Nothing Special   »   [go: up one dir, main page]

JP4674044B2 - クライアントが許可を検証できるキー管理プロトコルを設けるためのシステムおよび方法 - Google Patents

クライアントが許可を検証できるキー管理プロトコルを設けるためのシステムおよび方法 Download PDF

Info

Publication number
JP4674044B2
JP4674044B2 JP2003567021A JP2003567021A JP4674044B2 JP 4674044 B2 JP4674044 B2 JP 4674044B2 JP 2003567021 A JP2003567021 A JP 2003567021A JP 2003567021 A JP2003567021 A JP 2003567021A JP 4674044 B2 JP4674044 B2 JP 4674044B2
Authority
JP
Japan
Prior art keywords
client
ticket
copy
content
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2003567021A
Other languages
English (en)
Other versions
JP2005517347A (ja
JP2005517347A5 (ja
Inventor
メドビンスキー、アレクサンダー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Arris Technology Inc
Original Assignee
General Instrument Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by General Instrument Corp filed Critical General Instrument Corp
Publication of JP2005517347A publication Critical patent/JP2005517347A/ja
Publication of JP2005517347A5 publication Critical patent/JP2005517347A5/ja
Application granted granted Critical
Publication of JP4674044B2 publication Critical patent/JP4674044B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Communication Control (AREA)

Description

本発明は、一般的に、ネットワークのセキュリティに関し、更に特定すれば、アプリケーション・サーバからのコンテンツを要求するときに、クライアントのプライバシを保護する方法およびシステムに関する。
インターネットは安全性が低いネットワークである。ネットワーク上で用いられているプロトコルの多くは、セキュリティを全く設けていない。暗号化またはその他の何らかの形式のセキュリティ方式を用いずにインターネット上で送信されるデータは、「平文」で送信すると言われる。平文でインターネット上で送信される、パスワード、クレジット・カード番号、顧客の身元および氏名等のようなデータを、ハッカーが「かぎつける」ことができるようにするツールは、容易に入手することができる。したがって、暗号化しないデータをインターネット上で送信するアプリケーションは、被害を受ける虞れが非常に高い。
ケルベロス(Kerberos)は、秘密キー暗号法を用いることによって、クライアント/サーバ・アプリケーションの認証を行うように設計された、公知のネットワーク認証プロトコルの一例である。ケルベロス(Kerberos)プロトコルは、マサチューセッツ工科大学から入手可能であり、暗号法を用いて、クライアントがその身元をサーバに(またはその逆)、安全性の低いネットワーク接続を通じて立証することができると言われている。クライアントおよびサーバがケルベロス(Kerberos)を用いてそれぞれの身元を証明した後、その通信全てを暗号化することもでき、彼らがその業務を遂行する際に、プライバシおよびデータ保全性を保証すると言われている。
本発明は、ネットワーク・セキュリティの分野に関するこれらおよびその他の背景情報要因に関連してなされた。
本発明は、クライアントに、当該クライアントがアクセスし利用することができる許可データのコピーを供給する方法を提供する。本方法は、クライアントから認証サーバ要求(AS_REQ)メッセージを受信するステップと、認証サーバ回答(AS_REP)メッセージを生成するステップと、AS_REPをクライアントに送信するステップと、クライアントからチケット付与サーバ要求(TGS_REQ)メッセージを受信するステップと、許可データの2つのコピーを有するチケット付与サーバ回答(TGS_REP)メッセージを生成するステップと、TGS_REPを許可データの2つのコピーと共にクライアントに送信するステップとを含む。
別の実施形態では、本発明は、許可データの第1コピーを含むサービス・チケットを生成するステップと、サービス・チケットを含むチケット付与サーバ回答を生成するステップと、チケット付与サーバ回答および許可データの第2コピーをクライアントに送信するステップとを含む。一実施形態では、許可データの第2コピーを送信するステップは、クライアントが許可データの第2コピーを解読して利用できるように、クライアント・セッションキーを用いて許可データの少なくとも第2コピーを暗号化することを含み、サービス・チケットを生成するステップは、サーバキーを用いて、少なくとも第1許可データを暗号化することを含む。
別の実施形態では、本発明は、アプリケーション・サーバからのコンテンツを要求するときに、クライアントのプライバシ保護を確保するシステムであることを特徴とすることができる。このシステムは、許可データの少なくとも2つのコピーを含むチケット付与サーバ回答を生成するように構成されたキー配布局を含み、キー配布局は、チケット付与サーバ回答を受信し、許可データの一方のコピーを利用して許可を検証するように構成されているクライアントと結合されており、クライアントはコンテンツをクライアントに供給するように構成されたアプリケーションサーバに結合されている。クライアントは、更に、許可データの一方のコピーを用いて、コンテンツの正規使用を検証するように構成されている。
別の実施形態では、本発明は、クライアントにコンテンツおよびサービスの少なくともいずれかへのアクセスを与えるシステムであることを特徴とする。このシステムは、許可データの第1コピーを含むサービス・チケットを生成する手段と、サービス・チケットと、許可データの第2コピーとを含むチケット付与サーバ回答を生成する手段と、チケット付与サーバ回答をクライアントに送信する手段とを含む。チケット付与サーバ回答を生成する手段は、クライアント・セッションキーを用いて、許可データの少なくとも第2コピーを暗号化する手段を含むことができる。少なくとも第2許可データを暗号化する手段は、クライアントが許可データの第2コピーを解読し利用できるように、許可データの少なくとも第2コピーを暗号化する手段を含むことができる。サービス・チケットを生成する手段は、サーバキーを用いて、許可データの少なくとも第1コピーを暗号化する手段を含むことができる。許可データの第2コピーは、クライアントが、アプリケーション・サーバからのサービスに対する要求を検証できるように、構成することができる。許可データの第2コピーは、クライアントが、受信したコンテンツの正規使用を判断できるように構成することができる。
本発明の特徴および利点は、以下の発明の説明、および本発明の原理を利用した例示的実施形態を明記する添付図面を参照することによって、一層深く理解されよう。
本発明の前述のおよびその他の態様、特徴ならびに利点は、以下の図面に関連付けて示した、以下の更に特定的な発明の説明から更に明らかとなろう。
対応する参照符号は、図面における種々の図全てを通じて対応する構成要素を示すこととする。
ケルベロス(Kerberos)は、クライアントまたはサーバのようなネットワークのエンティティは、アプリケーション・サーバが供給するサービスおよび/またはコンテンツにアクセスするために、アプリケーション・サーバに提出した許可データを検証することができないという不都合を有している。部分的に、許可データは、クライアントに供給されるであろうサービスおよび/またはコンテンツの範囲を規定する。多くの場合、許可データは、アプリケーション・サーバ106ならびに当該アプリケーション・サーバ106が提供するコンテンツおよび/またはサービスに特定的である。クライアントは許可を検証することができないので、クライアントはコンテンツに対する要求をチェックして、許可されていないオプションが選択されていないことを確認することができない。加えて、クライアントは許可データを検証することができないので、クライアントは、当該クライアントに配信されるコンテンツをコピーすることがクライアントに許可されているか否か判断するためには、余分な通信および情報が必要となる。この結果、エラーが生じ、ネットワーク・トラフィックが過剰となり、ネットワーク資源および処理が無駄に使われることになる。更にまた、クライアントは許可データを検証することができないので、ク
ライアントは、余分な通信および情報を受信せずには、例えば、コンテンツを1回よりも多く再生することがクライアントに許可されているか否か判断することができない。
本発明は、許可データのコピーをクライアントに配信することによって、上記およびその他の欠点を克服する方法およびシステムを提供する。クライアントは、前記許可データのコピーにアクセスして利用し、ネットワーク効率を高め、ネットワーク・トラフィックを削減し、コンテンツおよび/またはサービスのアクセスや使用を合理化することを可能にする。許可データのクライアント・コピーをクライアントに供給することによって、クライアントは要求を検証し、コンテンツ要求の中に違法なオプションが含まれることを回避することができ、配信されたコンテンツおよび/またはサービスにおけるクライアントが正規使用を判断し、例えば、配信されたコンテンツのコピーを保存することができるか、およびコンテンツを1回よりも多く再生することができるかについて判断することができる
本発明は、チケットの概念を利用するキー管理プロトコルに非常に適している。チケットとは、対称キーで暗号化した認証トークンであり、対称キーによってクライアントは特定のサーバに認証することができる。本発明の一実施形態によれば、キー配布局(KDC)がサービス・チケットをクライアント、サーバ、またはネットワークのその他のエンティティに転送するとき、サービス・チケット内に2つの許可データのコピーを含む。許可のコピーの一方、すなわち、クライアント・コピーは、クライアントによる使用を目的として、クライアント(サーバまたはその他のエンティティ)が許可データにアクセスすることができる。許可データのコピーのもう一方、すなわち、サーバ・データは、クライアントからのコンテンツ選択および/またはキー要求と共に、アプリケーション・サーバに供給される。本発明は、アプリケーション・サーバによって提供されるコンテンツおよび/またはサービスに対するアクセスを得ようとするクライアントまたはサーバによって、アクセスされ使用される許可データのコピーを供給することによって、標準的なケルベロス(Kerberos)およびその他の以前のプロトコルの不都合を解消する。
図1を参照すると、本発明の一実施形態にしたがって構成した、安全な通信を行うシステム100の簡略ブロック図が示されている。本発明の可能な一実施態様の一例を含むシステム100は、インターネット、イントラネットまたはその他のネットワークのような、ネットワーク上でセキュリティおよびプライバシを確保する認証キー管理プロトコルを用いる。これは、百万人単位のユーザに拡大することができる。概略的に、システム100は、公開キーアルゴリズムおよび対称キーアルゴリズムの双方を用いて、1つ以上の中央キー配布局(KDC)104と対話し、かつ対称キーアルゴリズムを用いて、アプリケーション・サーバ106(および第三者サーバ140、図2参照)のような、個々のアプリケーション・サーバと対話する少なくとも1つのクライアント102を含む。プロトコルは汎用的であり、分散環境において認証を要求する異なるアプリケーションに容易に改造することができる。更に、集中管理ユーザ・データベースとインターフェースされ得る。
クライアント102は、ユーザに代わってネットワーク・サービスを利用するプロセス、アプリケーション、またはデバイスを含み得る。一例として、クライアント102は、任意の種類のコンピュータからなってもよいし、あるいはクライアント102は、ワイヤレス電話機、ページャ(小型無線呼出機)、携帯端末(PDA)、ローエンドのマイクロプロセッサを有する家電製品、または処理能力が低いかまたは限られているその他の実質的に任意の装置からなってもよい。尚、場合によっては、サーバ自身がある他のサーバのクライアントにもなり得る(例えば、プリント・サーバはファイル・サーバのクライアントである場合もある)ことを注記しておく。
アプリケーション・サーバ106は、ネットワーク・クライアントに資源を提供する。
例示する実施形態では、KDC104は、第1ステージ108および第2ステージ110を含む。一実施形態では、第1ステージは認証サーバ(ASサーバ)108であり、第2ステージはチケット付与サーバ(TGSサーバ)110である。ASサーバ108は、クライアント102の信用証明書(credential)を検証した後に、チケット付与チケット(TGTチケット)をクライアント102に発行する。TGSサーバ110は、アプリケーション・サーバ・サービス・チケット(STチケット)をクライアント102に供給する。STチケットは、クライアント102がサービスを要求するときに、クライアントがアプリケーション・サーバ106に提示する最終サービス・チケットである。アプリケーション・サーバ106は、クライアント102がSTチケットを用いて自身を認証したときに、種々のサービスをクライアント102に提供する。
システム100が用いる基本的なメッセージ・タイプは以下の通りである。
(A)認証サーバ要求メッセージ(AS_REQ):ASサーバ108からのTGTチケットを要求するためのクライアント102からのメッセージ。
(B)認証サーバ回答メッセージ(AS_REP):TGTチケットを備える、ASサーバ108からクライアント102への回答メッセージ。
(C)チケット付与サーバ要求メッセージ(TGS_REQ):TGSサーバ110からのSTチケットを要求するためのクライアント102からのメッセージ。
(D)チケット付与サーバ回答メッセージ(TGS_REP):STチケットを備える、TGSサーバ110からクライアント102への回答メッセージ。
(E)キー要求メッセージ(KEY_REQ):セキュリティ(キー管理)パラメータを要求するためのクライアント102からアプリケーション・サーバ106へのメッセージ。
(F)キー回答メッセージ(KEY_REP):サブキーおよびアプリケーション特定データを備える、アプリケーション・サーバ106からクライアント102への回答メッセージ。
(H)コンテンツおよび/またはサービス・メッセージの要求(CON_RE):所望のコンテンツおよび/またはサービスを要求するためにクライアント102からアプリケーション・サーバ106に送られるメッセージ。
(I)コンテンツ(CON_REP):所望のコンテンツおよび/またはサービスをクライアントに供給する、アプリケーション・サーバ106からクライアント102へ送られるメッセージ。コンテンツは、クライアントに送られる前に暗号化されるのが通常である。
これらのメッセージの各々は、一般に、ヘッダ、およびこれに続くメッセージ本体を含み、ヘッダはメッセージに共通である。一例として、ヘッダは、メッセージ・タイプ・フィールド、プロトコル・バージョン番号フィールド、およびチェックサムを含むことができる。メッセージ・タイプ・フィールドは、AS_REQ、AS_REP等のようなメッセージ・タイプを示す。メッセージ・ヘッダに続いて、メッセージ本体があり、好ましくは、タイプ−長さ−値(TLV)フォーマットで属性のリストを有する。
クライアント102が、同様にKDC104の一部であるTGSサーバ110のチケットであるTGTチケットを取得したいとき、クライアントは、AS_REQメッセージを生成して、クライアント102とASサーバ108(KDC104の一部)との間で認証サービス交換を開始する。言い換えると、AS_REQメッセージは、TGTチケットを
取得するために、クライアント102からASサーバ108に送られ、クライアントはTGTチケットを用いて、アプリケーション・サーバ106のような、特定のアプリケーション・サーバのためのSTチケットを要求する。一例として、AS_REQメッセージは、クライアントの身元(例えば、名称)、TGSサーバ110の身元、およびこれを応答に結び付けるノンス(nonce) を含むことができる。また、AS_REQメッセージは、クライアント102がサポートする対称暗号アルゴリズムのリストも含むことができる。回答に対してチェックするために、このメッセージは、タイムスタンプ、およびメッセージ完全性のための署名も含むことができる。署名は、キー付きチェックサム(keyed checksum)またはディジタル署名とすることができる。
署名を検証する公開キーは、ユーザのデータベースに保持しておくことが好ましい。任意にAS_REQメッセージにディジタル証明書を含ませることができ、このディジタル証明書は格納されている公開キーの代わりに、ディジタル署名を検証するために用いられ得る。クライアント102のキー付きチェックサムを検証するためのクライアント102の永久対称キーは、同じユーザ・データベースに保持しておくことが好ましい。また、AS_REQメッセージは、キー同意(例えば、楕円曲線ディッフィ−ヘルマン(Elliptic Curve Diffie-Hellman) パラメータ)に必要な公開キー情報も含むことができる。一例として、楕円曲線(Elliptic Curve)は、その処理速度のために、公開キー暗号化に用いることができる。楕円曲線の使用は、RSAのような他の暗号化よりも、通常、1桁または2桁ほど高速である。キーの長さが128ビットのラインダール(Rijndael)暗号規格を用いてもよい。
ASサーバ108は、AS_REメッセージを検証するために、そのAS_REメッセージ処理する。AS_REQ処理でエラーが発生しない場合、ASサーバ108は、AS_REQメッセージに応答してAS_REPメッセージを生成する。通常、ASサーバ108はデータベースにおいてTGSサーバ110およびクライアント102のキーを調べ、後続のKDC104との認証のために、ランダムなクライアント・セッションキーを生成する。ASサーバ108はTGTチケットを生成する。TGTチケットは、通常、平文部および暗号化部分の双方を含む。TGSサーバ110の身元およびチケット有効期間は、発行されたTGTチケットの平文側に提供され得る。チケットの暗号化部分は、クライアント102の名称、クライアントのセッションキー、および秘密に保持すべきその他のあらゆるデータを含むことができる。また、TGTチケットは、KDC104が対応する暗号タイプおよびチェックサム・タイプのリストも提供することができる。チケットの暗号化部分は、KDC104の秘密キーを用いて暗号化されていてよい。
一実施形態では、AS_REPメッセージは、クライアント102がAS_REQメッセージのための署名を生成するために用いたアルゴリズムと同一のものを用いて、KDC104によって署名される。この署名は、ディジタル署名またはクライアント102の秘密キーを用いたキー付きチェックサムのいずれかとすることができる。公開キー情報は、KDC104のキー同意パラメータの公開部であり、クライアント102が選択したのと同じキー同意アルゴリズムを示していなければならない。リプレイを防止するために、AS_REPメッセージは、クライアントがAS_REQメッセージにおいて生成したノンスのコピーであるノンスも含むことが好ましい。
一実施形態では、AS_REPメッセージの暗号化部分は、クライアント102に、自身の許可データへのアクセスを提供する。クライアント102が自身の許可データを知っている場合には、アプリケーション・サーバは、チケット内部に暗号化されているクライアント情報のコピーしか信頼しないため、クライアントはアプリケーション・サーバによってあっさり拒絶されるであろう動作を行おうとはしないので、許可データのクライアント・コピーをクライアントに供給することによって、クライアント(およびユーザ)には
便利になる。また、クライアントにハードウェア・セキュリティが備えられており、ユーザがハッキングして自身の許可データを変更するのを防止する場合にも、この機構はセキュリティ上の利点となり得る。これは、読み取り可能な許可データは、ローカル・ディスク上のコンテンツ(例えば、ムービー)を保存し再生する権利というような、何らかの局在的な行為をクライアントに許可する場合もあるためである。AS_REPメッセージ内において受信した許可データのクライアント・コピーは、通常、一般的なクライアント許可を規定するのであり、サーバに特定的ではない。許可データのクライアント・コピーの使用については、以下で更に説明する。AS_REPメッセージの暗号化部分も、クライアント102の身元を含み、この回答が元々KDC104によってこの特定のクライアント102のために作成されたことを検証することができる。データは、キー同意アルゴリズムから得られる対称キーを用いて暗号化することが好ましい。
クライアント102は、AS_REPメッセージを処理してその認証性を検証し、メッセージにおける秘密チケット部を解読し、TGTチケットを取得する。AS_REPメッセージの認証性を検証することができない場合、クライアント102は、エラー・メッセージをASサーバ108に返送しないことが好ましい。場合によっては、クライアントは別のAS_REQメッセージで再試行することもできる。
本発明は、任意で、AS_REQメッセージおよびAS_REQメッセージの双方においてディジタル証明書の受け渡しを可能にし、更にクライアント102およびKDC104がディジタル証明書によって互いに認証し合うことを可能にする。証明書がない場合には、クライアント102には既にKDC公開キーが渡されており、KDC104は既にクライアント102の公開キーをそのデータベース内に有していると予測される。AS_REQ上のディジタル署名は、KDC104のデータベース内で参照したクライアントの公開キーを用いてKDC104によって検証される。クライアント102は、AS_REP上のディジタル署名を、予め渡されているKDC公開キーを用いて検証する。
クライアントがASサーバ108の交換によってTGTチケットを取得した後、クライアント102は、アプリケーション・サーバ106のような、所与のまたは特定のアプリケーション・サーバに対する認証の信用証明書を取得したいときに、クライアント102は、当該クライアント102とKDC104のTGSサーバ110との間でTGS_REQメッセージ交換を開始する。TGS_REQメッセージは、クライアント102によって生成され、TGSサーバ110に送られて、アプリケーション・サーバ・サービス・チケット(STチケット)が取得され、このSTチケットはKEY_REQメッセージ(以下で更に説明する)において用いられる。クライアント102は、AS_REPメッセージから取得したTGTチケットを、TGS_REQメッセージの一部として提示する。TGS_REQメッセージは、アプリケーション・サーバ106の身元を特定するだけでなく、通常TGTチケット内にあるクライアント102の身元も特定し、クライアントは通常ノンスを含む。一実施形態では、クライアント102の身元は保護されている。何故なら、TGTチケットの暗号化部分内にあり、メッセージの平文部分には含まれていないからである。TGTチケットからのクライアント・セッションキーは、TGS_REQ交換における暗号化および解読に用いることができる。このため、詮索者(snooper) は、クライアント(例えば、ユーザ)がどのサービスを要求しているかを検出することができない。
好ましくは、クライアント102は、後でKDC104からの一致するTGS_REPメッセージの有効性を判断するために、ノンス値を保存する。好ましくは、クライアント102は、設定変更可能なタイム・アウト値が満了するまで、ノンス値を保持しておくとよい。タイム・アウトの後では、クライアント102はもはや対応するTGS_REPを処理することができず、再試行しなければならない。
TGSサーバ110は、TGS_REQメッセージを検証し、TGTチケットを処理する。TGSサーバ110は、次いで、TGS_REQメッセージに応答して、TGS_REPメッセージを生成する。TGS_REPメッセージは、KDC104が発行したSTチケット(最終サービス・チケット)を含み、クライアント102がコンテンツおよび/またはサービスを要求しようとするときに、これをクライアントがアプリケーション・サーバ106に提示する。アプリケーション・サーバ106の身元およびチケット有効期間は、発行されたSTチケットの平文側に提供されている。STチケットの暗号化部分は、クライアント102の名称、ならびにアプリケーション・サーバ106およびKDC104が共有するサーバキーによって暗号化されているサーバ・セッションキーを含む。STチケットの暗号化部分は、更に、許可データの第1コピー(例えば、サーバ・コピー)も含み、これは、部分的に、クライアントに供給されるサービスおよび/またはコンテンツの範囲を規定する。許可データは、アプリケーション・サーバ106ならびにアプリケーション・サーバ106が提供するコンテンツおよび/またはサービスに特定的である。一実施形態では、許可データは、サービスおよび/またはコンテンツに特定のオブジェクト、およびこれらのオブジェクトに対する権利を含む。秘密にする必要がある付加的なクライアント・データは、いずれもSTチケットの暗号化部分の一部として含ませることができる。
一実施形態では、TGS_REPは、許可データの第2コピー(例えば、クライアント・コピー)も更に含む。許可データの第2コピーは、AS_REPメッセージにおいてASサーバ108が生成したTGTチケットからのクライアント・セッションキーを用いて暗号化されている。前述のように、セッションキーは、TGSサーバ110およびクライアント102にはわかっている。許可データの第2コピー(クライアント・コピー)は、TGTチケットからのセッションキーを用いて暗号化されているので、検証の目的またはその他の目的のために、クライアント102は、許可データを解読し、その許可データを利用することができる。これについては、以下で更に説明する。TGS_REPメッセージにおいて受信された許可データの第2コピーは、AS_REPメッセージにおいて受信される許可データの第2コピーよりも、よりサーバに特定的な許可を含む、更に特定的な許可を与えることができる。AS_REPメッセージにおいて受信する許可データは、更に一般的であり、サーバに特定的でないクライアント許可、例えば、クライアントがコンテンツを格納することを許可されているか否かを規定する。
TGS_REPメッセージは、KDC104によって、TGTチケット・セッションキーを用いて、キー付きチェックサムで署名される。TGS_REPメッセージは、更に、リプレイを防止するために、TGS_REQメッセージからコピーされたノンスも含む。
一例として、TGSサーバ110は、以下の手順を用いてTGS_REPメッセージを生成することができる。まず、TGS_REQメッセージからのノンスをTGS_REPメッセージに含ませて、これを要求に結び付ける。次に、KDC104はランダムSTチケット・セッションキーのタイプを割り当てる。1つよりも多い暗号化アルゴリズムが使用可能な場合、KDC104は最も強力なものを選択することが好ましい。次いで、KDC104は、許可データの第1コピー、すなわちサーバ・コピーを含むSTチケットを生成する。アプリケーション・サーバ106の秘密キーは、STチケットの暗号化部分を暗号化し、更に、STチケット全体に対するキー付きチェックサムを生成するために用いられる。STチケットの終了時刻は、KDC104によって決定することが好ましい。クライアント102は、所望により、より短い有効期間を指定することもできる。STチケットの暗号化部分は、クライアント102の身元、許可データの第1コピー、セッションキー、およびその他の秘密データを含む。TGS_REPメッセージは、更に、暗号化データ部を含み、TGTチケット・セッションキーは、暗号化データ部を生成するために用い
られる。暗号化データ部は、許可データの第2コピーを含み、TGTセッションキーを用いて生成されたキー付きチェックサムは、TGS_REPメッセージ上に追加され得る。この場合も、これは、TGSサーバ110が、許可データの2つのコピーを含むTGS_REPメッセージを生成するために用いることができる手順の一例に過ぎない。
TGS_REPメッセージは、一方はSTチケットの暗号化部分に含まれ、もう一方はTGTチケットからのセッションキーによって暗号化されている2つの許可データのコピーを含むので、アプリケーション・サーバ106およびクライアント102は、許可データにアクセスし、これを用いることができる。このように、クライアントは、余分な通信や余分なデータを必要とせずに、チェックおよび検証を行うことができる。本発明は、ケルベロス(Kerberos)とは異なる。ケルベロス(Kerberos)では、特定のアプリケーション・サーバに対するクライアントからのチケット要求に対するKDC回答は、許可データの単一コピーを含むのみであり、このデータは、STチケットの解読時に、アプリケーション・サーバにしかアクセスすることができない。クライアントは、許可データにアクセスできず、データを利用することができない。これに代わって、本発明におけるKDCは一方はSTチケット内に暗号化されており、もう一方はTGTチケットからのセッションキーによって暗号化されている許可データの2つのコピーを含ませることによって、特定のアプリケーション・サーバに対するクライアントからのチケット要求への回答を生成し、それにより、クライアント102が、許可データの第2コピーを解読して、許可データを利用することが可能になる。
一実施形態では、クライアント102は許可モジュール122を含む。許可モジュールは、許可データの第2コピーを受信し、許可データを分析して、アプリケーション・サーバ106が提供するコンテンツおよび/サービスの内どれを、どのようにクライアントが利用することを許可されているのか判定するように構成されている。許可モジュール122は、ハードウェア、ソフトウェア、またはハードウェアおよびソフトウェアの組み合わせによって実現することができる。一実施形態では、許可モジュール122は、ハードウェア・モジュールであり、許可データから抽出した許可をデコードし、クライアント102のコンテンツおよび/またはサービスに対する許可を検証し、クライアントが許可を超えていない場合にのみ、要求したコンテンツの解読および/またはサービスの提供に移行する。ハードウェア・モジュール外部からのソフトウェアによる詮索攻撃に対抗するために、許可データのキー付きチェックサムを検証するために用いられる秘密キーは、ハードウェア・モジュールの外側のクライアントには露出されていない。これを実施するために、一実施形態では、同じハードウェア・モジュール122内に、総合キー管理プロトコルが実装され、ハードウェア・モジュールの外側のクライアント内では、秘密キー即ちプライベートキーを平文では露出させない。
一例として、クライアント102は、以下の手順を用いて、TGS_REPメッセージを処理することができる。この例では、「クライアント」とはクライアント102自身または許可モジュール122(クライアント内部にある場合)のいずれかを意味する。当業者であれば、許可モジュール122を備えたクライアントは、許可モジュールの外側では暗号化処理を行わせないことが認識されるであろう。まず、クライアント102はTGS_REPメッセージ・ヘッダを解析する。ヘッダの解析ができなかった場合、クライアント102は、TGS_REPが受信されなかったかのように振る舞う。クライアント102は、エラー・メッセージをTGSサーバ110に返送しない方が好ましい。場合によっては、クライアント102は別のTGS_REQメッセージを用いて再試行する。未処理のTGS_REQメッセージがある場合、クライアント102は、タイム・アウトまで回答を待ち続け、次いで再試行することができる。次いで、クライアント102は、ヘッダ内にあるプロトコル・バージョン番号を検証する。このプロトコル・バージョンに対応していない場合、クライアント102は、TGS_REPメッセージが受信されなかったか
のように振る舞う。それ以外の場合、クライアント102は次にメッセージの残り部分を解析する。メッセージ・フォーマットが違法であることがわかった場合、クライアント102は、TGS_REPメッセージが受信されなかったかのように振る舞う。
次に、クライアント102は、同じノンスを有する未処理のTGS_REQメッセージを探す。一致がない場合、クライアントは、メッセージが受信されなかったかのように続行する。チェックサムが検証されない場合、このメッセージを欠落させ、クライアント102は、メッセージが受信されなかったかのように続行する。
次に、クライアントは、TGTチケット・セッションキーを用いて、TGS_REPメッセージにおける秘密チケット部分を解読する。TGTチケット・セッションキーのタイプおよび暗号化データのタイプが一致しないために秘密チケット部分が解読できない場合、致命的なエラーがユーザに報告され、クライアント102は再試行しない。得られた平文テキストがフォーマット・エラーを含む場合、またはこのクライアント102がサポートしていないタイプのセッションキーを含む場合、または要求と一致しないクライアントの身元を含む場合も、致命的エラーがユーザに報告され、クライアント102は再試行しない。セッションキータイプがサポートされており、クライアントがTGS_REPメッセージの秘密チケット部分を解読できる場合、クライアントは許可データの第2コピーを抽出し、これを検証し、後の使用のためにこれを保持する。
次に、クライアント102はSTチケットを処理する。STチケット内にエラーがある場合、これをユーザに致命的エラーとして報告し、クライアント102は他のTGS_REQメッセージで再試行しない。TGS_REPメッセージ内にエラーが検出されない場合、クライアント102はSTチケット、および許可データの第1コピーを含む平文秘密チケット部分全体を、そのチケット・キャッシュ内の新たなエントリに保存する。許可モジュール122がクライアント102内にある実施形態では、クライアントは、変更バージョンのチケットに対するチェックサムを生成するためにサーバキーを入手しないため、STチケットは、クライアント102内部で、かつ許可モジュール122の外側に格納され得る。許可データは、許可モジュール122内部に格納されるか、あるいはキー付きチェックサムまたはディジタル署名によって認証され、次いでクライアント102内部でモジュールの外部に格納され得る。許可データを許可モジュール122の外部に格納する場合(モジュールの必要記憶量を極力抑えるため)、ハッカーの許可データを変更しようとする試みは、許可モジュール122によって検出される。これは、許可データのためにキー付きチェックサムまたはディジタル署名を生成する際に用いられるキーは、許可モジュール122の外部では読むことができないからである。
KEY_REQおよびKEY_REPメッセージは、クライアント102とアプリケーション・サーバ106との間におけるキー管理および認証のために用いられる。KEY_REQメッセージは、クライアント102によってアプリケーション・サーバ106に送られ、新たな1組のセキュリティ・パラメータを確立する。また、KEY_REQメッセージは、クライアント102が定期的にアプリケーション・サーバ106との新たなキーを確立するためにも用いることができる。クライアント102は、TGS_REPメッセージにおいて前に取得されている有効なSTメッセージによって開始する。アプリケーション・サーバ106は、そのサービスキーで開始し、これを用いてチケットを解読し有効性を判断することができる。クライアントは、STチケット、およびクライアント102を認証するために必要なキー付きチェックサムを含むKEY_REQメッセージを生成する。KEY_REQメッセージは、反射攻撃(replay attack) を防止するために、これを応答KEY_REPメッセージおよびクライアント・タイムスタンプに結び付けるノンスも含むことが好ましい。
クライアント102がKEY_REQメッセージを生成するとき、許可データの第1コピー、および一実施形態では、クライアント102の身元は、STチケットの暗号化部分に存在する。クライアント102がKEY_REQメッセージを送り出した後、アプリケーション・サーバ106からの一致するKEY_REPメッセージの有効性を後に判断するために、クライアントのノンス値を保存する。クライアント102は、設定可能なタイム・アウト値が終了するまで、クライアントのノンス値を保持する。タイム・アウトの後では、クライアント102はもはや対応するKEY_REPメッセージを処理することができない。クライアント102は、このタイム・アウトの後に再試行することができる。
KEY_REPメッセージは、KEY_REQメッセージに応答して、アプリケーション・サーバ106によって送られる。一例として、KEY_REQメッセージは、クライアント102およびアプリケーション・サーバ106間で共有するセッションキーで暗号化されている、1つ以上のランダムに生成されたサブキーを含むことができる。KEY_REPメッセージは、セキュリティ・パラメータを確立するために必要な追加情報も含むことができる。
クライアント102は、KEY_REPメッセージを受信し、KEY_REPメッセージを処理する。クライアントは、メッセージ・ヘッダを解析し、プロトコル・バージョン番号を検証し、メッセージの残り部分を解析し、KEY_REP内のノンスを既存のクライアントKEY_REQノンスと照合し、クライアント102およびアプリケーション・サーバ106間で共有されるセッションキーを用いてチェックサムを検証する。更に、クライアントは、前記共有セッションキーを用いてKEY_REPのサブキーを解読し、選択したサイファースイート(ciphersuite) が受け入れ可能であることを検証し、暗号化されたDOIオブジェクト(認証)を解析し、コンテンツ解読キーおよび認証キーをサブキーから生成し、これらを後の使用のために保存する。
一実施形態では、クライアント102が、一旦、KEY_REPを受信し検証すると、クライアントによってCON_REQメッセージがアプリケーション・サーバ106に送られる。CON_REQメッセージを生成する際、クライアントは、同クライアントがAS_REPメッセージおよび/またはSTチケットを有するTGS_REPメッセージから受信して解読した、許可データの解読第2コピーにアクセスし、許可データを確認して、CON_REQメッセージが違法または不正なオプションを含んでいないことを確認する。したがって、クライアントのユーザ・インターフェースは改善され、ユーザは、CON_REQメッセージをサーバに提出し応答を待つ必要なく、最初から無許可のオプションを選択することを防止することができる。一実施形態では、クライアント102がなおも何らかの方法で無許可のCON_REQメッセージを生成した場合、許可モジュール122は、CON_REQメッセージのキー付きチェックサムを生成するために必要な対称キーを保持し、許可データの第2コピーが規定するクライアントの許可に違反するかまたはそれを超過するCON_REQメッセージに対して、このキー付きチェックサムを生成することを拒絶する。したがって、無許可のCON_REQメッセージはクライアント側で拒絶されるが、かかる無許可のメッセージが侵入してきた場合、CON_REQは、正しいキー付きチェックサムを有しておらず、サーバ106にクライアント許可をチェックすることを要求することなく拒絶されるので、アプリケーション・サーバ106は、通常、そのような無許可のCON_REQメッセージを発見することはない。
許可データの確認によって、アプリケーション・サーバ106において無許可のメッセージの処理を回避するため、システムが最適化され、クライアントとユーザとの対話が改善され、ユーザはアプリケーション・サーバ106の応答を待つことなく、その場で許可を評価することが可能となる。一実施形態では、CON_REQメッセージは、クライアント102およびアプリケーション・サーバ106が供給するセッションキーによって暗
号化される。
CON_REQメッセージを受信すると、アプリケーション・サーバ106はCON_REQメッセージを処理し、暗号化STチケットの一部として受信した許可データの第1コピーによって、要求の有効性を判断する。エラーがなく、コンテンツに対する要求が許可データの許可に違反していない場合、アプリケーション・サーバ106はCON_REPメッセージを生成し、クライアントが要求したコンテンツおよび/またはサービスの配信を開始する。通常、配信されるコンテンツは、クライアント102およびサーバ106が供給するセッションキーを用いて、アプリケーション・サーバ106によって暗号化されている。
クライアント102は、コンテンツを受信し、コンテンツを解読し、コンテンツを処理し利用し始める。一実施形態では、クライアント102は許可データのコピーを有しているので、クライアントは、受信したコンテンツおよび/またはサービスの正規使用を判断することができる。例えば、クライアント102は、許可データをチェックすることにより、クライアントはコンテンツのコピーを格納または保存することを許可されているか否か判断することができる。許可モジュール122は、許可データをチェックし、クライアントの許可を判断することができる。クライアントが許可されている場合、クライアントは、受信し解読したコンテンツを保存することができる。加えて、クライアントは許可データのコピーを有しているので、クライアント102は、一実施形態では許可モジュール122によって、更にクライアントは1回よりも多くコンテンツを再生または再使用できるか否かの許可を、チェックによって判断することができる。許可モジュール122は、通常、コンテンツ解読キーを格納しており、適正な許可がなければ、コンテンツを解読することを拒絶する。クライアントの許可を判断する能力を得るには、クライアント102がTGS_REPメッセージにおいて受信しその内部で使用するために格納してある、許可データの第2コピーを利用する。これによって、クライアントの動作が改善し、ネットワークを通じた通信を抑制する。
一実施形態では、システム100では、クライアントがSTチケットおよび許可データのクライアント・コピーを取得するためには、TGS_REQおよびTGS_REPの交換を行う必要がない。クライアント102は、特定のサーバ、例えば、ASサーバ108に、サービス・チケットのためにAS_REQを提出する。KDC104はAS_REQを処理し、最初のアプリケーション・サーバのための許可データの第1コピーを含むSTチケットを返す。更に、KDCは、許可データの第2コピーをクライアントに送る。前記許可データの第2コピーは、クライアント102がアクセスし利用するようにフォーマットされている。通常、KDC104が返送するAS_REPは、許可データの第1コピーを有するSTチケット、および許可データのクライアント・コピーを含む。したがって、クライアントは、TGS_REQを提出しなくても、STチケットと共に、許可データのクライアント・コピーを取得し続ける。
図2は、本発明の一実施形態の一実施態様によるシステム101の簡略ブロック図を示す。一実施形態では、クライアント102は第三者サーバ140にアクセスして所望のコンテンツおよび/またはサービスを選択し、次いでアプリケーション・サーバ106にアクセスして、選択したコンテンツおよび/またはサービスを実際に受信する。コンテンツおよび/サービスを選択する際、クライアント102は許可データのクライアント・コピーを利用する。コンテンツおよび/またはサービスの選択を第三者サーバ140に提出する前に、クライアントは、所望のコンテンツおよび/またはサービスを決めておき、次いで許可データのクライアント・コピーをチェックして、クライアントの許可を超過する選択を行うことを回避する。次いで、クライアント102は、コンテンツおよび/またはサービス選択を第三者サーバ140に送る。すると、第三者サーバ140は、コンテンツ
および/またはサービス選択を検証し、コンテンツおよび/サービス選択回答メッセージをクライアント102に送る。コンテンツおよび/サービス選択回答メッセージには、アプリケーション・サーバ106がクライアントに許可し、クライアントに選択したコンテンツおよび/またはサービスに対するアクセスを行わせるための情報が含まれている。このように、アプリケーション・サーバが第三者サーバの情報に基づいてクライアントの許可を決定しようとする場合に、クライアント102は、許可データを参照し、アプリケーション・サーバによって後であっさり拒絶される第三者サーバ104からのコンテンツおよび/またはサービスの許可を要求することを避ける。
一実施形態では、第三者サーバ140は、更に、第三者情報の認証も含む。この認証は、付加的に、クライアント102によって、通常KEY_REQメッセージ内でアプリケーション・サーバ106に転送される。アプリケーション・サーバ106は、この認証を利用して、クライアント102によってアプリケーション・サーバに供給された第三者サーバ情報を認証し、クライアントを許可するために使用する情報が、実際に第三者サーバ104からクライアントに供給されたのであり、他の何らかのネットワーク・エンティティから供給されたものではなく、あるいはクライアントによって生成された何らかの偽造情報ではないことを確認する。
KEY_REQメッセージをアプリケーション・サーバ106に提出する際、クライアント102は、第三者サーバ情報と、クライアントに供給された場合には、認証を含ませる。アプリケーション・サーバ106は、KEY_REQメッセージを処理し、第三者サーバ情報を認証し、この情報を利用してクライアントの許可を検証する。一旦、認証し検証したなら、アプリケーション・サーバ106は前述のようにKEY_REPを生成する。
図3を参照すると、アプリケーション・サーバからのコンテンツおよび/またはサーバを要求し使用するときに、クライアントが用いる、許可データの第2コピーをクライアントに供給する方法200のフロー・チャートが示されている。一例として、方法200は、システム100および前述の適切なメッセージ・タイプによって実現することができる。ステップ202において、クライアント102のようなクライアントから、TGTチケットの要求を受信する。ステップ204において、TGTチケットを生成する。ステップ204は、例えば、ASサーバ108によって実行することができる。ステップ206において、TGTチケットをクライアントに送る。このステップも、ASサーバ108によって実行することができる。一実施形態では、クライアントは、許可データのクライアント・コピーがAS_REPに含まれている場合、許可データのクライアント・コピーを抽出する。ステップ208において、特定のアプリケーションに向けたSTチケットの要求をクライアントから受信する。STチケットの要求は、TGTチケットを含み、通常では、クライアントの身元を平文では表示しない。ステップ210において、TGS_REPメッセージを生成する。このメッセージは、STチケット内で暗号化された許可データの第1コピーと、TGTチケットからのセッションキーを用いて暗号化した許可データの第2コピーとを含む。一実施形態では、TGS_REPの生成は、TGSサーバ110によって行われる。ステップ212において、TGS_REPメッセージを、許可データの両コピーと共に、クライアントに送る。このステップもTGSサーバ110によって実行することができる。ステップ214において、クライアントはTGS_REPを受信する。ステップ216において、クライアントはTGS_REPから、少なくとも許可データの第2コピーを抽出する。ステップ220において、クライアントは、STチケットを含むKEY_REQメッセージを生成し送る。これは、更に、許可データの第1コピーも含む。ステップ222において、アプリケーション・サーバはKEY_REQを受信し処理する。アプリケーション・サーバは、STチケットを抽出し、STチケットを解読し、許可データの第1コピーの有効性を判断する。ステップ224において、アプリケーション・サーバは、KEY_REPを生成し、KEY_REPをクライアントに送信する。ステップ226において、クライアントはKEY_REPメッセージを検証し、これをKEY_REQメッセージと照合する。
図4は、図3に示したプロセス200と同様の、プロセス240の一実施態様の簡略フロー図を示す。ステップ242において、クライアントはTGTチケット要求を送る。ステップ244において、KDC104はTGTチケットを生成する。ステップ246において、KDC104は、クライアント許可データのクライアント・コピーと共にTGTチケットを送る。ステップ248において、クライアントはTGTチケットを受信し、許可データのクライアント・コピー全体を抽出する。ステップ250において、クライアント102は、STチケットを要求するTGS_REQを送る。ステップ252において、KDCはTGS_REPを返送する。ステップ254において、クライアントはTGS_REPを受信し、STチケットおよび許可データのサーバ特定の第2コピーを抽出する。ステップ256において、クライアントは、所望のコンテンツおよび/またはサービスを決定し、許可データのクライアント・コピーにアクセスし、所望のコンテンツおよび/またはサービスを検証して、許可を超過したコンテンツおよび/またはサービスを要求するのを回避する。ステップ258において、クライアント102は、コンテンツおよびサービス選択を第三者サーバ140に提出する。ステップ260において、第三者サーバは、クライアントを許可するために用いられる第三者情報、およびこの情報の認証(例えば、キー付きチェックサム)を含む、コンテンツおよび/またはサービス選択回答を送る。第三者情報は、クライアントの認証を検証するために用いることができる情報、例えば、クライアントによって選択されたコンテンツの識別、「クレジット・カードへの課金」、「ユーザにこのコンテンツを保存させる」というような、コンテンツに付随する種々の購入オプション、およびその他のかかる情報を含む。また、第三者情報は、ブラックアウト領域(例えば、国、州、郵便番号に基づくブラックアウト領域)およびその他のかかる制約のリストのような、コンテンツに付随する制約も含むことができる。ステップ262において、クライアント102は、許可データを超過しないKEY_REQメッセージをアプリケーション・サーバ106に送る。KEY_REQメッセージは、第三者情報をその認証およびSTチケットと共に含み、STチケットは更に許可データの第1コピーも含む。ステップ264において、アプリケーション・サーバ106は、情報を認証し、第三者情報および許可データの第1コピーを用いてコンテンツおよび/またはサービスに対するクライアントの許可を検証する。ステップ266において、アプリケーション・サーバ106はKEY_REPをクライアント102に送る。
図5は、クライアントがアプリケーション・サーバからのコンテンツおよび/またはサービスを要求し受信するためのプロセス310の一実施態様の簡略フロー図を示す。一実施形態では、プロセス310は、図3に示すプロセス200のステップ226を踏襲して、許可データの第2コピーをクライアントに供給する。ステップ312において、クライアント102のようなクライアントは、所望のコンテンツおよび/サービスを決定する。例えば、クライアントは、ユーザまたは他のネットワーク・エンティティから、コンテンツに対する要求を受信する。ステップ314において、クライアントは、コンテンツおよび/またはサービスの要求を検証して、コンテンツに対する要求をチェックし、以前に取得し格納されている許可データの第2コピーと比較することによって、要求が許可されており、正規使用を超過しないことを確認する。一旦クライアントが要求を検証したなら、クライアントはCON_REQメッセージを生成する。ステップ316において、クライアントは、CON_REQメッセージを、暗号化し、キー付きチェックサムで認証し、アプリケーション・サーバ106(または第三者サーバ140)のようなアプリケーション・サーバに送る。ステップ320において、アプリケーション・サーバはCON_REQメッセージを解読し、キー付きチェックサム、およびSTチケット内にある許可データの第1コピーにおいて規定されているクライアントの許可アクセスに基づいて、要求の有効性を判断する。ステップ322において、アプリケーション・サーバは、STチケットおよび許可データの有効性が判断された場合、要求されたコンテンツ、および/
またはサービスを暗号化して送る。一実施形態では、アプリケーション・サーバは、要求コンテンツを複数の異なるパケットに入れて送り、所望のコンテンツ全体が単一のパケットには含まれず、数個のパケットに含まれるようにする。ステップ324において、クライアントは、要求したコンテンツを受信し、データを処理する。ステップ330において、クライアントは、格納してある許可データの第2コピーにアクセスし、クライアントが当該コンテンツおよび/またはサービスのコピーを格納できるか否か判定を行う。ステップ332において、クライアントがコンテンツおよび/またはサービスを格納することを許可されている場合には、クライアントはコンテンツおよび/またはサービスを格納する。許可されていない場合には、クライアントは、コンテンツが初めて受信されたとき、コンテンツにアクセスすることを許可され、次いでプロセスはステップ340に進み、追加のコンテンツを探す。それ以外の場合、ステップ334に進み、クライアントは、コンテンツを1回よりも多く再生することが可能であるかを判定する。可能である場合、ステップ336に進み、クライアントは、1回以上コンテンツにアクセスし再生することができる。ステップ340において、プロセスは、受信するコンテンツおよび/またはサービスが未だあるか否か判定を行う。ある場合には、プロセス310はステップ324に戻り、追加のコンテンツおよび/またはサービスを受信する。ステップ336において、それ以上データおよび/またはコンテンツがないと判断した場合、プロセス310は終了する。
本発明は、クライアントが、許可データの自身のコピーを格納しアクセスすることを可能にする方法、システム、装置、プログラム、およびコンピュータ・プログラム生産物を提供する。これによって、ユーザ・インターフェースが改良され、エラーが減少し、コンテンツおよび/またはサービス配信の効率が向上し最適化する。更に、クライアントに許可データの自身のコピーにアクセスさせることによって、クライアントは、配信されるコンテンツおよび/またはサービスの処理および利用に関して判断を下すことが可能となる。更にまた、必要な通信量が減少し、全体的なネットワーク・トラフィックが減少する。一実施形態では、本発明は、モトローラ社(Motorola,Inc)が開発した電子セキュリティ・ブローカ(ESBroker)プロトコル、および同様にモトローラ社が開発したIP権利管理システムの一部として実装される。
以上、ここに開示した発明は、具体的な実施形態およびそお応用を通じて説明したが、特許請求の範囲に明記されている本発明の範囲から逸脱することなく、多数の変更や変更も当業者には可能である。
本発明の一実施形態にしたがって構成したシステムの簡略ブロック図。 本発明の一実施形態の一実施態様によるシステムの簡略ブロック図。 クライアントが用いるために、許可データの第2コピーをクライアントに供給する方法のフロー図。 図3に示したプロセスと同様のプロセスの一実施形態の簡略フロー図。 クライアントがコンテンツおよび/またはサービスを要求し、アプリケーション・サーバから受信するプロセスの一実施形態の簡略フロー図。

Claims (10)

  1. クライアント(102)がアプリケーションサーバ(106)からのコンテンツとサービスのうちの少なくとも一方を要求する場合に、前記クライアント(102)による前記コンテンツの正規使用または前記クライアント(102)による前記サービスの正規使用を前記クライアント(102)が検証する検証方法であって、前記クライアント(102)にはキー配布局(104)から予めチケット付与チケットが提供され、前記検証方法は、
    前記チケット付与チケットを含むサービスチケット要求を、前記キー配布局(104)が前記クライアント(102)から受信するステップと;
    前記サービスチケット要求を受信した前記キー配布局(104)が、許可データの第1コピーを含むサービスチケットを生成するサービスチケット生成ステップであって、前記許可データの第2コピーは前記サービスチケットには含まれず、前記クライアント(102)による前記コンテンツの正規使用又は前記クライアント(102)による前記サービスの正規使用を前記クライアントが前記第2コピーを用いることによって検証できるように前記第2コピーは構成されていることと;
    前記第2コピーを前記キー配布局(104)が暗号化する第2コピー暗号化ステップと;
    前記サービスチケットと暗号化済みの前記第2コピーとを、前記キー配布局(104)が前記クライアント(102)に送信するサービスチケット送信ステップと
    を備えることを特徴とする、検証方法。
  2. 前記サービスチケット生成ステップでは、前記サービスチケットと前記第2コピーとを含むチケット付与サーバ回答メッセージ(TGS_REPメッセージ)が、前記キー配布局(104)によって生成される、
    請求項1記載の検証方法。
  3. 前記サービスチケット送信ステップでは、前記チケット付与サーバ回答メッセージ(TGS_REPメッセージ)が、前記キー配布局(104)から前記クライアントに送信される、
    請求項2記載の検証方法。
  4. 前記第2コピー暗号化ステップでは、前記キー配布局(104)がクライアントセッションキーを用いて前記第2コピーを暗号化する、
    請求項1記載の検証方法。
  5. 前記クライアントセッションキーは、前記チケット付与チケットから得られる、
    請求項4記載の検証方法。
  6. 前記検証方法は更に、前記キー配布局(104)がサーバキーを用いて前記サービスチケットを暗号化するステップを備える、
    請求項1記載の検証方法。
  7. 前記検証方法は更に、前記クライアント(102)によって:
    前記アプリケーションサーバに前記クライアント(102)が要求する所望コンテンツを決定するステップと;
    前記クライアント(102)による正規使用を前記所望コンテンツが超過していないことを、前記第2コピーを用いて検証するステップと;
    前記所望コンテンツが前記正規使用を超過していないことが検証された場合に、前記所望コンテンツに対する要求であるコンテンツ要求を生成するステップと;
    前記コンテンツ要求を第三者サーバに送信するステップと
    を備え、
    前記検証方法はその後に更に、
    前記正規使用を前記所望コンテンツが超過していないことを前記アプリケーションサーバ(106)が判定するために前記アプリケーションサーバ(106)によって使用される第三者情報を、前記第三者サーバ(140)が前記クライアント(102)に送信するステップを備える、
    請求項1記載の検証方法。
  8. 前記検証方法は更に、前記アプリケーションサーバ(106)によって:
    前記サービスチケット送信ステップ後の前記クライアント(102)からキー要求メッセージを受信するステップと;
    キー回答メッセージを生成するステップと;
    前記キー回答メッセージを前記クライアント(102)に転送するステップと
    を備え、
    前記検証方法は更に、前記前記キー回答メッセージを受信した前記クライアント(102)によって:
    前記コンテンツに対する要求を生成するステップと;
    前記第2コピーを用いて、前記コンテンツに対する前記要求を検証するステップと;
    前記コンテンツに対する前記要求に誤りがないことを検証した場合、前記コンテンツに対する前記要求を前記アプリケーションサーバ(106)に送信するステップと
    を備える、
    請求項1記載の検証方法。
  9. クライアント(102)とキー配布局(104)を有する通信提供システムであって、前記クライアント(102)がアプリケーションサーバ(106)からのコンテンツとサービスのうちの少なくとも一方を要求する場合に、前記クライアント(102)による前記コンテンツの正規使用と前記クライアント(102)による前記サービスの正規使用を前記クライアント(102)が検証するように前記通信提供システムは構成され、前記クライアント(102)には前記キー配布局(104)から予めチケット付与チケットが提供され、
    前記キー配布局(104)は、前記チケット付与チケットを含むサービスチケット要求を、前記クライアント(102)から受信し;許可データの第1コピーを含むサービスチケットを生成し;前記サービスチケットには含まれない前記許可データの第2コピーを暗号化し;前記サービスチケットと暗号化済みの前記第2コピーとを、前記クライアント(102)に送信するように構成され、
    前記クライアント(102)による前記コンテンツの正規使用または前記クライアント(102)による前記サービスの正規使用を、前記クライアントが前記第2コピーを用いて検証できるように前記第2コピーは構成されていることを特徴とする、通信提供システム。
  10. 前記クライアント(102)は、前記サービスチケットと前記第2コピーとを含むチケット付与サーバ回答を前記キー配布局(104)から受信するように構成される、
    請求項9記載の通信提供システム。
JP2003567021A 2002-02-04 2003-01-02 クライアントが許可を検証できるキー管理プロトコルを設けるためのシステムおよび方法 Expired - Lifetime JP4674044B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/067,446 US7231663B2 (en) 2002-02-04 2002-02-04 System and method for providing key management protocol with client verification of authorization
PCT/US2003/000084 WO2003067801A2 (en) 2002-02-04 2003-01-02 Key management with client verification of authorization

Publications (3)

Publication Number Publication Date
JP2005517347A JP2005517347A (ja) 2005-06-09
JP2005517347A5 JP2005517347A5 (ja) 2009-12-24
JP4674044B2 true JP4674044B2 (ja) 2011-04-20

Family

ID=27658851

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003567021A Expired - Lifetime JP4674044B2 (ja) 2002-02-04 2003-01-02 クライアントが許可を検証できるキー管理プロトコルを設けるためのシステムおよび方法

Country Status (10)

Country Link
US (1) US7231663B2 (ja)
EP (1) EP1486025B1 (ja)
JP (1) JP4674044B2 (ja)
KR (1) KR101132148B1 (ja)
CN (1) CN1640092A (ja)
AT (1) ATE530973T1 (ja)
AU (1) AU2003207444A1 (ja)
CA (1) CA2475150C (ja)
MX (1) MXPA04007547A (ja)
WO (1) WO2003067801A2 (ja)

Families Citing this family (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7962655B2 (en) * 2002-07-29 2011-06-14 Oracle International Corporation Using an identity-based communication layer for computing device communication
US7900247B2 (en) * 2005-03-14 2011-03-01 Microsoft Corporation Trusted third party authentication for web services
US7937753B2 (en) * 2005-03-25 2011-05-03 Microsoft Corporation Method and apparatus for distributed information management
EP1833222A1 (en) * 2006-03-10 2007-09-12 Abb Research Ltd. Access control protocol for embedded devices
US8185576B2 (en) * 2006-03-14 2012-05-22 Altnet, Inc. Filter for a distributed network
CN101051898B (zh) * 2006-04-05 2010-04-21 华为技术有限公司 无线网络端到端通信认证方法及其装置
US8161164B2 (en) * 2006-04-28 2012-04-17 Microsoft Corporation Authorizing service requests in multi-tiered applications
JP5464794B2 (ja) * 2006-07-24 2014-04-09 コニカミノルタ株式会社 ネットワーク管理方法およびネットワーク管理システム
JP4983165B2 (ja) * 2006-09-05 2012-07-25 ソニー株式会社 通信システムおよび通信方法、情報処理装置および方法、デバイス、プログラム、並びに記録媒体
US20080098120A1 (en) * 2006-10-23 2008-04-24 Microsoft Corporation Authentication server auditing of clients using cache provisioning
EP1965558B1 (en) * 2007-03-01 2011-10-19 Mitsubishi Electric Corporation Method, apparatuses and computer program product for robust digest authentication using two types of nonce values
JP4448167B2 (ja) * 2007-12-28 2010-04-07 フェリカネットワークス株式会社 通信デバイス、リモートサーバおよび端末装置
CN101436930A (zh) * 2007-11-16 2009-05-20 华为技术有限公司 一种密钥分发的方法、系统和设备
JP4470071B2 (ja) * 2008-03-03 2010-06-02 フェリカネットワークス株式会社 カード発行システム、カード発行サーバ、カード発行方法およびプログラム
US8621598B2 (en) * 2008-03-12 2013-12-31 Intuit Inc. Method and apparatus for securely invoking a rest API
US8462954B2 (en) * 2008-05-30 2013-06-11 Motorola Mobility Llc Content encryption using at least one content pre-key
US8862872B2 (en) * 2008-09-12 2014-10-14 Qualcomm Incorporated Ticket-based spectrum authorization and access control
US8548467B2 (en) 2008-09-12 2013-10-01 Qualcomm Incorporated Ticket-based configuration parameters validation
US9148335B2 (en) * 2008-09-30 2015-09-29 Qualcomm Incorporated Third party validation of internet protocol addresses
US9436763B1 (en) * 2010-04-06 2016-09-06 Facebook, Inc. Infrastructure enabling intelligent execution and crawling of a web application
US9432373B2 (en) 2010-04-23 2016-08-30 Apple Inc. One step security system in a network storage system
CN103444128B (zh) * 2011-03-18 2017-04-05 塞尔蒂卡姆公司 密钥pv签名
CN103460259B (zh) 2011-03-29 2016-01-27 因温特奥股份公司 建筑物访问信息的分配
US10333711B2 (en) * 2011-06-17 2019-06-25 Microsoft Technology Licensing, Llc Controlling access to protected objects
US9026784B2 (en) 2012-01-26 2015-05-05 Mcafee, Inc. System and method for innovative management of transport layer security session tickets in a network environment
US9137235B2 (en) * 2012-03-23 2015-09-15 Cloudpath Networks, Inc. System and method for providing a certificate based on list membeship
CN104468074A (zh) * 2013-09-18 2015-03-25 北京三星通信技术研究有限公司 应用程序之间认证的方法及设备
US9729538B2 (en) * 2014-09-01 2017-08-08 Microsoft Israel Research And Development (2002) Ltd System, method and process for detecting advanced and targeted attacks with the recoupling of kerberos authentication and authorization
CN104836802B (zh) * 2015-04-24 2018-04-06 深圳墨麟科技股份有限公司 基于登陆服务器的登陆链接方法及系统
US20160330221A1 (en) * 2015-05-07 2016-11-10 Cyber-Ark Software Ltd. Systems and Methods for Detecting and Reacting to Malicious Activity in Computer Networks
US10171447B2 (en) 2015-06-15 2019-01-01 Airwatch Llc Single sign-on for unmanaged mobile devices
US11057364B2 (en) * 2015-06-15 2021-07-06 Airwatch Llc Single sign-on for managed mobile devices
US10944738B2 (en) 2015-06-15 2021-03-09 Airwatch, Llc. Single sign-on for managed mobile devices using kerberos
US10812464B2 (en) 2015-06-15 2020-10-20 Airwatch Llc Single sign-on for managed mobile devices
ES2828948T3 (es) * 2015-07-02 2021-05-28 Telefonica Cibersecurity & Cloud Tech S L U Método, sistema y productos de programa informático para posibilitar de forma segura una funcionalidad en - red a lo largo de sesiones de datos cifradas
US9450944B1 (en) 2015-10-14 2016-09-20 FullArmor Corporation System and method for pass-through authentication
US9762563B2 (en) 2015-10-14 2017-09-12 FullArmor Corporation Resource access system and method
US9509684B1 (en) * 2015-10-14 2016-11-29 FullArmor Corporation System and method for resource access with identity impersonation
US11063753B2 (en) * 2019-03-20 2021-07-13 Arris Enterprises Llc Secure distribution of device key sets over a network
JP7395938B2 (ja) * 2019-10-09 2023-12-12 富士フイルムビジネスイノベーション株式会社 情報処理装置、情報処理システム及びプログラム
CN113037477A (zh) * 2021-03-08 2021-06-25 北京工业大学 一种基于Intel SGX的Kerberos安全增强方法
GB2607289A (en) * 2021-05-28 2022-12-07 Mastercard International Inc Data management and encryption in a distributed computing system
CN113922952B (zh) * 2021-09-30 2024-03-01 恒众创美(深圳)发展合伙企业(有限合伙) 访问请求响应方法、装置、计算机设备和存储介质

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2519390B2 (ja) * 1992-09-11 1996-07-31 インターナショナル・ビジネス・マシーンズ・コーポレイション デ―タ通信方法及び装置
US5590199A (en) * 1993-10-12 1996-12-31 The Mitre Corporation Electronic information network user authentication and authorization system
US5455953A (en) * 1993-11-03 1995-10-03 Wang Laboratories, Inc. Authorization system for obtaining in single step both identification and access rights of client to server directly from encrypted authorization ticket
US5999711A (en) * 1994-07-18 1999-12-07 Microsoft Corporation Method and system for providing certificates holding authentication and authorization information for users/machines
US6301661B1 (en) 1997-02-12 2001-10-09 Verizon Labortories Inc. Enhanced security for applications employing downloadable executable content
JP2000010930A (ja) * 1998-06-24 2000-01-14 Hitachi Ltd ネットワークシステムでのアクセス制御方法
US7340600B1 (en) * 2000-01-14 2008-03-04 Hewlett-Packard Development Company, L.P. Authorization infrastructure based on public key cryptography
US6993652B2 (en) * 2001-10-05 2006-01-31 General Instrument Corporation Method and system for providing client privacy when requesting content from a public server

Also Published As

Publication number Publication date
WO2003067801A3 (en) 2004-10-14
CA2475150C (en) 2013-03-26
US20030149871A1 (en) 2003-08-07
EP1486025A2 (en) 2004-12-15
MXPA04007547A (es) 2004-11-10
ATE530973T1 (de) 2011-11-15
EP1486025A4 (en) 2005-08-03
KR101132148B1 (ko) 2012-04-03
CN1640092A (zh) 2005-07-13
US7231663B2 (en) 2007-06-12
EP1486025B1 (en) 2011-10-26
AU2003207444A8 (en) 2003-09-02
AU2003207444A1 (en) 2003-09-02
CA2475150A1 (en) 2003-08-14
KR20040101219A (ko) 2004-12-02
JP2005517347A (ja) 2005-06-09
WO2003067801A2 (en) 2003-08-14

Similar Documents

Publication Publication Date Title
JP4674044B2 (ja) クライアントが許可を検証できるキー管理プロトコルを設けるためのシステムおよび方法
US6993652B2 (en) Method and system for providing client privacy when requesting content from a public server
EP3376735B1 (en) Method and system for providing third party authentication of authorization
US5999711A (en) Method and system for providing certificates holding authentication and authorization information for users/machines
KR101078455B1 (ko) 보안 인터넷 프로토콜 권한 관리 아키텍쳐에 대한 키 관리프로토콜 및 인증 시스템
US10554393B2 (en) Universal secure messaging for cryptographic modules
US7562221B2 (en) Authentication method and apparatus utilizing proof-of-authentication module
KR20040037155A (ko) 사용자 인증을 허용하는 사용자 단말의 고유 온라인프라비젼
CN101103630A (zh) 授权多媒体组播的方法和系统
WO2005062989A2 (en) Authentication system for networked computer applications
CN111526130B (zh) 一种轻量级的无证书工业物联网访问控制方法和系统
JPH05298174A (ja) 遠隔ファイルアクセスシステム
JP4499575B2 (ja) ネットワークセキュリティ方法およびネットワークセキュリティシステム
WO2005055516A1 (en) Method and apparatus for data certification by a plurality of users using a single key pair

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20051209

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090428

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20090728

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20090804

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20090828

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20090904

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20090928

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20091005

A524 Written submission of copy of amendment under article 19 pct

Free format text: JAPANESE INTERMEDIATE CODE: A524

Effective date: 20091028

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100525

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100825

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100901

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100927

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20101004

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20101025

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20101101

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101125

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110104

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110124

R150 Certificate of patent or registration of utility model

Ref document number: 4674044

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140128

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R371 Transfer withdrawn

Free format text: JAPANESE INTERMEDIATE CODE: R371

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term