリジネータ・プログラムになり、
・上記信頼コンピューティング基盤(TCB)によって前記応答メッセージ・オリジネータ・プログラムに供給された応答プログラム固有識別子(H(S))と、
・上記プログラム固有識別子(H(D))が既知として検証されたかどうかの肯定応答と
を含む応答メッセージをメッセージ・オリジネータ・プログラム(D)に送る、上記(1)ないし(3)のいずれか一項に記載の方法。
(5)好ましくはハッシュ関数、より好ましくはMD5またはSHA−1などの一方向ハッシュ関数である暗号関数(H)をメッセージ・オリジネータ・プログラム(D)に適用することによって導出される実質的に一意の暗号識別子が、プログラム固有識別子(H(D))として使用される、上記(1)ないし(3)のいずれか一項に記載の方法。
(6)異なるプログラムの間の信頼を確立するために、秘密暗号鍵(k-1)の使用によって、プログラム固有識別子(H(D))またはメッセージもしくはその両方に署名するステップをさらに含む、上記(1)ないし(3)のいずれか一項に記載の方法。
(7)上記メッセージが、さらに、追加プログラムの信頼関係でのメンバシップを確立するために、秘密暗号鍵(k-1)の使用によって署名される、追加のプログラム固有識別子(H(G))を含む、上記(6)に記載の方法。
(8)上記メッセージ・レシーバ・プログラム(S)が、公開暗号鍵(k)を有する、上記(1)ないし(3)のいずれか一項に記載の方法。
(9)上記メッセージ・レシーバ・プログラム(S)または信頼コンピューティング基盤(TCB)もしくはその両方が、事前に格納されたプログラム固有識別子を含むリストを使用し、前記メッセージ・レシーバ・プログラム(S)が、上記プログラム固有識別子(H(D))が前記事前に格納されたプログラム固有識別子の1つと同一であるかどうかを検証する、上記(1)ないし(3)のいずれか一項に記載の方法。
(10)上記メッセージ・レシーバ・プログラム(S)が、上記プログラム固有識別子(H(D))が既知として検証されない場合に、拒否メッセージを送る、上記(1)ないし(3)のいずれか一項に記載の方法。
(11)上記メッセージ・オリジネータ・プログラム(D)およびメッセージ・レシーバ・プログラム(S)が、異なるシステム上で実行され、ネットワークを介して接続可能であり、それぞれが、プログラム固有暗号識別子を提供するためのその信頼コンピューティング基盤(TCB)を有する、上記(1)ないし(3)のいずれか一項に記載の方法。
(12)コンピュータ上で実行される時に、上記(1)ないし(11)のいずれか一項に記載のステップを実行するプログラム・コード手段を含むコンピュータ・プログラム。
(13)コンピュータ上で実行される時に、上記(1)ないし(11)のいずれか一項に記載の方法を実行する、コンピュータ可読媒体に格納されたプログラム・コード手段を含むコンピュータ・プログラム製品。
(14)コンピュータ上でメッセージ・レシーバ・プログラム(S)によってメッセージ・オリジネータ・プログラム(D)の同一性を検証する装置であって、
・計算手段と、
・信頼コンピューティング基盤(TCB)によって前記メッセージ・オリジネータ・プログラム(D)に供給されたプログラム固有識別子(H(D))を含むメッセージを前記メッセージ・オリジネータ・プログラム(D)から受け取るレシーバ・モジュールと、
・前記プログラム固有識別子(H(D))が前記メッセージ・レシーバ・プログラム(S)に既知であるかどうかを検証するベリファイヤ・モジュールと
を含む装置。
(15)コンピュータ上でメッセージ・レシーバ・プログラム(S)によってメッセージ・オリジネータ・プログラム(D)の同一性を開示する装置であって、
・計算手段と、
・プログラム固有識別子(H(D))を作成するためのジェネレータ・モジュールを含む信頼コンピューティング基盤(TCB)と、
・前記プログラム固有識別子(H(D))を含むメッセージを前記メッセージ・オリジネータ・プログラム(D)から送るセンダ・モジュールであって、前記プログラム固有識別子(H(D))が、それが前記メッセージ・レシーバ・プログラム(S)に既知であるかどうかを前記メッセージ・レシーバ・プログラム(S)側で検証可能である、センダ・モジュールと
を含む装置。
【図面の簡単な説明】
【図1】コンピュータ・システムのブロック図である。
【図2】本発明によるメッセージの交換を示す概略図である。
【図3】鍵を使用する購入シナリオを示す概略図である。
【図4】ハッシュを使用するアクセス制御を有するファイル・システム・オブジェクトを示す概略図である。
【図5】ディジタル署名を使用する動的セットアップのための、図4のファイル・システム・オブジェクトを示す図である。
【図6】相互信頼関係をセット・アップするのにヘルパ・アプリケーションを使用する実施形態を示す概略図である。
【符号の説明】
2 コンピュータ
4 ハードウェア構成要素
6 中央処理装置(CPU)
8 ランダム・アクセス・メモリ(RAM)
10 入出力(I/O)インターフェース
12 2次ストレージ装置
14 入力装置
16 表示装置
18 出力装置
20 オペレーティング・システム
21 ジェネレータ・モジュール
22 プログラム
24 プログラム
26 プログラム
40 アクセス制御リスト
42 第1オペレーティング・システム
44 第2オペレーティング・システム
46 チャネル

Claims (20)

  1. 第2のコンピュータ上で実行されるメッセージ・レシーバ・プログラム(S)によって第1のコンピュータ上で実行されるメッセージ・オリジネータ・プログラム(D)の同一性を検証する方法であって、
    前記2のコンピュータが、
    ・前記メッセージ・レシーバ・プログラム(S)を使用して、信頼コンピューティング基盤(TCB)によって前記メッセージ・オリジネータ・プログラム(D)に用意されているプログラム固有識別子(H(D))を含むメッセージを前記メッセージ・オリジネータ・プログラム(D)から受け取ステップであって、前記プログラム固有識別子(H(D))は、メッセージ・オリジネータ・プログラム(D)に一方向ハッシュ関数である暗号関数(H)を適用することによって導出され、前記信頼コンピューティング基盤は、メッセージ・オリジネータ・プログラム(D)からの要求に応答して、前記ハッシュ関数を前記メッセージ・オリジネータ・プログラム(D)に適用し、そのハッシュ関数の結果が前記プログラム固有識別子(H(D))である、前記受け取ステップと、
    ・前記メッセージ・レシーバ・プログラム(S)を使用して、前記受け取ったプログラム固有識別子(H(D))が前記メッセージ・レシーバ・プログラム(S)に既知であるかどうかを検証るステップと
    を含む方法。
  2. 第1のコンピュータ上で実行されるメッセージ・オリジネータ・プログラム(D)の同一性を第2のコンピュータ上で実行されるメッセージ・レシーバ・プログラム(S)に対して開示する方法であって、
    前記1のコンピュータが、
    ・信頼コンピューティング基盤(TCB)によって前記メッセージ・オリジネータ・プログラム(D)に用意されているプログラム固有識別子(H(D))を含むメッセージを前記メッセージ・オリジネータ・プログラム(D)から前記メッセージ・レシーバ・プログラム(S)に送ステップを含み、前記プログラム固有識別子(H(D))は、メッセージ・オリジネータ・プログラム(D)に一方向ハッシュ関数である暗号関数(H)を適用することによって導出され、前記信頼コンピューティング基盤は、メッセージ・オリジネータ・プログラム(D)からの要求に応答して、前記ハッシュ関数を前記メッセージ・オリジネータ・プログラム(D)に適用し、そのハッシュ関数の結果が前記プログラム固有識別子(H(D))であり、前記プログラム固有識別子(H(D))が、前記メッセージ・レシーバ・プログラム(S)に既知であるかどうかを前記メッセージ・レシーバ・プログラム(S)側で検証可能である、方法。
  3. 第2のコンピュータ上で実行されるメッセージ・レシーバ・プログラム(S)を使用して第1のコンピュータ上で実行されるメッセージ・オリジネータ・プログラム(D)の同一性を検証する方法であって、
    前記1のコンピュータが、
    ・前記メッセージ・オリジネータ・プログラム(D)を使用して、信頼コンピューティング基盤(TCB)によって前記メッセージ・オリジネータ・プログラム(D)にプログラム固有識別子(H(D))を用意るステップであって、前記プログラム固有識別子(H(D))は、メッセージ・オリジネータ・プログラム(D)に一方向ハッシュ関数である暗号関数(H)を適用することによって導出され、前記信頼コンピューティング基盤は、メッセージ・オリジネータ・プログラム(D)からの要求に応答して、前記ハッシュ関数を前記メッセージ・オリジネータ・プログラム(D)に適用し、そのハッシュ関数の結果が前記プログラム固有識別子(H(D))である、前記用意るステップと
    ・前記メッセージ・オリジネータ・プログラム(D)を使用して、前記プログラム固有識別子(H(D))を含むメッセージを前記メッセージ・オリジネータ・プログラム(D)から前記メッセージ・レシーバ・プログラム(S)に送ステップと、
    前記2のコンピュータが、
    ・前記メッセージ・レシーバ・プログラム(S)を使用して、前記メッセージを受け取ステップと、
    ・前記メッセージ・レシーバ・プログラム(S)を使用して、前記受け取ったプログラム固有識別子(H(D))が前記メッセージ・レシーバ・プログラム(S)に既知であるかどうかを検証るステップと
    を含む方法。
  4. メッセージ・レシーバ・プログラム(S)が、その後、応答メッセージ・オリジネータ・プログラムになり、
    第2のコンピュータが、
    ・前記信頼コンピューティング基盤(TCB)によって前記応答メッセージ・オリジネータ・プログラムに用意されている応答プログラム固有識別子(H(S))と、
    ・前記プログラム固有識別子(H(D))が既知として検証されたかどうかの肯定応答と
    を含む応答メッセージを前記応答メッセージ・オリジネータ・プログラム(D)に送、請求項1ないし3のいずれか一項に記載の方法。
  5. 前記1のコンピュータが、
    秘密暗号鍵(k-1)の使用によって、プログラム固有識別子(H(D))またはメッセージもしくはその両方に署名るステップをさらに含む、請求項1ないし3のいずれか一項に記載の方法。
  6. 前記2のコンピュータが、
    秘密暗号鍵(k-1)の使用によって、プログラム固有識別子(H(D))またはメッセージもしくはその両方に署名るステップをさらに含む、請求項4に記載の方法。
  7. 前記メッセージが追加のプログラム固有識別子(H(G))をさらに含み、前記追加のプログラム固有識別子(H(G))が、秘密暗号鍵(k-1)の使用によって署名される、請求項6に記載の方法。
  8. 前記2のコンピュータが、
    前記メッセージ・レシーバ・プログラム(S)を使用して、公開暗号鍵(k)の使用る、請求項1ないし3のいずれか一項に記載の方法。
  9. 前記1のコンピュータが、
    信頼コンピューティング基盤(TCB)を使用して、事前に格納されたプログラム固有識別子を含むリストを使用
    前記2のコンピュータが、
    前記メッセージ・レシーバ・プログラム(S)を使用して、前記プログラム固有識別子(H(D))が前記事前に格納されたプログラム固有識別子の1つと同一であるかどうかを検証る、請求項1ないし3のいずれか一項に記載の方法。
  10. 前記2のコンピュータが、
    前記メッセージ・レシーバ・プログラム(S)を使用して、事前に格納されたプログラム固有識別子を含むリストを使用
    前記2のコンピュータが、
    前記メッセージ・レシーバ・プログラム(S)を使用して、前記プログラム固有識別子(H(D))が前記事前に格納されたプログラム固有識別子の1つと同一であるかどうかを検証る、請求項1ないし3のいずれか一項に記載の方法。
  11. 前記2のコンピュータが、
    前記メッセージ・レシーバ・プログラム(S)を使用して、前記プログラム固有識別子(H(D))が既知として検証されない場合に、拒否メッセージを送、請求項1ないし3のいずれか一項に記載の方法。
  12. 前記メッセージ・オリジネータ・プログラム(D)と前記メッセージ・レシーバ・プログラム(S)は、ネットワークを介して接続可能であり、前記第1のコンピュータ及び前記第2のコンピュータのそれぞれが信頼コンピューティング基盤(TCB)を有し及び前記信頼コンピューティング基盤を使用してプログラム固有暗号識別子を用意る、請求項1ないし3のいずれか一項に記載の方法。
  13. 前記一方向ハッシュ関数が、MD5、SHA−1、またはSnefruである請求項1ないし3のいずれか一項に記載の方法。
  14. 第2のコンピュータ上で実行されるメッセージ・レシーバ・プログラム(S)と第1のコンピュータ上で実行されるメッセージ・オリジネータ・プログラム(D)との同一性を検証する装置であって、
    ・メッセージ・レシーバ・プログラム(S)を格納した第2のコンピュータのメモリと、
    ・メッセージ・オリジネータ・プログラム(D)を格納した第1のコンピュータのメモリと、
    ・計算手段と、
    ・信頼コンピューティング基盤(TCB)によって前記メッセージ・オリジネータ・プログラム(D)に用意されているプログラム固有識別子(H(D))を含むメッセージを前記メッセージ・オリジネータ・プログラム(D)から受け取るレシーバ・モジュールであって、前記信頼コンピューティング基盤は、メッセージ・オリジネータ・プログラム(D)からの要求に応答して、前記ハッシュ関数を前記メッセージ・オリジネータ・プログラム(D)に適用し、そのハッシュ関数の結果が前記プログラム固有識別子(H(D))である、前記レシーバ・モジュールと、
    ・前記受け取ったプログラム固有識別子(H(D))が前記メッセージ・レシーバ・プログラム(S)に既知であるかどうかを検証するベリファイヤ・モジュールと
    を含み、前記プログラム固有識別子(H(D))は、メッセージ・オリジネータ・プログラム(D)に一方向ハッシュ関数である暗号関数(H)を適用することによって導出される、前記装置。
  15. 第2のコンピュータ上で実行されるメッセージ・レシーバ・プログラム(S)と第1のコンピュータ上で実行されるメッセージ・オリジネータ・プログラム(D)との同一性を開示する装置であって、
    ・メッセージ・レシーバ・プログラム(S)を格納した第2のコンピュータのメモリと、
    ・メッセージ・オリジネータ・プログラム(D)を格納した第1のコンピュータのメモリと、
    ・計算手段と、
    ・プログラム固有識別子(H(D))を作成するためのジェネレータ・モジュールを含む信頼コンピューティング基盤(TCB)であって、前記信頼コンピューティング基盤は、メッセージ・オリジネータ・プログラム(D)からの要求に応答して、前記ハッシュ関数を前記メッセージ・オリジネータ・プログラム(D)に適用し、そのハッシュ関数の結果が前記プログラム固有識別子(H(D))である、前記信頼コンピューティング基盤( TCB)と、
    ・前記プログラム固有識別子(H(D))を含むメッセージを前記メッセージ・オリジネータ・プログラム(D)から送る送信モジュールであって、前記送信されたプログラム固有識別子(H(D))が、前記メッセージ・レシーバ・プログラム(S)に既知であるかどうかを前記メッセージ・レシーバ・プログラム(S)側で検証可能である、前記送信モジュールと
    を含み、前記プログラム固有識別子(H(D))は、メッセージ・オリジネータ・プログラム(D)に一方向ハッシュ関数である暗号関数(H)を適用することによって導出される、前記装置。
  16. コンピュータ上で実行されるメッセージ・レシーバ・プログラム(S)使用して前記コンピュータ上で実行されるメッセージ・オリジネータ・プログラム(D)の同一性を検証する方法であって、
    前記コンピュータが、
    ・前記メッセージ・レシーバ・プログラム(S)を使用して、信頼コンピューティング基盤(TCB)によって前記メッセージ・オリジネータ・プログラム(D)に用意されているプログラム固有識別子(H(D))を含むメッセージを前記メッセージ・オリジネータ・プログラム(D)から受け取ステップであって、前記プログラム固有識別子(H(D))は、メッセージ・オリジネータ・プログラム(D)に一方向ハッシュ関数である暗号関数(H)を適用することによって導出され、前記信頼コンピューティング基盤は、メッセージ・オリジネータ・プログラム(D)からの要求に応答して、前記ハッシュ関数を前記メッセージ・オリジネータ・プログラム(D)に適用し、そのハッシュ関数の結果が前記プログラム固有識別子(H(D))である、前記受け取ステップと、
    ・前記メッセージ・レシーバ・プログラム(S)を使用して、前記受け取ったプログラム固有識別子(H(D))が前記メッセージ・レシーバ・プログラム(S)に既知であるかどうかを検証るステップと
    を含む、前記方法。
  17. コンピュータ上で実行されるメッセージ・オリジネータ・プログラム(D)の同一性を前記コンピュータ上で実行されるメッセージ・レシーバ・プログラム(S)に対して開示する方法であって、
    前記コンピュータが、
    ・信頼コンピューティング基盤(TCB)によって前記メッセージ・オリジネータ・プログラム(D)に用意されているプログラム固有識別子(H(D))を含むメッセージを前記メッセージ・オリジネータ・プログラム(D)から前記メッセージ・レシーバ・プログラム(S)に送ステップを含み、前記プログラム固有識別子(H(D))は、メッセージ・オリジネータ・プログラム(D)に一方向ハッシュ関数である暗号関数(H)を適用することによって導出され、前記信頼コンピューティング基盤は、メッセージ・オリジネータ・プログラム(D)からの要求に応答して、前記ハッシュ関数を前記メッセージ・オリジネータ・プログラム(D)に適用し、そのハッシュ関数の結果が前記プログラム固有識別子(H(D))であり、前記プログラム固有識別子(H(D))が、前記メッセージ・レシーバ・プログラム(S)に既知であるかどうかを前記メッセージ・レシーバ・プログラム(S)側で検証可能である、前記方法。
  18. コンピュータ上で実行されるメッセージ・レシーバ・プログラム(S)によって前記コンピュータ上で実行されるメッセージ・オリジネータ・プログラム(D)の同一性を検証する方法であって、
    前記コンピュータが、
    ・前記メッセージ・オリジネータ・プログラム(D)を使用して、信頼コンピューティング基盤(TCB)によって前記メッセージ・オリジネータ・プログラム(D)にプログラム固有識別子(H(D))を用意るステップであって、前記プログラム固有識別子(H(D))は、メッセージ・オリジネータ・プログラム(D)に一方向ハッシュ関数である暗号関数(H)を適用することによって導出され、前記信頼コンピューティング基盤は、メッセージ・オリジネータ・プログラム(D)からの要求に応答して、前記ハッシュ関数を前記メッセージ・オリジネータ・プログラム(D)に適用し、そのハッシュ関数の結果が前記プログラム固有識別子(H(D))であり、前記用意るステップと、
    ・前記メッセージ・オリジネータ・プログラム(D)を使用して、前記プログラム固有識別子(H(D))を含むメッセージを前記メッセージ・オリジネータ・プログラム(D)から前記メッセージ・レシーバ・プログラム(S)に送ステップと、
    ・前記メッセージ・レシーバ・プログラム(S)を使用して、前記メッセージを受け取ステップと、
    ・前記メッセージ・レシーバ・プログラム(S)を使用して、前記受け取ったプログラム固有識別子(H(D))が前記メッセージ・レシーバ・プログラム(S)に既知であるかどうかを検証るステップと
    を含む、前記方法。
  19. コンピュータ上で実行されるメッセージ・レシーバ・プログラム(S)と前記コンピュータ上で実行されるメッセージ・オリジネータ・プログラム(D)との同一性を検証する装置であって、
    ・メッセージ・レシーバ・プログラム(S)を格納した前記コンピュータのメモリと、
    ・メッセージ・オリジネータ・プログラム(D)を格納した前記コンピュータのメモリと、
    ・計算手段と、
    ・信頼コンピューティング基盤(TCB)によって前記メッセージ・オリジネータ・プログラム(D)に用意されているプログラム固有識別子(H(D))を含むメッセージを前記メッセージ・オリジネータ・プログラム(D)から受け取るレシーバ・モジュールであって、前記信頼コンピューティング基盤は、メッセージ・オリジネータ・プログラム(D)からの要求に応答して、前記ハッシュ関数を前記メッセージ・オリジネータ・プログラム(D)に適用し、そのハッシュ関数の結果が前記プログラム固有識別子(H(D))である、前記レシーバ・モジュールと、
    ・前記受け取ったプログラム固有識別子(H(D))が前記メッセージ・レシーバ・プログラム(S)に既知であるかどうかを検証するベリファイヤ・モジュールと
    を含み、前記プログラム固有識別子(H(D))は、メッセージ・オリジネータ・プログラム(D)に一方向ハッシュ関数である暗号関数(H)を適用することによって導出される、前記装置。
  20. コンピュータ上で実行されるメッセージ・レシーバ・プログラム(S)と前記コンピュータ上で実行されるメッセージ・オリジネータ・プログラム(D)との同一性を開示する装置であって、
    ・メッセージ・レシーバ・プログラム(S)を格納した前記コンピュータのメモリと、
    ・メッセージ・オリジネータ・プログラム(D)を格納した前記コンピュータのメモリと、
    ・計算手段と、
    ・プログラム固有識別子(H(D))を作成するためのジェネレータ・モジュールを含む信頼コンピューティング基盤(TCB)であって、前記信頼コンピューティング基盤は、メッセージ・オリジネータ・プログラム(D)からの要求に応答して、前記ハッシュ関数を前記メッセージ・オリジネータ・プログラム(D)に適用し、そのハッシュ関数の結果が前記プログラム固有識別子(H(D))である、前記信頼コンピューティング基盤(TCB)と、
    ・前記プログラム固有識別子(H(D))を含むメッセージを前記メッセージ・オリジネータ・プログラム(D)から送る送信モジュールであって、前記送信されたプログラム固有識別子(H(D))が、前記メッセージ・レシーバ・プログラム(S)に既知であるかどうかを前記メッセージ・レシーバ・プログラム(S)側で検証可能である、前記送信モジュールと
    を含み、前記プログラム固有識別子(H(D))は、メッセージ・オリジネータ・プログラム(D)に一方向ハッシュ関数である暗号関数(H)を適用することによって導出される、前記装置。
JP2001066298A 2000-03-15 2001-03-09 コンピュータ用のアクセス制御 Expired - Fee Related JP3731867B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP00105529 2000-03-15
EP00105529.2 2000-03-15

Publications (2)

Publication Number Publication Date
JP2001282375A JP2001282375A (ja) 2001-10-12
JP3731867B2 true JP3731867B2 (ja) 2006-01-05

Family

ID=8168110

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001066298A Expired - Fee Related JP3731867B2 (ja) 2000-03-15 2001-03-09 コンピュータ用のアクセス制御

Country Status (3)

Country Link
US (1) US7134018B2 (ja)
JP (1) JP3731867B2 (ja)
KR (1) KR100430147B1 (ja)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2826811B1 (fr) * 2001-06-27 2003-11-07 France Telecom Procede d'authentification cryptographique
US20030084436A1 (en) * 2001-10-30 2003-05-01 Joubert Berger System and method for installing applications in a trusted environment
US7487365B2 (en) 2002-04-17 2009-02-03 Microsoft Corporation Saving and retrieving data based on symmetric key encryption
US7890771B2 (en) 2002-04-17 2011-02-15 Microsoft Corporation Saving and retrieving data based on public key encryption
GB0226874D0 (en) * 2002-11-18 2002-12-24 Advanced Risc Mach Ltd Switching between secure and non-secure processing modes
CA2413690A1 (en) * 2002-12-06 2004-06-06 Ibm Canada Limited-Ibm Canada Limitee Zero knowledge document comparison between mutually distrustful parties
JP4729844B2 (ja) * 2003-10-16 2011-07-20 富士ゼロックス株式会社 サーバ装置、情報の提供方法、及びプログラム
JP4064914B2 (ja) 2003-12-02 2008-03-19 インターナショナル・ビジネス・マシーンズ・コーポレーション 情報処理装置、サーバ装置、情報処理装置のための方法、サーバ装置のための方法および装置実行可能なプログラム
US7711951B2 (en) * 2004-01-08 2010-05-04 International Business Machines Corporation Method and system for establishing a trust framework based on smart key devices
US7849326B2 (en) * 2004-01-08 2010-12-07 International Business Machines Corporation Method and system for protecting master secrets using smart key devices
US7565538B2 (en) * 2004-04-05 2009-07-21 Microsoft Corporation Flow token
US20060029000A1 (en) * 2004-05-14 2006-02-09 International Business Machines Corporation Connection establishment in a proxy server environment
US7788260B2 (en) 2004-06-14 2010-08-31 Facebook, Inc. Ranking search results based on the frequency of clicks on the search results by members of a social network who are within a predetermined degree of separation
US7484247B2 (en) 2004-08-07 2009-01-27 Allen F Rozman System and method for protecting a computer system from malicious software
US7409589B2 (en) * 2005-05-27 2008-08-05 International Business Machines Corporation Method and apparatus for reducing number of cycles required to checkpoint instructions in a multi-threaded processor
KR20100126478A (ko) * 2008-03-04 2010-12-01 애플 인크. 액세스 가능한 자격들에 기초하여 소프트웨어 코드의 실행을 인가하는 시스템 및 방법
US20100287104A1 (en) * 2009-05-06 2010-11-11 Luc Leroy Systems and Methods for Collaborative Innovation Management
WO2011047276A2 (en) * 2009-10-15 2011-04-21 Interdigital Patent Holdings, Inc. Registration and credential roll-out for accessing a subscription-based service
US8527989B2 (en) 2010-07-12 2013-09-03 International Business Machines Corporation Tracking loading and unloading of kernel extensions in isolated virtual space
US8397245B2 (en) 2010-07-12 2013-03-12 International Business Machines Corporation Managing loading and unloading of shared kernel extensions in isolated virtual space
US8448169B2 (en) * 2010-07-12 2013-05-21 International Business Machines Corporation Managing unique electronic identification for kernel extensions in isolated virtual space
WO2012077300A1 (ja) * 2010-12-08 2012-06-14 パナソニック株式会社 情報処理装置、及び、情報処理方法
DE102012222715B4 (de) * 2012-12-11 2020-06-04 Hyundai Motor Company Vorrichtung und Verfahren zum vorausschauenden Erkennen einer Fahrzeugkollision
US11387978B2 (en) * 2019-09-23 2022-07-12 Live Nation Entertainment, Inc. Systems and methods for securing access rights to resources using cryptography and the blockchain

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5349642A (en) * 1992-11-03 1994-09-20 Novell, Inc. Method and apparatus for authentication of client server communication
US5343527A (en) * 1993-10-27 1994-08-30 International Business Machines Corporation Hybrid encryption method and system for protecting reusable software components
US5841978A (en) * 1993-11-18 1998-11-24 Digimarc Corporation Network linking method using steganographically embedded data objects
EP1531379B9 (en) * 1995-02-13 2013-05-29 Intertrust Technologies Corporation Systems and methods for secure transaction management and electronic rights protection
US5657390A (en) * 1995-08-25 1997-08-12 Netscape Communications Corporation Secure socket layer application program apparatus and method
US5757915A (en) * 1995-08-25 1998-05-26 Intel Corporation Parameterized hash functions for access control
US5872844A (en) * 1996-11-18 1999-02-16 Microsoft Corporation System and method for detecting fraudulent expenditure of transferable electronic assets
US5922074A (en) 1997-02-28 1999-07-13 Xcert Software, Inc. Method of and apparatus for providing secure distributed directory services and public key infrastructure
JPH1124917A (ja) 1997-06-30 1999-01-29 I N S Eng Kk コピープロテクト方法及びコンピュータ装置のコピープロテクト方式
US6073122A (en) * 1997-08-15 2000-06-06 Lucent Technologies Inc. Cryptographic method and apparatus for restricting access to transmitted programming content using extended headers
US6263432B1 (en) * 1997-10-06 2001-07-17 Ncr Corporation Electronic ticketing, authentication and/or authorization security system for internet applications
US6023764A (en) * 1997-10-20 2000-02-08 International Business Machines Corporation Method and apparatus for providing security certificate management for Java Applets
JP2002505473A (ja) 1998-02-26 2002-02-19 サンマイクロシステムズ インコーポレーテッド 決定性ハッシュでリモートメソッドを識別する方法とシステム
US6735313B1 (en) * 1999-05-07 2004-05-11 Lucent Technologies Inc. Cryptographic method and apparatus for restricting access to transmitted programming content using hash functions and program identifiers
US6748538B1 (en) * 1999-11-03 2004-06-08 Intel Corporation Integrity scanner

Also Published As

Publication number Publication date
KR100430147B1 (ko) 2004-05-03
US7134018B2 (en) 2006-11-07
JP2001282375A (ja) 2001-10-12
US20020066016A1 (en) 2002-05-30
KR20010096572A (ko) 2001-11-07

Similar Documents

Publication Publication Date Title
JP3731867B2 (ja) コンピュータ用のアクセス制御
KR100868121B1 (ko) 런타임 패키지 서명에서 트러스트된, 하드웨어 기반의 신원증명을 사용하여 모바일 통신과 고액 거래 실행을 보안처리하기 위한 방법
KR102116235B1 (ko) 블록체인 네트워크를 이용하여 사용자의 아이덴티티를 관리하는 방법 및 서버, 그리고, 블록체인 네트워크 기반의 사용자 아이덴티티를 이용하여 사용자를 인증하는 방법 및 단말
US7165179B2 (en) Digital signature verification and program transmission
EP3073670B1 (en) A system and a method for personal identification and verification
US20210273931A1 (en) Decentralized authentication anchored by decentralized identifiers
EP0762289B1 (en) Method and system for securely controlling access to system resources in a distributed system
Claessens et al. (How) can mobile agents do secure electronic transactions on untrusted hosts? A survey of the security issues and the current solutions
Karnik et al. A security architecture for mobile agents in Ajanta
US20060015933A1 (en) Role-based authorization of network services using diversified security tokens
US7793097B2 (en) Extension of X.509 certificates to simultaneously support multiple cryptographic algorithms
JP2000148469A (ja) モジュラ―アプリケ―ション間のサ―ビスへのアクセス制御
US20040260949A1 (en) Chaining of services
US20230362018A1 (en) System and Method for Secure Internet Communications
US20040133783A1 (en) Method for non repudiation using cryptographic signatures in small devices
US20040123105A1 (en) Security object with CPU attributes
Sanyal et al. A multifactor secure authentication system for wireless payment
EP1227386A1 (en) Access control for computers
Kettula Security Comparison of Mobile OSes
Li et al. A capability-based distributed authorization system to enforce context-aware permission sequences
Anderson Java™ access control mechanisms
Toth et al. The persona concept: a consumer-centered identity model
Dos Santos et al. Safe areas of computation for secure computing with insecure applications
Paci et al. An overview of VeryIDX-A privacy-preserving digital identity management system for mobile devices.
Gnanasekar et al. Distributed cryptographic key management for mobile agent security

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040622

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040826

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20040826

RD12 Notification of acceptance of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7432

Effective date: 20040826

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20040826

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20050314

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050511

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20050511

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20050616

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050914

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20050914

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20050914

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20051007

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees