JP6715976B2 - 公開キー機構を用いたサービス層におけるエンドツーエンド認証 - Google Patents
公開キー機構を用いたサービス層におけるエンドツーエンド認証 Download PDFInfo
- Publication number
- JP6715976B2 JP6715976B2 JP2019037392A JP2019037392A JP6715976B2 JP 6715976 B2 JP6715976 B2 JP 6715976B2 JP 2019037392 A JP2019037392 A JP 2019037392A JP 2019037392 A JP2019037392 A JP 2019037392A JP 6715976 B2 JP6715976 B2 JP 6715976B2
- Authority
- JP
- Japan
- Prior art keywords
- entity
- message
- certificate
- authentication
- service layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2115—Third party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Bioethics (AREA)
- Medical Informatics (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
Description
本願は、米国仮特許出願第62/133,839号(2015年3月16日出願、名称「End−to−end Authentication at the Service Layer Using Public Keying Mechanisms」)の利益を主張し、上記出願の内容は、その全体が参照により本明細書に引用される。
例えば、本願は以下の項目を提供する。
(項目1)
プロセッサと、メモリと、通信回路とを備えている装置であって、前記装置は、その通信回路を介して通信ネットワークに接続され、前記装置は、前記装置の前記メモリ内に記憶されたコンピュータ実行可能命令をさらに備え、前記命令は、前記装置の前記プロセッサによって実行されると、
a.メッセージ発信側からメッセージのマルチホップ伝送を受信することであって、前記伝送は、第1の中間エンティティを介して受信され、前記マルチホップ伝送は、前記メッセージ発信側によって生成された前記メッセージのデジタル署名を備えている、ことと、
b.前記メッセージ発信側の公開キーおよび前記メッセージ発信側によって生成された前記メッセージの前記デジタル署名を使用して、前記メッセージ発信側を認証することと
を前記装置に行わせる、装置。
(項目2)
前記コンピュータ実行可能命令は、信頼される第三者から前記メッセージ発信側の前記公開キーを取得することを前記装置にさらに行わせる、項目1に記載の装置。
(項目3)
前記マルチホップ伝送は、前記メッセージ発信側とは別個のソースエンティティからであり、マルチホップ伝送は、前記ソースエンティティによって生成されたデジタル署名を含まない、項目1に記載の装置。
(項目4)
前記マルチホップ伝送は、前記第1の中間エンティティによって生成されたデジタル署名をさらに備え、前記コンピュータ実行可能命令は、前記第1の中間エンティティの公開キーおよび前記第1の中間エンティティによって生成された前記署名を使用して、前記第1の中間エンティティを認証することを前記装置にさらに行わせる、項目1に記載の装置。
(項目5)
前記伝送は、複数の中間エンティティの各々によって生成されたデジタル署名をさらに備え、前記コンピュータ実行可能命令は、前記公開キーおよび前記複数の中間エンティティの各々によって生成された前記デジタル署名を使用して、前記複数の中間エンティティの各々を認証することを前記装置にさらに行わせる、項目1に記載の装置。
(項目6)
前記コンピュータ実行可能命令は、前記メッセージ発信側の前記認証に基づいて、前記マルチホップ伝送を宛先エンティティに転送すべきかどうかを決定することを前記装置にさらに行わせる、項目1に記載の装置。
(項目7)
前記コンピュータ実行可能命令は、
a.前記宛先エンティティの公開キーを使用して、前記宛先エンティティを認証することと、
b.前記宛先エンティティの前記認証に基づいて、前記第1のマルチホップ伝送を宛先エンティティに転送すべきかどうかを決定することと
を前記装置にさらに行わせる、項目6に記載の装置。
(項目8)
前記マルチホップ伝送は、ホップ毎の証明書を備え、前記コンピュータ実行可能命令は、前記ホップ毎の証明書を調査することを前記装置にさらに行わせる、項目1に記載の装置。
(項目9)
方法であって、前記方法は、
a.第1の中間エンティティを介して、メッセージ発信側からマルチホップ伝送を受信することであって、前記マルチホップ伝送は、前記メッセージ発信側によって生成されたデジタル署名を備えている、ことと、
b.前記メッセージ発信側の公開キーおよび前記メッセージ発信側によって生成された前記デジタル署名を使用して、前記メッセージ発信側を認証することと
を含む、方法。
(項目10)
信頼される第三者から前記メッセージ発信側の前記公開キーを取得することをさらに含む、項目9に記載の方法。
(項目11)
前記マルチホップ伝送は、前記メッセージ発信側とは別個のソースエンティティからであり、マルチホップ伝送は、前記ソースエンティティのデジタル署名を含まない、項目9に記載の方法。
(項目12)
前記マルチホップ伝送は、前記第1の中間エンティティによって生成された前記メッセージのデジタル署名をさらに備え、前記方法は、前記第1の中間エンティティの公開キーおよび前記第1の中間エンティティによって生成された前記メッセージの前記デジタル署名を使用して、前記第1の中間エンティティを認証することをさらに含む、項目9に記載の方法。
(項目13)
前記伝送は、複数の中間エンティティの各々によって生成されたデジタル署名を含む複数のメッセージをさらに備え、前記方法は、前記公開キーおよび前記複数の中間エンティティの各々によって生成された前記デジタル署名を使用して、前記複数の中間エンティティを認証することをさらに含む、項目9に記載の方法。
(項目14)
前記メッセージ発信側の前記認証に基づいて、前記メッセージ発信側によって生成された前記デジタル署名を検証することを介して、前記マルチホップ伝送を宛先エンティティに転送すべきかどうかを決定することをさらに含む、項目9に記載の方法。
(項目15)
a.前記メッセージ発信側によって生成された前記デジタル署名および前記宛先エンティティの公開キーを使用して、前記宛先エンティティを認証することと、
b.前記宛先エンティティの前記認証に基づいて、前記第1のマルチホップ伝送を宛先エンティティに転送すべきかどうかを決定することと
をさらに含む、項目14に記載の方法。
(項目16)
前記マルチホップ伝送は、ホップ毎の証明書を備え、前記方法は、前記ホップ毎の証明書を調査することをさらに含む、項目9に記載の方法。
(項目17)
プロセッサと、メモリと、通信回路とを備えている装置であって、前記装置は、その通信回路を介して通信ネットワークに接続され、前記装置は、前記装置の前記メモリ内に記憶されたコンピュータ実行可能命令をさらに備え、前記命令は、前記装置の前記プロセッサによって実行されると、
a.第1の組のセキュリティ処理能力パラメータを登録し、記憶することであって、前記第1の組のセキュリティ処理能力パラメータは、第1のネットワークエンティティに対応し、前記第1のエンティティは、前記装置とは別個である、ことと、
b.要求に応じて、前記第1の組のセキュリティ処理能力パラメータを第2のネットワークエンティティに提供することであって、前記第1のエンティティは、前記装置とは別個である、ことと
を前記装置に行わせる、装置。
(項目18)
前記第1の組のセキュリティ処理能力パラメータは、利用可能なプロセッサ能力、利用可能な電力、利用可能なメモリ、利用可能な無線帯域幅、メッセージ完全性機構、認証機構、否認防止機構、機密保持機構、またはサポートされるセキュリティプロトコルを備えている、項目17に記載の装置。
(項目19)
前記セキュリティパラメータは、セキュリティ証明書を備えている、項目17に記載の装置。
(項目20)
前記コンピュータ実行可能命令は、エンドツーエンド認証のみが要求されることを前記第2のエンティティに通知することを前記装置にさらに行わせる、項目17に記載の装置。
典型的通信セッションは、典型的には、2つ以上の通信エンティティ(例えば、デバイス、アプリケーション等)間の情報の持続的双方向交換を伴う。しかしながら、現在のRESTfulアプローチの場合、実際の持続的接続はなく、オンデマンド要求/応答メッセージがある。通信セッションは、ある時点で確立され、種々の状況に基づいて、後の時点で解除される(例えば、セッションがタイムアウトした後、またはエンティティのうちの1つがセッションを終了させることを決定するとき)。通信セッションは、典型的には、エンティティ間での複数のメッセージの交換を伴い、典型的には、ステートフルであり、それは、通信エンティティのうちの少なくとも1つが、通信セッションを維持することができるためにセッション履歴についての情報(例えば、証明書、識別子等のセキュリティコンテキスト)を保存する必要があることを意味する。通信セッションは、ネットワークプロトコルスタック内の種々の層においてプロトコルおよびサービスの一部として実装され得る。例として、図1は、トランスポートプロトコル層、アプリケーションプロトコル層、アプリケーションサービス層におけるネットワークノード間、およびアプリケーション間で確立された通信セッションを示す。
M2Mサービス層は、具体的には、M2Mタイプデバイスおよびアプリケーションのための付加価値サービスを提供することを標的にした、1つのタイプのアプリケーションサービス層の例である。例えば、M2Mサービス層は、サービス層によってサポートされるM2M中心能力の集合へのアクセスをアプリケーションおよびデバイスに提供するアプリケーションプログラミングインターフェース(API)をサポートすることができる。いくつかの例は、セキュリティ、課金、データ管理、デバイス管理、発見、プロビジョニング、および接続性管理を含む。図1は、oneM2M仕様によって規定される共通サービス機能(CSF)を描写する。
M2Mサービス層セッションは、M2Mサービス層インスタンスとM2MアプリケーションまたはM2Mサービス層インスタンスのいずれかとの間で確立される通信セッションである。
現在、oneM2Mエンドポイントがセキュアな様式で互いに通信するとき、ノードおよび中間ノードは、ホップ毎の様式で互いにセキュリティアソシエーションを確立する。各ホップ(AE<−>CSEまたはCSE<−>CSE)は、互いから独立した別個のセキュリティアソシエーションを有する。ホップ毎のセキュリティアソシエーションは、対称キーを用いて、認証書を使用して、または、ブートストラッピングプロセス(直接プロセスによって、またはインフラストラクチャを用いて行われ得る)によって、確立され得る。oneM2M−TS−0003 Security Solutions−V−1.0.1は、「サービス層レベルで、セキュリティアソシエーション確立は、隣接するAE/CSEの間で、すなわち、ホップ毎に交換されているメッセージを保護する、TLSまたはDTLSセッションをもたらす」ことも記述している。
認証側:アプリケーション、サービス、リソース、またはネットワークへのアクセスが、別のエンティティに提供され得るように、その別のエンティティを認証するために認証プロシージャを行うエンティティ。
サービスプロバイダは、顧客のための遠隔防火等のサービスを提供するために、サービス層機能を使用して、センサ、アプリケーションエンティティ、およびアクチュエータを利用する。種々の使用事例(強盗検出、監視工業システム、および整流等)があり、遠隔M2Mシステムが、検出、アクション、ならびに軽減の両方に使用され得、我々がここで説明しているものと類似するセキュリティ要件を有し得る。例示的シナリオが、図4で描写されている。センサ1−4は、中間ノードを介してアプリケーションにトランスポートされ得るセンサデータを、サービス層メッセージングを介して提供する。次に、センサデータに基づくアプリケーションは、あるアクションを行うようにアクチュエータをトリガし得る。
このプロセス中、SEFは、エンティティによって提供または要求されるサービスおよびリソースに適するであろう適切なセキュリティ要件および特徴を決定する。セキュリティ要件および特徴は、ある推測プロセスを使用して決定され得るか、エンティティによって明示的に提供され得るか、またはシステムを設定し得る管理者によって構成され得る。エンティティは、認証側または被認証側であり得、役割に基づいて、適切なセキュリティ特徴が決定され得る。セキュリティ要件についての推測は、デバイスタイプ/能力および提供されるサービス/リソースのタイプ等のエンティティによって提供される情報を使用して決定され得る。デバイスタイプ/能力は、処理能力、メモリ、電力消費量、および/または使用されている無線技術(例えば、帯域幅制限)を含み得る。提供されるサービス/リソースのタイプは、セキュリティ要件およびセキュリティ等級に関連し、データの完全性(例えば、高)、メッセージ発信側認証(例えば、高)、否認防止(例えば、高)、および/または機密保持(例えば、低)を含み得る。エンティティは、セキュリティ要件および等級、ならびにデバイス能力およびサービスのタイプをセキュアな様式でSEFに提供し得る。
公開キーベースの認証機構は、より高い計算コストを招き得、したがって、より低い計算リソース(メモリ、処理)を有するあるデバイスのために好適ではないこともある。そのような状況では、認証または認証の検証は、信頼されるエンティティ(例えば、DE)に委託され得る。
SCRPプロセスは、エンティティによって、またはエンティティの代わりにSEFによって開始されるセキュリティ証明書請求プロセスを伴い得る。エンティティによって提供または要求される能力および/またはサービスのタイプに基づいて、適切なセキュリティ証明書、および加えて、他の構成パラメータが、好ましくは信頼される第三者上でホストされる証明書レジストリ(CR)から要求される。エンティティとCRとの間の認証は、SCRP要求が処理される前に実施されることが大いに推奨されるが、エンティティがいかなる証明書も有していないある場合、かつエンティティおよびCRが同一の信頼されるドメイン内に属する場合、認証は、随意であり得る。代替として、CR機能性は、SEF上でホストされ得るが、しかしながら、拡張可能性の観点から、CR機能性は、TTP等の異なるエンティティによって果たされ得る。CRは、公開キー証明書を生成し得、証明書が使用され得る方法のスコープ、使用される推奨アルゴリズム等を提供する。そして、CRは、直接、または随意に、SEFを介して、生成された証明書をエンティティに転送する。CRによって生成される証明書は、例えば、公開キー認証書(例えば、X.509認証書)または未加工公開キー(認証書を伴わない)であり得る。
このステップでは、別のエンティティ(例えば、エンティティAまたはエンティティB)のエンドツーエンド認証を行うことを要求されるエンティティNは、E2E認証が実施され得るように、認証書または公開キーイング材料、キーに関連付けられるスコープ、メッセージ認証を実証するために使用され得るパラメータ(例えば、デジタル署名)、および他の情報を要求し得る。要求するエンティティNは、CRと互いに認証され得、エンティティNの承認は、随意に、エンティティAの公開キー証明書(認証書または未加工公開キー)がエンティティNに公表される前に行われ得る。ある場合において、エンティティNの認証は、証明書が公開証明書であるので省略される。CRによるエンティティNの認証に加えて、CRは、エンティティNがエンティティAに関連付けられる証明書を取得する権限を与えられているかどうかを検証するためにチェックし得る。エンティティNが正常に認証され、権限を与えられていると見なされた場合、エンティティNは、エンティティAの証明書、コンテキストID/URI、ポート番号、関連付けられるキー、スコープ、および関連付けられるパラメータをプロビジョニングされる。
E2E認証プロセスは、直接E2E様式で、または委託もしくは部分的委託(ハイブリッド)様式で行われ得る。E2E認証は、相互E2E認証を伴うことも、伴わないこともあり、E2E様式で一方向認証のみを伴うこともある。多くの場合、E2E認証は、別のエンティティを認証するエンティティN(認証側)、エンティティA(被認証側)のみを伴い得、その逆は同様ではない。使用事例およびSESCプロセスに応じて、E2E相互認証が要求され得ることが決定され得る。本書で説明される機構は、相互E2E認証ならびに一方向E2E認証の両方を行うために使用されることができる。そのような場合において、エンティティAは、被認証側ならびに認証側の両方として挙動する。同様に、エンティティNは、被認証側ならびに認証側の役割を果たす。そのようなシナリオでは、エンティティNは、SESCおよびSCRPプロセスを事前に行った場合があり、エンティティAは、TPCRプロセスを行ったことが仮定される。E2E認証の概念を解説するために、本書では、類似プロセスが相互認証を行うために実施され得るため、一方向認証のみが詳細に説明され、そのような場合において、SESC、SCRP、TPCRプロセスを行うことにおけるエンティティAおよびエンティティNの役割は、逆転させられる。本書の他の部分に対して、E2E認証という用語は、メッセージの発信側の一方向または相互認証のいずれか、および/またはメッセージの実際の意図の認証もしくはメッセージ全体の認証を意味するであろう。
ここで説明される実施形態は、主にoneM2Mアーキテクチャに焦点を当てている。以前に説明された一般的機能(例えば、SEF、CR)は、「セキュリティ」CSFの一部としてoneM2Mアーキテクチャに組み込まれ得、図14で描写されている。
SESC機能は、共通サービスエンティティ(CSE)上でホストされ得る。SESCは、oneM2M登録プロセスに先立って、アプリケーションエンティティとCSEとの間で実施され得る。SESC機能は、随意に、サービスプロバイダドメイン内に常駐するエンティティ上でホストされ得、その場合、AEは、M2Mサービスプロバイダ(SP)ネットワーク上でホストされるエンティティとSESCプロセスを行う。SESCプロセスは、TTP、例えば、信頼イネーブラ機能(TEF)、M2M登録機能(MEF)、またはM2M認証機能(MAF)によって実施され得る。通常のoneM2M登録プロセスの結果として、ホップ毎のセキュリティのための適切な証明書が、AEおよびCSEにプロビジョニングされ得る。SESCプロセスの一部として、適切な証明書、スコープ、およびパラメータの識別が実施される。レジストラCSEがSESC機能も果たしている場合、E2E証明書プロビジョニングおよび登録プロセスも、SESCプロセス中に実施され得る。
SCRPプロセスは、主にエンドツーエンド認証のための公開キー証明書の請求および/または登録に集中されている。ここで説明されるSCRPプロセスは、主にAEのE2E証明書に対して焦点を当てる。しかしながら、類似プロセスが、TTPまたはCSEのRCSEとSCRPを行うCSEのために、SCRPを行うために使用され得る。
証明書は、暗示的様式で、または明示的に配布もしくはプロビジョニングされ得る。証明書は、リソースを伴う読み出しプロセスの結果として、暗示的に配布され得、証明書は、リソースの属性である。明示的プロセスでは、証明書は、RCSEにおいてホストされるリソースの属性として利用可能ではないこともあるが、証明書は、(サービスプロバイダの一部であり得る)別のTTPサーバ上でホストされ得、それを取得することを希望するAEは、証明書の明示的要求を行う必要があろう。
E2E認証プロセスは、直接モードで、または委託モードを介して、行われ得る。直接モードでは、メッセージのソースおよびシンクであり得る、2つのエンドエンティティは、それら自身でE2E認証を行ない得る。エンティティのいずれかへのリソース制約は、ある公開キー動作が、よりリソースが豊富なエンティティ上で行われることを要求し得る。よって、スプリンクラシステムを制御するアクチュエータの場合、E2E認証は、アクチュエータ(AE)自体の上で認証を行う代わりに、アクチュエータが実際に登録されているRCSE等のエンティティによって行われ得る。したがって、第三者証明書請求は、AEではなくRCSEによって行われる必要があろう。メッセージが委託モードまたは直接モードを使用して認証され得ることを示す、リソースに関連付けられる属性が、RCSEにおいて示され得る。
本節は、oneM2M仕様に基づく詳細な実施形態を説明し、関連付けられる説明図が、図27で描写されている。HbHセキュリティ保護(例えば、(D)TLS)が、2つの通信エンティティの間で使用されることがデフォルトで仮定される。AEと別のAEとの間のホップの数が複数であり得、したがって、複数のMN−CSE/IN−CSEを用いて、複数の信頼されるドメインをホップし得る場合もある。委託モードならびに非委託E2Eモードの実施形態のメッセージング詳細:
ステップ1では、AE1は、RCSE1においてリソースを作成することを要求する。適切なチェックに基づいて、RCSE1は、RCSE1に関連付けられるリソースを登録し,
ホストする。
fr=AE2−ID;
to=RCSE1−ID;
res−id=resource−ID1;
op=“Subscription”;
sessionid=RandomValue1(随意に、時間成分も)
他のパラメータも、メッセージメタデータの一部として含まれ得る。中間ホップがメッセージを修正しないいくつかの場合において、メッセージメタデータは、完全に回避され得るか、またはパラメータもしくはヘッダ情報の一部のみが含まれ得るか、または、メッセージ全体が、DSの作成で使用される。例示的DS作成プロセスでは:
M1=(AE1−ID||RCES1−ID||resource−ID1||“Subscription”||RandomValue1);
Hash_Meta_Data(H1)=Hash_Algorithm(M1);および
DS1=Public_Key_Encryption_Algorithm(H1,AE1−PrivateKey)
である。
Decrypted_H1(D−H1)=Public_Key_Encrytion_Algorithm(DS,AE1−PublicKey)および
Computed_Hash_Meta_Data(C−H1)=Hash_Algorithm(M1)
D−H1==C−H1である場合、メッセージ発信側およびメッセージが認証される。
fr=RCSE1−ID;
to=AE2−ID;
res−id=resource−ID1;
op=“Notification”;
sessionid=RandomValue2;
M2=(RCES1−ID||AE1−ID||resource−ID1||“Notification”||RandomValue2);
Hash_Meta_Data(H2)=Hash_Algorithm(M2);および
DS2=Public_Key_Encryption_Algorithm(H2,RCSE1−PrivateKey)
メッセージ全体がDS2の作成に使用される場合において、Hash_Meta_Data、すなわち、H2が、メッセージ全体のハッシュと置換される。
fr=AE1−ID;
to=RCSE1−ID;
res−id=resource−ID1;
op=“Update”;
sessionid=RandomValue2;
M2=(AE1−ID||RCSE1−ID||resource−ID1||“Update”||RandomValue2);
Hash_Meta_Data(H2)=Hash_Algorithm(M2);
DS2=Public_Key_Encryption_Algorithm(H2,RCSE1−PrivateKey);
AE1は、M2および対応するDS2とともに、更新メッセージをRCSE1に送信する。メッセージ全体が、DS2を生成するために使用される場合において、M2、H2の計算が省略され、メッセージ全体がH2の代わりにDS2の生成に使用される。
Claims (8)
- プロセッサとメモリと通信回路とを備えた装置であって、前記装置は、前記通信回路を介して通信ネットワークに接続されており、サービス層におけるエンドツーエンド認証を実現するサービス有効化機能をホストし、前記装置は、前記装置の前記メモリ内に記憶されたコンピュータ実行可能な命令をさらに備え、前記命令は、前記装置の前記プロセッサによって実行されると、
メッセージ発信サービス層エンティティによって提供されたサービスを前記サービス有効化機能に登録するための要求を前記メッセージ発信サービス層エンティティから受信することであって、前記要求は、サービス層のメッセージとして定義されることと、
前記要求によって示されたサービスのタイプに基づいて、前記サービス層におけるエンドツーエンド認証のための一組のセキュリティ特徴を決定することと、
前記一組のセキュリティ特徴を前記サービス有効化機能に登録することと
を前記装置に行わせる、装置。 - 前記一組のセキュリティ特徴を決定することは、前記メッセージ発信サービス層エンティティの1つ以上のデバイス能力を評価することを含む、請求項1に記載の装置。
- 前記メッセージ発信サービス層エンティティの前記1つ以上のデバイス能力は、バッテリリソース、メモリリソース、プロセッサリソースのうちの1つ以上を含む、請求項2に記載の装置。
- 前記コンピュータ実行可能な命令は、前記メッセージ発信サービス層エンティティによって提供された前記サービスに対する提案されたセキュリティ属性を前記メッセージ発信サービス層エンティティとネゴシエートすることを前記装置にさらに行わせる、請求項1に記載の装置。
- 前記コンピュータ実行可能な命令は、前記メッセージ発信サービス層エンティティの公開キーを前記サービス有効化機能に登録することを前記装置にさらに行わせる、請求項1に記載の装置。
- 前記コンピュータ実行可能な命令は、信頼される他のサービス層エンティティから前記メッセージ発信サービス層エンティティの前記公開キーを取得することを前記装置にさらに行わせる、請求項5に記載の装置。
- 前記コンピュータ実行可能な命令は、
マルチホップ伝送の受領サービス層エンティティから、証明書請求を受信することと、
アクセス制御ポリシに従って前記証明書請求を評価することと、
前記アクセス制御ポリシが、登録されたサービスのタイプに対する前記マルチホップ伝送の受領サービス層エンティティによるアクセスを可能にする場合に、前記メッセージ発信サービス層エンティティの前記公開キーを含む前記証明書請求に対する応答を前記マルチホップ伝送の受領サービス層エンティティに提供することと、
を前記装置にさらに行わせる、請求項5に記載の装置。 - 前記アクセス制御ポリシは、アクセス制御リスト、属性ベースのアクセス制御、役割ベースのアクセス制御、または、動的承認機構を含む、請求項7に記載の装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562133839P | 2015-03-16 | 2015-03-16 | |
| US62/133,839 | 2015-03-16 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017549033A Division JP2018518854A (ja) | 2015-03-16 | 2016-03-16 | 公開キー機構を用いたサービス層におけるエンドツーエンド認証 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019088026A JP2019088026A (ja) | 2019-06-06 |
| JP6715976B2 true JP6715976B2 (ja) | 2020-07-01 |
Family
ID=55637491
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017549033A Withdrawn JP2018518854A (ja) | 2015-03-16 | 2016-03-16 | 公開キー機構を用いたサービス層におけるエンドツーエンド認証 |
| JP2019037392A Expired - Fee Related JP6715976B2 (ja) | 2015-03-16 | 2019-03-01 | 公開キー機構を用いたサービス層におけるエンドツーエンド認証 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017549033A Withdrawn JP2018518854A (ja) | 2015-03-16 | 2016-03-16 | 公開キー機構を用いたサービス層におけるエンドツーエンド認証 |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US10110595B2 (ja) |
| EP (1) | EP3272094B1 (ja) |
| JP (2) | JP2018518854A (ja) |
| KR (1) | KR102001753B1 (ja) |
| CN (1) | CN107534658B (ja) |
| WO (1) | WO2016149355A1 (ja) |
Families Citing this family (57)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10200353B2 (en) | 2013-07-25 | 2019-02-05 | Convida Wireless, Llc | End-to-end M2M service layer sessions |
| CN107005569B (zh) | 2014-10-31 | 2021-09-07 | 康维达无线有限责任公司 | 端对端服务层认证 |
| JP2018518854A (ja) | 2015-03-16 | 2018-07-12 | コンヴィーダ ワイヤレス, エルエルシー | 公開キー機構を用いたサービス層におけるエンドツーエンド認証 |
| US10956880B2 (en) * | 2015-07-01 | 2021-03-23 | Paypal, Inc. | Mixed deployment architecture for distributed services |
| US20180241738A1 (en) * | 2015-11-09 | 2018-08-23 | Observepoint, Inc. | Using a proxy server to intercept and analyze content |
| US10708781B2 (en) * | 2016-01-27 | 2020-07-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for setting up a secure connection between LWM2M devices |
| EP3455985B1 (en) | 2016-05-11 | 2022-03-09 | Convida Wireless, LLC | New radio downlink control channel |
| US11044311B2 (en) * | 2016-05-18 | 2021-06-22 | Veniam, Inc. | Systems and methods for managing the scheduling and prioritizing of data in a network of moving things |
| JP2019518392A (ja) | 2016-06-15 | 2019-06-27 | コンヴィーダ ワイヤレス, エルエルシー | 新しい無線のための許可不要アップリンク伝送 |
| WO2017218849A1 (en) | 2016-06-15 | 2017-12-21 | Convida Wireless, Llc | Network slice discovery and selection |
| EP3482566B1 (en) | 2016-07-08 | 2024-02-28 | InterDigital Madison Patent Holdings, SAS | Systems and methods for region-of-interest tone remapping |
| US10840982B2 (en) | 2016-08-11 | 2020-11-17 | Convidia Wireless, LLC | Beamforming sweeping and training in a flexible frame structure for new radio |
| US10887420B2 (en) * | 2016-10-06 | 2021-01-05 | Convida Wireless, Llc | Profile based content and services |
| CN109891772B (zh) | 2016-11-03 | 2022-10-04 | 康维达无线有限责任公司 | Nr中的帧结构 |
| US10374809B1 (en) * | 2016-12-13 | 2019-08-06 | Amazon Technologies, Inc. | Digital signature verification for asynchronous responses |
| EP3572964A1 (en) * | 2017-01-17 | 2019-11-27 | Sony Corporation | Information processing device and method, and program |
| CN106850611B (zh) * | 2017-01-25 | 2020-04-10 | 辽宁中科信科技有限公司 | 一种跨系统物联网安全通讯技术服务平台方法 |
| US10624020B2 (en) * | 2017-02-06 | 2020-04-14 | Qualcomm Incorporated | Non-access stratum transport for non-mobility management messages |
| WO2018152437A1 (en) | 2017-02-17 | 2018-08-23 | Vid Scale, Inc. | Systems and methods for selective object-of-interest zooming in streaming video |
| CN109309654B (zh) * | 2017-07-28 | 2022-01-21 | 京东方科技集团股份有限公司 | 创建资源的方法及相应的注册方法、服务器和客户端装置 |
| KR102646526B1 (ko) * | 2017-09-08 | 2024-03-13 | 콘비다 와이어리스, 엘엘씨 | 기기간 통신 네트워크에서의 자동화된 서비스 등록 |
| WO2019061514A1 (zh) * | 2017-09-30 | 2019-04-04 | 深圳大学 | 安全的无线通信物理层斜率认证方法和装置 |
| US11095502B2 (en) * | 2017-11-03 | 2021-08-17 | Otis Elevator Company | Adhoc protocol for commissioning connected devices in the field |
| CN108040042B (zh) * | 2017-12-05 | 2020-07-03 | 重庆邮电大学 | 一种针对多播情况下CoAP协议的安全方法 |
| CN110035036B (zh) * | 2018-01-12 | 2021-01-15 | 中国移动通信有限公司研究院 | 数据传输方法、装置、网络设备及存储介质 |
| US12614158B2 (en) * | 2018-02-27 | 2026-04-28 | Anchor Labs, Inc. | Digital asset custodial system |
| WO2019172959A1 (en) * | 2018-03-07 | 2019-09-12 | Intel Corporation | Credential dependency encoding in restful system based on resources |
| US10700867B2 (en) * | 2018-03-09 | 2020-06-30 | Bank Of America Corporation | Internet of things (“IoT”) multi-layered embedded handshake |
| GB2574182A (en) * | 2018-03-26 | 2019-12-04 | Ssh Communications Security Oyj | Authentication in a computer network system |
| US10999272B2 (en) * | 2018-03-30 | 2021-05-04 | Lendingclub Corporation | Authenticating and authorizing users with JWT and tokenization |
| CN112189221B (zh) | 2018-04-24 | 2023-05-26 | 品谱股份有限公司 | 对服务器的电子锁认证的证书供应 |
| JP7185978B2 (ja) * | 2018-07-03 | 2022-12-08 | 株式会社ソラコム | 認証情報の設定を仲介するための装置及び方法 |
| CN112753265B (zh) | 2018-09-27 | 2025-02-11 | 交互数字专利控股公司 | 新无线电的未经许可的频谱中的子频带操作 |
| US11822637B2 (en) * | 2018-10-18 | 2023-11-21 | Oracle International Corporation | Adaptive authentication in spreadsheet interface integrated with web service |
| EP3892021A1 (en) | 2018-12-06 | 2021-10-13 | Convida Wireless, Llc | Security lifecycle management of devices in a communications network |
| CN109379387B (zh) * | 2018-12-14 | 2020-12-22 | 成都三零嘉微电子有限公司 | 一种物联网设备间的安全认证和数据通信系统 |
| GB2582738B (en) * | 2019-02-01 | 2021-07-07 | Arm Ip Ltd | Electronic device registration mechanism |
| CN110311949B (zh) * | 2019-05-20 | 2023-05-30 | 军事科学院系统工程研究院网络信息研究所 | 一种跨云管理平台的资源管理方法 |
| SG11202003757TA (en) * | 2019-07-02 | 2020-05-28 | Advanced New Technologies Co Ltd | System and method for issuing verifiable claims |
| WO2021087494A1 (en) * | 2019-11-03 | 2021-05-06 | Valimail Inc. | Centralized secure distribution of messages and device updates |
| KR102365563B1 (ko) * | 2020-04-29 | 2022-02-22 | (주)케이사인 | 대규모 IoT 기기의 네트워크 연결 방법 |
| US11521479B2 (en) * | 2020-05-08 | 2022-12-06 | Qualcomm Incorporated | Fire warning system and devices |
| CN111948990A (zh) * | 2020-07-20 | 2020-11-17 | 四川虹美智能科技有限公司 | 智能家电控制方法、装置和系统 |
| CN112069511B (zh) * | 2020-07-28 | 2023-09-05 | 宁波吉利汽车研究开发有限公司 | 数据保护方法、装置、电子控制单元、设备及存储介质 |
| US11785456B2 (en) * | 2020-08-18 | 2023-10-10 | Cisco Technology, Inc. | Delivering standalone non-public network (SNPN) credentials from an enterprise authentication server to a user equipment over extensible authentication protocol (EAP) |
| US11165748B1 (en) * | 2020-10-13 | 2021-11-02 | Cisco Technology, Inc. | Network security from host and network impersonation |
| US20220166762A1 (en) * | 2020-11-25 | 2022-05-26 | Microsoft Technology Licensing, Llc | Integrated circuit for obtaining enhanced privileges for a network-based resource and performing actions in accordance therewith |
| US11973751B2 (en) * | 2020-12-28 | 2024-04-30 | Keyfactor, Inc. | Remote certificate authority management |
| EP4367836A1 (en) * | 2021-07-09 | 2024-05-15 | Assa Abloy AB | Systems and methods for dynamic, power-efficiency-based cryptographic protocol negotiation with internet of things (iot) devices |
| CN113746816B (zh) * | 2021-08-18 | 2024-02-09 | 深圳Tcl新技术有限公司 | 一种数据处理方法、装置、终端及存储介质 |
| US12278807B2 (en) * | 2021-09-30 | 2025-04-15 | Fortinet, Inc. | Proxy SSH public key authentication in cloud environment |
| CN116668507A (zh) * | 2022-02-21 | 2023-08-29 | 腾讯科技(深圳)有限公司 | 网络连接方法、装置、设备及存储介质 |
| EP4250150A1 (de) * | 2022-03-23 | 2023-09-27 | Siemens Aktiengesellschaft | Verfahren und vorrichtung zum betreiben eines automatisierungssystems |
| WO2023233946A1 (ja) * | 2022-05-31 | 2023-12-07 | ソニーグループ株式会社 | 情報処理方法及び情報処理装置 |
| US12368758B2 (en) * | 2022-07-13 | 2025-07-22 | Rakuten Mobile, Inc. | Context-based cryptography selection |
| EP4659109A1 (en) * | 2023-01-31 | 2025-12-10 | Hycu, Inc. | Enabling service data protection through discovery, r-graph propagation andapi model |
| CN119561998B (zh) * | 2024-11-06 | 2025-10-10 | 新华三技术有限公司 | 通信方法及装置 |
Family Cites Families (147)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5689565A (en) | 1995-06-29 | 1997-11-18 | Microsoft Corporation | Cryptography system and method for providing cryptographic services for a computer application |
| AU7072096A (en) * | 1995-09-25 | 1997-04-30 | Motorola, Inc. | Method and apparatus for relaying digitally signed messages |
| US6145079A (en) * | 1998-03-06 | 2000-11-07 | Deloitte & Touche Usa Llp | Secure electronic transactions using a trusted intermediary to perform electronic services |
| US20010037453A1 (en) * | 1998-03-06 | 2001-11-01 | Mitty Todd Jay | Secure electronic transactions using a trusted intermediary with non-repudiation of receipt and contents of message |
| JP2000216767A (ja) | 1999-01-21 | 2000-08-04 | Mitsubishi Electric Corp | デ―タ変換コ―ド生成システム及びデ―タ変換コ―ド生成方法 |
| WO2001019017A1 (en) * | 1999-09-07 | 2001-03-15 | Sony Corporation | Contents management system, device, method, and program storage medium |
| US6826690B1 (en) * | 1999-11-08 | 2004-11-30 | International Business Machines Corporation | Using device certificates for automated authentication of communicating devices |
| GB2357226B (en) | 1999-12-08 | 2003-07-16 | Hewlett Packard Co | Security protocol |
| GB2357227B (en) | 1999-12-08 | 2003-12-17 | Hewlett Packard Co | Security protocol |
| US20020087862A1 (en) * | 2000-01-07 | 2002-07-04 | Sandeep Jain | Trusted intermediary |
| US7577834B1 (en) * | 2000-05-09 | 2009-08-18 | Sun Microsystems, Inc. | Message authentication using message gates in a distributed computing environment |
| US20020007453A1 (en) * | 2000-05-23 | 2002-01-17 | Nemovicher C. Kerry | Secured electronic mail system and method |
| WO2002021408A1 (en) * | 2000-09-08 | 2002-03-14 | Tallent Guy S | System and method for transparently providing certificate validation and other services within an electronic transaction |
| US20020144109A1 (en) * | 2001-03-29 | 2002-10-03 | International Business Machines Corporation | Method and system for facilitating public key credentials acquisition |
| US7203837B2 (en) * | 2001-04-12 | 2007-04-10 | Microsoft Corporation | Methods and systems for unilateral authentication of messages |
| US6703923B2 (en) | 2001-04-18 | 2004-03-09 | Thomson Licensing S.A. | Apparatus for providing security on a powerline-modem network |
| CN1717697B (zh) * | 2001-06-12 | 2012-01-25 | 捷讯研究有限公司 | 压缩安全电子邮件用于与移动通信设备交换的系统和方法 |
| US7590684B2 (en) * | 2001-07-06 | 2009-09-15 | Check Point Software Technologies, Inc. | System providing methodology for access control with cooperative enforcement |
| US6842628B1 (en) * | 2001-08-31 | 2005-01-11 | Palmone, Inc. | Method and system for event notification for wireless PDA devices |
| JP2003085321A (ja) * | 2001-09-11 | 2003-03-20 | Sony Corp | コンテンツ利用権限管理システム、コンテンツ利用権限管理方法、および情報処理装置、並びにコンピュータ・プログラム |
| JP3826782B2 (ja) * | 2001-12-12 | 2006-09-27 | ソニー株式会社 | データ伝送システム、情報処理装置および方法、記録媒体、並びにプログラム |
| JP3931710B2 (ja) * | 2002-03-22 | 2007-06-20 | ヤマハ株式会社 | サーバ装置、通信端末装置、配信システム及び配信プログラム |
| US7321969B2 (en) * | 2002-04-26 | 2008-01-22 | Entrust Limited | Secure instant messaging system using instant messaging group policy certificates |
| AU2003245887A1 (en) * | 2002-05-24 | 2003-12-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for authenticating a user to a service of a service provider |
| CN1675879A (zh) * | 2002-06-07 | 2005-09-28 | 索尼株式会社 | 数据处理系统、数据处理装置及其方法和计算机程序 |
| JP3791464B2 (ja) * | 2002-06-07 | 2006-06-28 | ソニー株式会社 | アクセス権限管理システム、中継サーバ、および方法、並びにコンピュータ・プログラム |
| US7533161B2 (en) * | 2002-08-08 | 2009-05-12 | Sun Microsystems, Inc. | System and method for multiplatform implementation of abstract software modules in peer-to-peer network environments |
| US20040043756A1 (en) | 2002-09-03 | 2004-03-04 | Tao Haukka | Method and system for authentication in IP multimedia core network system (IMS) |
| US7458095B2 (en) | 2002-11-18 | 2008-11-25 | Nokia Siemens Networks Oy | Faster authentication with parallel message processing |
| US7506368B1 (en) | 2003-02-13 | 2009-03-17 | Cisco Technology, Inc. | Methods and apparatus for network communications via a transparent security proxy |
| US7421732B2 (en) | 2003-05-05 | 2008-09-02 | Nokia Corporation | System, apparatus, and method for providing generic internet protocol authentication |
| US7171555B1 (en) | 2003-05-29 | 2007-01-30 | Cisco Technology, Inc. | Method and apparatus for communicating credential information within a network device authentication conversation |
| JP4377409B2 (ja) | 2003-06-18 | 2009-12-02 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | モバイルIP(モバイルIP:MobileIP)バージョン6サービスをサポートするための方法、システム及び装置 |
| JP2009514050A (ja) * | 2003-07-11 | 2009-04-02 | インターナショナル・ビジネス・マシーンズ・コーポレーション | クライアント−サーバ環境においてクライアントを認証するためのシステムおよび方法 |
| US7401217B2 (en) * | 2003-08-12 | 2008-07-15 | Mitsubishi Electric Research Laboratories, Inc. | Secure routing protocol for an ad hoc network using one-way/one-time hash functions |
| US7103911B2 (en) * | 2003-10-17 | 2006-09-05 | Voltage Security, Inc. | Identity-based-encryption system with district policy information |
| US7568098B2 (en) * | 2003-12-02 | 2009-07-28 | Microsoft Corporation | Systems and methods for enhancing security of communication over a public network |
| US20050154889A1 (en) | 2004-01-08 | 2005-07-14 | International Business Machines Corporation | Method and system for a flexible lightweight public-key-based mechanism for the GSS protocol |
| US7613923B2 (en) * | 2004-02-25 | 2009-11-03 | Watchguard Technologies, Inc. | Method and apparatus for controlling unsolicited messaging in real time messaging networks |
| US7467399B2 (en) | 2004-03-31 | 2008-12-16 | International Business Machines Corporation | Context-sensitive confidentiality within federated environments |
| US7437558B2 (en) * | 2004-06-01 | 2008-10-14 | Cisco Technology, Inc. | Method and system for verifying identification of an electronic mail message |
| US8340283B2 (en) * | 2004-06-30 | 2012-12-25 | International Business Machines Corporation | Method and system for a PKI-based delegation process |
| GB0416479D0 (en) | 2004-07-23 | 2004-08-25 | Hewlett Packard Development Co | Delegation protocol |
| CN100574185C (zh) | 2005-01-07 | 2009-12-23 | 华为技术有限公司 | 在ip多媒体业务子系统网络中保障媒体流安全性的方法 |
| EP1681826A1 (en) * | 2005-01-12 | 2006-07-19 | Abb Research Ltd. | Method of authenticating multicast messages |
| US7774830B2 (en) * | 2005-03-14 | 2010-08-10 | Microsoft Corporation | Access control policy engine controlling access to resource based on any of multiple received types of security tokens |
| US20060294366A1 (en) | 2005-06-23 | 2006-12-28 | International Business Machines Corp. | Method and system for establishing a secure connection based on an attribute certificate having user credentials |
| US20060294383A1 (en) * | 2005-06-28 | 2006-12-28 | Paula Austel | Secure data communications in web services |
| US7596225B2 (en) | 2005-06-30 | 2009-09-29 | Alcatl-Lucent Usa Inc. | Method for refreshing a pairwise master key |
| US20070079382A1 (en) * | 2005-09-15 | 2007-04-05 | Ufuk Celikkan | Authorizing computer services |
| US8452966B1 (en) * | 2005-10-26 | 2013-05-28 | Adobe Systems Incorporated | Methods and apparatus for verifying a purported user identity |
| WO2007079279A2 (en) | 2005-11-08 | 2007-07-12 | Nortel Networks Limited | Dynamic sensor network registry |
| US7853995B2 (en) * | 2005-11-18 | 2010-12-14 | Microsoft Corporation | Short-lived certificate authority service |
| US7954139B1 (en) | 2005-11-30 | 2011-05-31 | At&T Intellectual Property Ii, Lp | Arrangements for efficient authentication of service request messages |
| WO2007063420A2 (en) | 2005-12-01 | 2007-06-07 | Nokia Corporation | Authentication in communications networks |
| CN101001245B (zh) * | 2006-01-10 | 2010-04-14 | 华为技术有限公司 | 一种边界网关协议中更新信息的验证方法 |
| KR101009330B1 (ko) | 2006-01-24 | 2011-01-18 | 후아웨이 테크놀러지 컴퍼니 리미티드 | 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터 |
| US20070220598A1 (en) | 2006-03-06 | 2007-09-20 | Cisco Systems, Inc. | Proactive credential distribution |
| US20090063851A1 (en) | 2006-03-20 | 2009-03-05 | Nijdam Mark J | Establishing communications |
| US8583929B2 (en) | 2006-05-26 | 2013-11-12 | Alcatel Lucent | Encryption method for secure packet transmission |
| US8468338B2 (en) | 2006-07-06 | 2013-06-18 | Apple, Inc. | Wireless access point security for multi-hop networks |
| US7865717B2 (en) * | 2006-07-18 | 2011-01-04 | Motorola, Inc. | Method and apparatus for dynamic, seamless security in communication protocols |
| US7499547B2 (en) | 2006-09-07 | 2009-03-03 | Motorola, Inc. | Security authentication and key management within an infrastructure based wireless multi-hop network |
| US8578159B2 (en) | 2006-09-07 | 2013-11-05 | Motorola Solutions, Inc. | Method and apparatus for establishing security association between nodes of an AD HOC wireless network |
| JP4866802B2 (ja) | 2006-09-11 | 2012-02-01 | Kddi株式会社 | セキュリティ最適化システムおよびセキュリティ最適化方法 |
| US8555335B2 (en) * | 2006-11-01 | 2013-10-08 | Microsoft Corporation | Securing distributed application information delivery |
| US8418241B2 (en) | 2006-11-14 | 2013-04-09 | Broadcom Corporation | Method and system for traffic engineering in secured networks |
| US8539559B2 (en) | 2006-11-27 | 2013-09-17 | Futurewei Technologies, Inc. | System for using an authorization token to separate authentication and authorization services |
| US8082446B1 (en) * | 2006-11-30 | 2011-12-20 | Media Sourcery, Inc. | System and method for non-repudiation within a public key infrastructure |
| US9055107B2 (en) | 2006-12-01 | 2015-06-09 | Microsoft Technology Licensing, Llc | Authentication delegation based on re-verification of cryptographic evidence |
| JP4892011B2 (ja) * | 2007-02-07 | 2012-03-07 | 日本電信電話株式会社 | クライアント装置、鍵装置、サービス提供装置、ユーザ認証システム、ユーザ認証方法、プログラム、記録媒体 |
| JP2008234451A (ja) | 2007-03-22 | 2008-10-02 | Hitachi Ltd | ユーザ情報管理システム |
| US9319220B2 (en) | 2007-03-30 | 2016-04-19 | Intel Corporation | Method and apparatus for secure network enclaves |
| US8467527B2 (en) * | 2008-12-03 | 2013-06-18 | Intel Corporation | Efficient key derivation for end-to-end network security with traffic visibility |
| CA2587239A1 (en) * | 2007-05-02 | 2008-11-02 | Kryptiva Inc. | System and method for ad-hoc processing of cryptographically-encoded data |
| FR2916592B1 (fr) | 2007-05-25 | 2017-04-14 | Groupe Des Ecoles De Telecommunications(Get)-Ecole Nat Superieure Des Telecommunications(Enst) | Procede de securisation d'echange d'information,dispositif, et produit programme d'ordinateur correspondant |
| US8200959B2 (en) * | 2007-06-28 | 2012-06-12 | Cisco Technology, Inc. | Verifying cryptographic identity during media session initialization |
| US8667151B2 (en) | 2007-08-09 | 2014-03-04 | Alcatel Lucent | Bootstrapping method for setting up a security association |
| US7920512B2 (en) | 2007-08-30 | 2011-04-05 | Intermec Ip Corp. | Systems, methods, and devices that dynamically establish a sensor network |
| US8086843B2 (en) * | 2007-09-24 | 2011-12-27 | International Business Machines Corporation | Performing cryptographic provider failover |
| JP4405575B2 (ja) | 2007-09-28 | 2010-01-27 | 東芝ソリューション株式会社 | 暗号管理装置、復号管理装置、およびプログラム |
| US20090099860A1 (en) * | 2007-10-15 | 2009-04-16 | Sap Ag | Composite Application Using Security Annotations |
| CN101183938B (zh) * | 2007-10-22 | 2011-11-23 | 华中科技大学 | 一种无线网络安全传输方法、系统及设备 |
| US20090138711A1 (en) * | 2007-11-21 | 2009-05-28 | Dennis Heimbigner | Sender Email Address Verification Using Reachback |
| EP3079298B1 (en) | 2007-11-30 | 2018-03-21 | Telefonaktiebolaget LM Ericsson (publ) | Key management for secure communication |
| CA2621147C (en) * | 2008-02-15 | 2013-10-08 | Connotech Experts-Conseils Inc. | Method of bootstrapping an authenticated data session configuration |
| US7945774B2 (en) | 2008-04-07 | 2011-05-17 | Safemashups Inc. | Efficient security for mashups |
| US7966652B2 (en) | 2008-04-07 | 2011-06-21 | Safemashups Inc. | Mashauth: using mashssl for efficient delegated authentication |
| EP2304918B1 (en) * | 2008-06-16 | 2014-04-09 | Telefonaktiebolaget L M Ericsson (PUBL) | Sending media data via an intermediate node |
| US8661252B2 (en) * | 2008-06-20 | 2014-02-25 | Microsoft Corporation | Secure network address provisioning |
| US8386767B2 (en) | 2008-08-15 | 2013-02-26 | Telefonaktiebolaget L M Ericsson (Publ) | Methods and systems for bootstrapping security key information using session initiation protocol |
| US9137138B2 (en) * | 2008-11-28 | 2015-09-15 | Stephen W. NEVILLE | Method and system of controlling spam |
| US8374352B2 (en) * | 2009-04-13 | 2013-02-12 | The Hong Kong University Of Science And Technology | Context-free protocol for enforcing data forwarding in wireless ad hoc networks |
| EP2484048B1 (en) | 2009-10-01 | 2015-12-23 | Telefonaktiebolaget L M Ericsson (PUBL) | Sending protected data in a communication network |
| DE102009051383A1 (de) | 2009-10-30 | 2011-05-12 | Siemens Aktiengesellschaft | Verfahren und Vorrichtung zum sicheren Übertragen von Daten |
| US8881257B2 (en) | 2010-01-22 | 2014-11-04 | Interdigital Patent Holdings, Inc. | Method and apparatus for trusted federated identity management and data access authorization |
| CN102215560B (zh) * | 2010-04-08 | 2015-06-10 | 中兴通讯股份有限公司 | 一种对m2m终端实现管理的方法及系统 |
| KR101523420B1 (ko) | 2010-04-12 | 2015-05-27 | 인터디지탈 패튼 홀딩스, 인크 | 부팅 처리에서의 단계화 제어 해제 |
| CN102238573A (zh) | 2010-04-30 | 2011-11-09 | 中兴通讯股份有限公司 | 一种m2m业务的架构及实现m2m业务的方法 |
| WO2011160683A1 (en) | 2010-06-22 | 2011-12-29 | Telefonaktiebolaget Lm Ericsson (Publ) | Privacy preserving authorisation in pervasive environments |
| TW201215181A (en) | 2010-08-03 | 2012-04-01 | Interdigital Patent Holdings | Machine-to-machine (M2M) call flow security |
| WO2012021662A2 (en) | 2010-08-10 | 2012-02-16 | General Instrument Corporation | System and method for cognizant transport layer security (ctls) |
| DE102010044518A1 (de) * | 2010-09-07 | 2012-03-08 | Siemens Aktiengesellschaft | Verfahren zur Zertifikats-basierten Authentisierung |
| WO2012045376A1 (en) | 2010-10-08 | 2012-04-12 | Telefónica, S.A. | A method, a system and a network element for ims control layer authentication from external domains |
| US8627422B2 (en) * | 2010-11-06 | 2014-01-07 | Qualcomm Incorporated | Authentication in secure user plane location (SUPL) systems |
| CN101980558B (zh) * | 2010-11-16 | 2012-07-11 | 北京航空航天大学 | 一种Ad hoc网络传输层协议上的加密认证方法 |
| KR101556046B1 (ko) | 2010-12-30 | 2015-09-30 | 인터디지탈 패튼 홀딩스, 인크 | 통신 핸드오프 시나리오를 위한 인증 및 보안 채널 설정 |
| KR101766681B1 (ko) | 2011-02-08 | 2017-08-09 | 삼성전자주식회사 | 통신시스템에서 단말의 프로파일을 제공하기 위한 시스템 및 방법 |
| WO2012129503A1 (en) | 2011-03-23 | 2012-09-27 | Interdigital Patent Holdings, Inc. | Systems and methods for securing network communications |
| US8769288B2 (en) | 2011-04-22 | 2014-07-01 | Alcatel Lucent | Discovery of security associations |
| US8644510B2 (en) | 2011-05-11 | 2014-02-04 | Alcatel Lucent | Discovery of security associations for key management relying on public keys |
| US10044713B2 (en) | 2011-08-19 | 2018-08-07 | Interdigital Patent Holdings, Inc. | OpenID/local openID security |
| US8831568B2 (en) * | 2011-09-27 | 2014-09-09 | Qualcomm Incorporated | Automatic configuration of a wireless device |
| US9203613B2 (en) | 2011-09-29 | 2015-12-01 | Amazon Technologies, Inc. | Techniques for client constructed sessions |
| GB2507933B (en) | 2011-10-12 | 2015-08-05 | Ibm | Aggregation of sensor appliances using device registers and wiring brokers |
| JP5948001B2 (ja) * | 2012-03-07 | 2016-07-06 | モトローラ モビリティ エルエルシーMotorola Mobility Llc | 所要のノード経路と暗号署名とを用いたセキュアなパケット送信のためのポリシー |
| US9049207B2 (en) | 2012-04-11 | 2015-06-02 | Mcafee, Inc. | Asset detection system |
| US20130298209A1 (en) | 2012-05-02 | 2013-11-07 | Interdigital Patent Holdings, Inc. | One round trip authentication using sngle sign-on systems |
| US9137740B2 (en) * | 2012-09-10 | 2015-09-15 | Spectrum Bridge, Inc. | System and method for providing network access to electronic devices using bandwidth provisioning |
| CN104620632B (zh) | 2012-09-12 | 2018-08-21 | Lg 电子株式会社 | 用于在无线通信系统中请求有关特定资源的特定权利获得的方法和设备 |
| KR20150092108A (ko) | 2012-12-05 | 2015-08-12 | 엘지전자 주식회사 | 무선 통신 시스템에서 정보 변경 통지를 위한 방법 및 장치 |
| US9015482B2 (en) * | 2012-12-28 | 2015-04-21 | Nok Nok Labs, Inc. | System and method for efficiently enrolling, registering, and authenticating with multiple authentication devices |
| EP2949136B1 (en) | 2013-01-24 | 2021-09-15 | ZTE (USA) Inc. | Communication between machine-to-machine service layers and transport network |
| US9866391B1 (en) * | 2013-01-30 | 2018-01-09 | Amazon Technologies, Inc. | Permissions based communication |
| EP2961122B1 (en) | 2013-02-19 | 2021-08-11 | LG Electronics Inc. | Method for modifying m2m service setting and apparatus therefor |
| US9203832B2 (en) | 2013-03-12 | 2015-12-01 | Cable Television Laboratories, Inc. | DTCP certificate authentication over TLS protocol |
| FR3004046B1 (fr) | 2013-03-28 | 2015-04-17 | Commissariat Energie Atomique | Procede et dispositif pour former un reseau sans fil securise a faibles ressources |
| FR3004041B1 (fr) | 2013-03-28 | 2015-04-17 | Commissariat Energie Atomique | Procede et dispositif d'etablissement de cles de session |
| EP2982148A1 (en) | 2013-04-05 | 2016-02-10 | Interdigital Patent Holdings, Inc. | Securing peer-to-peer and group communications |
| US9424421B2 (en) * | 2013-05-03 | 2016-08-23 | Visa International Service Association | Security engine for a secure operating environment |
| US9392571B2 (en) | 2013-06-12 | 2016-07-12 | Lg Electronics Inc. | Method for measuring position in M2M system and apparatus therefor |
| EP2816760B1 (en) * | 2013-06-19 | 2019-07-31 | Alcatel Lucent | A method, a server and a client providing secured communication in a power distribution communication network |
| EP3014803B1 (en) * | 2013-06-25 | 2019-09-25 | Nokia Technologies Oy | A method and apparatus for anonymous and trustworthy authentication in pervasive social networking |
| JP6013988B2 (ja) * | 2013-07-18 | 2016-10-25 | 日本電信電話株式会社 | データ収集システム、データ収集方法、ゲートウェイ装置及びデータ集約プログラム |
| US9032213B2 (en) * | 2013-07-25 | 2015-05-12 | Fujitsu Limited | Data distribution path verification |
| US10200353B2 (en) | 2013-07-25 | 2019-02-05 | Convida Wireless, Llc | End-to-end M2M service layer sessions |
| US9397990B1 (en) | 2013-11-08 | 2016-07-19 | Google Inc. | Methods and systems of generating and using authentication credentials for decentralized authorization in the cloud |
| EP2890073A1 (en) | 2013-12-31 | 2015-07-01 | Gemalto SA | System and method for securing machine-to-machine communications |
| US20160014674A1 (en) | 2014-07-10 | 2016-01-14 | Lg Electronics Inc. | Method for location based access control in wireless communication system and apparatus therefor |
| KR20170033267A (ko) | 2014-07-21 | 2017-03-24 | 엘지전자 주식회사 | 무선 통신 시스템에서 요청 메시지를 처리하기 위한 방법 및 이를 위한 장치 |
| US9344455B2 (en) * | 2014-07-30 | 2016-05-17 | Motorola Solutions, Inc. | Apparatus and method for sharing a hardware security module interface in a collaborative network |
| WO2016068548A1 (ko) | 2014-10-28 | 2016-05-06 | 엘지전자 주식회사 | 무선 통신 시스템에서 통지 메시지를 처리하기 위한 방법 및 이를 위한 장치 |
| US9736126B2 (en) * | 2014-12-04 | 2017-08-15 | International Business Machines Corporation | Authenticating mobile applications using policy files |
| JP2018518854A (ja) | 2015-03-16 | 2018-07-12 | コンヴィーダ ワイヤレス, エルエルシー | 公開キー機構を用いたサービス層におけるエンドツーエンド認証 |
| US9923721B2 (en) * | 2015-06-22 | 2018-03-20 | Intel IP Corporation | Key agreement and authentication for wireless communication |
| EP3318037B1 (en) | 2015-07-02 | 2023-06-21 | Convida Wireless, LLC | Content security at service layer |
| CN112738772B (zh) | 2015-08-04 | 2024-07-02 | 康维达无线有限责任公司 | 物联网端对端服务层服务质量管理 |
-
2016
- 2016-03-16 JP JP2017549033A patent/JP2018518854A/ja not_active Withdrawn
- 2016-03-16 KR KR1020177029606A patent/KR102001753B1/ko not_active Expired - Fee Related
- 2016-03-16 EP EP16712165.6A patent/EP3272094B1/en active Active
- 2016-03-16 WO PCT/US2016/022625 patent/WO2016149355A1/en not_active Ceased
- 2016-03-16 US US15/071,659 patent/US10110595B2/en active Active
- 2016-03-16 CN CN201680022318.7A patent/CN107534658B/zh not_active Expired - Fee Related
-
2018
- 2018-09-21 US US16/138,312 patent/US10880294B2/en not_active Expired - Fee Related
-
2019
- 2019-03-01 JP JP2019037392A patent/JP6715976B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| US20160277391A1 (en) | 2016-09-22 |
| EP3272094A1 (en) | 2018-01-24 |
| CN107534658A (zh) | 2018-01-02 |
| WO2016149355A1 (en) | 2016-09-22 |
| US10110595B2 (en) | 2018-10-23 |
| US20190036910A1 (en) | 2019-01-31 |
| KR102001753B1 (ko) | 2019-10-01 |
| EP3272094B1 (en) | 2021-06-23 |
| JP2019088026A (ja) | 2019-06-06 |
| KR20170128515A (ko) | 2017-11-22 |
| CN107534658B (zh) | 2020-11-17 |
| US10880294B2 (en) | 2020-12-29 |
| JP2018518854A (ja) | 2018-07-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6715976B2 (ja) | 公開キー機構を用いたサービス層におけるエンドツーエンド認証 | |
| US12381859B2 (en) | Content security at service layer | |
| US10601594B2 (en) | End-to-end service layer authentication | |
| Gao et al. | SecT: A lightweight secure thing-centered IoT communication system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190301 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20190320 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20190326 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191126 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200114 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200414 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200519 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200609 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6715976 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |