RU2018126780A - Сетевая система для безопасной связи - Google Patents
Сетевая система для безопасной связи Download PDFInfo
- Publication number
- RU2018126780A RU2018126780A RU2018126780A RU2018126780A RU2018126780A RU 2018126780 A RU2018126780 A RU 2018126780A RU 2018126780 A RU2018126780 A RU 2018126780A RU 2018126780 A RU2018126780 A RU 2018126780A RU 2018126780 A RU2018126780 A RU 2018126780A
- Authority
- RU
- Russia
- Prior art keywords
- participant
- key
- configurator
- network
- public key
- Prior art date
Links
- 238000004891 communication Methods 0.000 title claims 22
- 238000012360 testing method Methods 0.000 claims 20
- 238000000034 method Methods 0.000 claims 8
- 238000012546 transfer Methods 0.000 claims 3
- 238000012795 verification Methods 0.000 claims 2
- 238000004590 computer program Methods 0.000 claims 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/77—Graphical identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Claims (181)
1. Устройство-участник для использования в сетевой системе, выполненной с возможностью беспроводной связи (150, 150') между сетевыми устройствами в области и для безопасной связи согласно протоколу безопасности, причем сетевая система содержит:
- сетевое устройство, выполненное с возможностью действовать как устройство-участник (110) согласно протоколу безопасности для получения доступа к сети, и
- сетевое устройство, выполненное с возможностью действовать как устройство-конфигуратор (130) согласно протоколу безопасности для обеспечения возможности доступа к сети устройством-участником;
при этом устройство-конфигуратор содержит блок (132) связи конфигуратора, выполненный с возможностью принимать от устройства-участника запрос сетевого доступа согласно протоколу безопасности, причем запрос сетевого доступа включает в себя закодированный второй общедоступный ключ участника и первый общедоступный ключ участника, и процессор (131) конфигуратора, содержащий память, выполненную с возможностью хранить для устройства-конфигуратора общедоступный ключ конфигуратора и соответствующий секретный ключ конфигуратора, и хранить для сетевой системы сетевой общедоступный ключ и соответствующий сетевой секретный ключ, причем процессор конфигуратора выполнен с возможностью:
- выводить первый совместно используемый ключ на основе сетевого секретного ключа и первого общедоступного ключа участника,
- декодировать закодированный второй общедоступный ключ участника с использованием первого совместно используемого ключа,
- верифицировать, был ли закодированный второй общедоступный ключ участника закодирован первым совместно используемым ключом, и, если это так,
- генерировать данные безопасности с использованием второго общедоступного ключа участника и секретного ключа конфигуратора,
- выводить второй совместно используемый ключ на основе первого общедоступного ключа участника, второго общедоступного ключа участника и сетевого секретного ключа,
- криптографически защищать с использованием второго совместно используемого ключа по меньшей мере одно из данных безопасности и общедоступного ключа конфигуратора, и
- генерировать сообщение сетевого доступа согласно протоколу безопасности, причем сообщение сетевого доступа включает в себя по меньшей мере одно из защищенных данных безопасности и защищенного общедоступного ключа конфигуратора;
при этом устройство-участник содержит:
блок (112) беспроводной связи участника, выполненный с возможностью беспроводной связи;
датчик (113) участника, выполненный с возможностью извлекать шаблон (140) данных через внеполосный канал, причем шаблон данных обеспечивается в упомянутой области и представляет сетевой общедоступный ключ; и
процессор (111) участника, содержащий память, выполненную с возможностью хранить первый общедоступный ключ участника и соответствующий первый секретный ключ участника, и хранить второй общедоступный ключ участника и соответствующий второй секретный ключ участника, причем процессор (111) участника выполнен с возможностью:
- выводить первый совместно используемый ключ на основе сетевого общедоступного ключа и первого секретного ключа участника,
- кодировать второй общедоступный ключ участника с использованием первого совместно используемого ключа,
- генерировать запрос сетевого доступа согласно протоколу безопасности, причем запрос сетевого доступа включает в себя закодированный второй общедоступный ключ участника и первый общедоступный ключ участника, и
- передавать запрос сетевого доступа в устройство-конфигуратор через блок беспроводной связи участника;
причем процессор участника дополнительно выполнен с возможностью:
- принимать сообщение сетевого доступа от конфигуратора через блок беспроводной связи участника,
- выводить второй совместно используемый ключ на основе первого секретного ключа участника, второго секретного ключа участника и сетевого общедоступного ключа,
- верифицировать, было ли по меньшей мере одно из защищенных данных безопасности и защищенного общедоступного ключа конфигуратора криптографически защищено вторым совместно используемым ключом, и, если это так,
- приводить в действие безопасную связь на основе второго секретного ключа участника и данных безопасности.
2. Устройство-участник по п. 1, в котором
- процессор (111) участника выполнен с возможностью генерировать временный общедоступный ключ участника и соответствующий временный секретный ключ участника, причем эти ключи составляют первый общедоступный ключ участника и соответствующий первый секретный ключ участника; и/или
- процессор участника выполнен с возможностью генерировать дополнительный временный общедоступный ключ участника и соответствующий дополнительный временный секретный ключ участника, причем эти ключи составляют второй общедоступный ключ участника и соответствующий второй секретный ключ участника.
3. Устройство-участник по п. 1 или 2, при этом процессор (131) конфигуратора дополнительно выполнен с возможностью генерировать данные безопасности посредством обеспечения сеансового ключа конфигуратора и передачи сеансового ключа конфигуратора участнику; причем процессор (111) участника дополнительно выполнен с возможностью:
- принимать сеансовый ключ конфигуратора и
- приводить в действие безопасную связь на основе сеансового ключа конфигуратора.
4. Устройство-участник по любому из предшествующих пунктов, при этом процессор (131) конфигуратора дополнительно выполнен с возможностью:
- генерировать сеансовый общедоступный ключ конфигуратора и соответствующий сеансовый секретный ключ конфигуратора,
- выводить третий совместно используемый ключ на основе сеансового секретного ключа конфигуратора и второго общедоступного ключа участника, и
- передавать сеансовый общедоступный ключ конфигуратора участнику;
причем процессор (111) участника дополнительно выполнен с возможностью:
- принимать сеансовый общедоступный ключ конфигуратора,
- выводить третий совместно используемый ключ на основе второго секретного ключа участника и сеансового общедоступного ключа конфигуратора, и
- приводить в действие безопасную связь на основе третьего совместно используемого ключа.
5. Устройство-участник по любому из предшествующих пунктов, при этом сетевая система содержит дополнительное сетевое устройство (120), выполненное с возможностью:
- принимать второй общедоступный ключ участника и данные безопасности,
- обеспечивать сеансовый сетевой общедоступный ключ и соответствующий сеансовый сетевой секретный ключ,
- выводить пятый совместно используемый ключ на основе сеансового сетевого секретного ключа и второго общедоступного ключа участника и передавать сеансовый сетевой общедоступный ключ участнику;
при этом процессор (111) участника дополнительно выполнен с возможностью:
- принимать сеансовый сетевой общедоступный ключ,
- выводить пятый совместно используемый ключ на основе второго секретного ключа участника и сеансового сетевого общедоступного ключа, и
- приводить в действие безопасную связь с дополнительным сетевым устройством на основе пятого совместно используемого ключа.
6. Устройство-участник по любому из предшествующих пунктов, при этом процессор (131) конфигуратора дополнительно выполнен с возможностью:
- генерировать данные безопасности, содержащие цифровую подпись, посредством цифровой подписи второго общедоступного ключа участника с помощью секретного ключа конфигуратора,
- передавать цифровую подпись третьему устройству и/или участнику для обеспечения возможности безопасной связи между участником и третьим устройством;
при этом процессор (111) участника дополнительно выполнен с возможностью:
- принимать цифровую подпись,
- верифицировать на основе цифровой подписи и общедоступного ключа конфигуратора, был ли правильно подписан второй общедоступный ключ участника и, если это так,
- приводить в действие безопасную связь на основе второго секретного ключа участника.
7. Устройство-участник по п. 6, при этом сетевая система содержит дополнительное сетевое устройство (120), выполненное с возможностью:
- получать общедоступный ключ конфигуратора,
- принимать цифровую подпись и второй общедоступный ключ участника,
- верифицировать на основе цифровой подписи и общедоступного ключа конфигуратора, был ли правильно подписан второй общедоступный ключ участника и, если это так,
- приводить в действие безопасную связь с устройством-участником на основе второго общедоступного ключа участника.
8. Устройство-участник по любому из предшествующих пунктов, при этом процессор (131) конфигуратора дополнительно выполнен с возможностью генерировать дополнительные данные безопасности, содержащие дополнительную цифровую подпись, посредством цифрового подписывания, с помощью секретного ключа конфигуратора, дополнительного общедоступного ключа дополнительного сетевого устройства; при этом процессор (111) участника дополнительно выполнен с возможностью использования дополнительных данных безопасности посредством
- приема дополнительного общедоступного ключа и дополнительной цифровой подписи,
- верификации на основе дополнительной цифровой подписи и общедоступного ключа конфигуратора того, был ли правильно подписан дополнительный общедоступный ключ и, если это так,
- осуществления безопасной связи с дополнительным сетевым устройством с использованием второго секретного ключа участника и дополнительного общедоступного ключа.
9. Устройство-участник по любому из предшествующих пунктов, при этом процессор (131) конфигуратора дополнительно выполнен с возможностью:
- декодировать закодированные тестовые данные участника с использованием второго совместно используемого ключа,
- верифицировать, были ли тестовые данные участника закодированы вторым совместно используемым ключом на участнике,
при этом процессор (111) участника дополнительно выполнен с возможностью:
- генерировать тестовые данные участника,
- кодировать тестовые данные участника с использованием второго совместно используемого ключа,
- передавать закодированные тестовые данные участника конфигуратору.
10. Устройство-участник по любому из предшествующих пунктов, при этом процессор (131) конфигуратора дополнительно выполнен с возможностью:
- генерировать тестовые данные конфигуратора,
- кодировать тестовые данные конфигуратора с использованием второго совместно используемого ключа,
- передавать закодированные тестовые данные конфигуратора участнику;
при этом процессор (111) участника дополнительно выполнен с возможностью:
- декодировать закодированные тестовые данные конфигуратора с использованием второго совместно используемого ключа,
- верифицировать, были ли тестовые данные конфигуратора закодированы вторым совместно используемым ключом на конфигураторе.
11. Способ участника для использования в сетевой системе, выполненной с возможностью беспроводной связи (150, 150') между сетевыми устройствами в области и для безопасной связи согласно протоколу безопасности, причем сетевая система содержит:
- сетевое устройство, выполняющее способ участника, чтобы действовать как устройство-участник (110) согласно протоколу безопасности для получения доступа к сети, и
- сетевое устройство, выполненное с возможностью действовать как устройство-конфигуратор (130) согласно протоколу безопасности для обеспечения возможности доступа к сети устройством-участником;
при этом устройство-конфигуратор содержит блок (132) связи конфигуратора, выполненный с возможностью принимать от устройства-участника запрос сетевого доступа согласно протоколу безопасности, причем запрос сетевого доступа включает в себя закодированный второй общедоступный ключ участника и первый общедоступный ключ участника, и процессор (131) конфигуратора, содержащий память, выполненную с возможностью хранить для устройства-конфигуратора общедоступный ключ конфигуратора и соответствующий секретный ключ конфигуратора, и хранить для сетевой системы сетевой общедоступный ключ и соответствующий сетевой секретный ключ, причем процессор конфигуратора выполнен с возможностью:
- выводить первый совместно используемый ключ на основе сетевого секретного ключа и первого общедоступного ключа участника,
- декодировать закодированный второй общедоступный ключ участника с использованием первого совместно используемого ключа,
- верифицировать, был ли закодированный второй общедоступный ключ участника закодирован первым совместно используемым ключом, и, если это так,
- генерировать данные безопасности с использованием второго общедоступного ключа участника и секретного ключа конфигуратора,
- выводить второй совместно используемый ключ на основе первого общедоступного ключа участника, второго общедоступного ключа участника и сетевого секретного ключа,
- криптографически защищать с использованием второго совместно используемого ключа по меньшей мере одно из данных безопасности и общедоступного ключа конфигуратора, и
- генерировать сообщение сетевого доступа согласно протоколу безопасности, причем сообщение сетевого доступа включает в себя по меньшей мере одно из защищенных данных безопасности и защищенного общедоступного ключа конфигуратора;
при этом способ участника содержит этапы, на которых:
- хранят первый общедоступный ключ участника и соответствующий первый секретный ключ участника и второй общедоступный ключ участника и соответствующий второй секретный ключ участника,
- извлекают шаблон (140) данных через внеполосный канал, причем шаблон данных обеспечивается в упомянутой области и представляет сетевой общедоступный ключ,
- выводят первый совместно используемый ключ на основе сетевого общедоступного ключа и первого секретного ключа участника,
- кодируют второй общедоступный ключ участника с использованием первого совместно используемого ключа,
- генерируют запрос сетевого доступа согласно протоколу безопасности, причем запрос сетевого доступа включает в себя закодированный второй общедоступный ключ участника и первый общедоступный ключ участника, и
- передают запрос сетевого доступа в устройство-конфигуратор через блок беспроводной связи участника;
причем способ участника дополнительно содержит этапы, на которых:
- принимают сообщение сетевого доступа от конфигуратора,
- выводят второй совместно используемый ключ на основе первого секретного ключа участника, второго секретного ключа участника и сетевого общедоступного ключа,
- верифицируют, было ли по меньшей мере одно из защищенных данных безопасности и защищенного общедоступного ключа конфигуратора криптографически защищено вторым совместно используемым ключом, и, если это так,
- приводят в действие безопасную связь на основе второго секретного ключа участника и данных безопасности.
12. Способ конфигуратора для использования в сетевой системе, выполненной с возможностью беспроводной связи (150, 150') между сетевыми устройствами в области и для безопасной связи согласно протоколу безопасности, причем сетевая система содержит:
- сетевое устройство, выполненное с возможностью действовать как устройство-участник (110) согласно протоколу безопасности для получения доступа к сети, и
- сетевое устройство, выполняющее способ конфигуратора, чтобы действовать как устройство-конфигуратор (130) согласно протоколу безопасности для обеспечения возможности доступа к сети устройством-участником;
при этом устройство-участник содержит:
блок (112) беспроводной связи участника, выполненный с возможностью беспроводной связи;
датчик (113) участника, выполненный с возможностью извлекать шаблон (140) данных через внеполосный канал, причем шаблон данных обеспечивается в упомянутой области и представляет сетевой общедоступный ключ; и
процессор (111) участника, содержащий память, выполненную с возможностью хранить первый общедоступный ключ участника и соответствующий первый секретный ключ участника, и хранить второй общедоступный ключ участника и соответствующий второй секретный ключ участника, причем процессор (111) участника выполнен с возможностью:
- выводить первый совместно используемый ключ на основе сетевого общедоступного ключа и первого секретного ключа участника,
- кодировать второй общедоступный ключ участника с использованием первого совместно используемого ключа,
- генерировать запрос сетевого доступа согласно протоколу безопасности, причем запрос сетевого доступа включает в себя закодированный второй общедоступный ключ участника и первый общедоступный ключ участника, и
- передавать запрос сетевого доступа в устройство-конфигуратор через блок беспроводной связи участника;
при этом процессор участника дополнительно выполнен с возможностью:
- принимать сообщение сетевого доступа от конфигуратора через блок беспроводной связи участника, причем сообщение сетевого доступа включает в себя по меньшей мере одно из защищенных данных безопасности и защищенного общедоступного ключа конфигуратора,
- выводить второй совместно используемый ключ на основе первого секретного ключа участника, второго секретного ключа участника и сетевого общедоступного ключа,
- верифицировать, было ли по меньшей мере одно из защищенных данных безопасности и защищенного общедоступного ключа конфигуратора криптографически защищено вторым совместно используемым ключом, и, если это так,
- приводить в действие безопасную связь на основе второго секретного ключа участника и данных безопасности;
при этом способ конфигуратора содержит этапы, на которых:
- хранят для устройства-конфигуратора общедоступный ключ конфигуратора и соответствующий секретный ключ конфигуратора, а для сетевой системы - сетевой общедоступный ключ и соответствующий сетевой секретный ключ,
- принимают от устройства-участника запрос сетевого доступа согласно протоколу безопасности, причем запрос сетевого доступа включает в себя закодированный второй общедоступный ключ участника и первый общедоступный ключ участника,
- выводят первый совместно используемый ключ на основе сетевого секретного ключа и первого общедоступного ключа участника,
- декодируют закодированный второй общедоступный ключ участника с использованием первого совместно используемого ключа,
- верифицируют, был ли закодированный второй общедоступный ключ участника закодирован первым совместно используемым ключом, и, если это так,
- генерируют данные безопасности с использованием второго общедоступного ключа участника и секретного ключа конфигуратора,
- выводят второй совместно используемый ключ на основе первого общедоступного ключа участника, второго общедоступного ключа участника и сетевого секретного ключа,
- криптографически защищают с использованием второго совместно используемого ключа по меньшей мере одно из данных безопасности и общедоступного ключа конфигуратора, и
- генерируют сообщение сетевого доступа согласно протоколу безопасности.
13. Устройство-конфигуратор для использования в сетевой системе, выполненной с возможностью беспроводной связи (150, 150') между сетевыми устройствами в области и для безопасной связи согласно протоколу безопасности, причем сетевая система содержит:
- сетевое устройство, выполненное с возможностью действовать как устройство-участник (110) согласно протоколу безопасности для получения доступа к сети, и
- сетевое устройство, выполненное с возможностью действовать как устройство-конфигуратор (130) согласно протоколу безопасности для обеспечения возможности доступа к сети устройством-участником;
при этом устройство-участник содержит:
блок (112) беспроводной связи участника, выполненный с возможностью беспроводной связи;
датчик (113) участника, выполненный с возможностью извлекать шаблон (140) данных через внеполосный канал, причем шаблон данных обеспечивается в упомянутой области и представляет сетевой общедоступный ключ; и
процессор (111) участника, содержащий память, выполненную с возможностью хранить первый общедоступный ключ участника и соответствующий первый секретный ключ участника, и хранить второй общедоступный ключ участника и соответствующий второй секретный ключ участника, причем процессор (111) участника выполнен с возможностью:
- выводить первый совместно используемый ключ на основе сетевого общедоступного ключа и первого секретного ключа участника,
- кодировать второй общедоступный ключ участника с использованием первого совместно используемого ключа,
- генерировать запрос сетевого доступа согласно протоколу безопасности, причем запрос сетевого доступа включает в себя закодированный второй общедоступный ключ участника и первый общедоступный ключ участника, и
- передавать запрос сетевого доступа в устройство-конфигуратор через блок беспроводной связи участника;
причем процессор участника дополнительно выполнен с возможностью:
- принимать сообщение сетевого доступа от конфигуратора через блок беспроводной связи участника, причем сообщение сетевого доступа включает в себя по меньшей мере одно из защищенных данных безопасности и защищенного общедоступного ключа конфигуратора,
- выводить второй совместно используемый ключ на основе первого секретного ключа участника, второго секретного ключа участника и сетевого общедоступного ключа,
- верифицировать, было ли по меньшей мере одно из защищенных данных безопасности и защищенного общедоступного ключа конфигуратора криптографически защищено вторым совместно используемым ключом, и, если это так,
- приводить в действие безопасную связь на основе второго секретного ключа участника и данных безопасности;
при этом устройство-конфигуратор содержит блок (132) связи конфигуратора, выполненный с возможностью принимать от устройства-участника запрос сетевого доступа согласно протоколу безопасности, причем запрос сетевого доступа включает в себя закодированный второй общедоступный ключ участника и первый общедоступный ключ участника, и процессор (131) конфигуратора, содержащий память, выполненную с возможностью хранить для устройства-конфигуратора общедоступный ключ конфигуратора и соответствующий секретный ключ конфигуратора, и хранить для сетевой системы сетевой общедоступный ключ и соответствующий сетевой секретный ключ, причем процессор конфигуратора выполнен с возможностью:
- выводить первый совместно используемый ключ на основе сетевого секретного ключа и первого общедоступного ключа участника,
- декодировать закодированный второй общедоступный ключ участника с использованием первого совместно используемого ключа,
- верифицировать, был ли закодированный второй общедоступный ключ участника закодирован первым совместно используемым ключом, и, если это так,
- генерировать данные безопасности с использованием второго общедоступного ключа участника и секретного ключа конфигуратора,
- выводить второй совместно используемый ключ на основе первого общедоступного ключа участника, второго общедоступного ключа участника и сетевого секретного ключа,
- криптографически защищать с использованием второго совместно используемого ключа по меньшей мере одно из данных безопасности и общедоступного ключа конфигуратора, и
- генерировать сообщение сетевого доступа согласно протоколу безопасности.
14. Устройство-конфигуратор по п. 13, в котором процессор (131) конфигуратора выполнен с возможностью генерировать временный сетевой общедоступный ключ и соответствующий временный сетевой секретный ключ, причем эти ключи составляют сетевой общедоступный ключ и соответствующий сетевой секретный ключ.
15. Устройство-конфигуратор по п. 13 или 14, при этом процессор (111) участника дополнительно выполнен с возможностью
- принимать сеансовый общедоступный ключ конфигуратора,
- выводить третий совместно используемый ключ на основе второго секретного ключа участника и сеансового общедоступного ключа конфигуратора, и
- приводить в действие безопасную связь на основе третьего совместно используемого ключа;
при этом процессор (131) конфигуратора дополнительно выполнен с возможностью:
- генерировать сеансовый общедоступный ключ конфигуратора и соответствующий сеансовый секретный ключ конфигуратора,
- выводить третий совместно используемый ключ на основе сеансового секретного ключа конфигуратора и второго общедоступного ключа участника, и
- передавать сеансовый общедоступный ключ конфигуратора участнику.
16. Устройство-участник по любому из пп. 13-15, при этом процессор (131) конфигуратора дополнительно выполнен с возможностью:
- генерировать данные безопасности, содержащие цифровую подпись, посредством цифрового подписывания второго общедоступного ключа участника с помощью секретного ключа конфигуратора,
- передавать цифровую подпись третьему устройству и/или участнику для обеспечения возможности безопасной связи между участником и третьим устройством;
17. Устройство-конфигуратор по любому из пп. 13-16, при этом процессор (111) участника дополнительно выполнен с возможностью использовать дополнительные данные безопасности посредством
- приема дополнительного общедоступного ключа и дополнительной цифровой подписи,
- верификации на основе дополнительной цифровой подписи и общедоступного ключа конфигуратора того, был ли правильно подписан дополнительный общедоступный ключ и, если это так,
- осуществления безопасной связи с дополнительным сетевым устройством с использованием второго секретного ключа участника и дополнительного общедоступного ключа;
при этом процессор (131) конфигуратора дополнительно выполнен с возможностью генерировать дополнительные данные безопасности, содержащие дополнительную цифровую подпись, посредством цифрового подписывания, с помощью секретного ключа конфигуратора, дополнительного общедоступного ключа дополнительного сетевого устройства.
18. Устройство-конфигуратор по любому из пп. 13-17, при этом процессор (111) участника дополнительно выполнен с возможностью:
- генерировать тестовые данные участника,
- кодировать тестовые данные участника с использованием второго совместно используемого ключа,
- передавать закодированные тестовые данные участника конфигуратору;
при этом процессор (131) конфигуратора дополнительно выполнен с возможностью:
- декодировать закодированные тестовые данные участника с использованием второго совместно используемого ключа,
- верифицировать, были ли тестовые данные участника закодированы вторым совместно используемым ключом на участнике.
19. Устройство-конфигуратор по любому из предшествующих пунктов, при этом процессор (111) участника дополнительно выполнен с возможностью:
- декодировать закодированные тестовые данные конфигуратора с использованием второго совместно используемого ключа,
- верифицировать, были ли тестовые данные конфигуратора закодированы вторым совместно используемым ключом на конфигураторе;
при этом процессор (131) конфигуратора дополнительно выполнен с возможностью:
- генерировать тестовые данные конфигуратора,
- кодировать тестовые данные конфигуратора с использованием второго совместно используемого ключа,
- передавать закодированные тестовые данные конфигуратора участнику.
20. Компьютерный программный продукт, загружаемый из сети и/или хранящийся на машиночитаемом носителе и/или микропроцессорно-исполняемом носителе, каковой продукт содержит инструкции программного кода для реализации способа по любому из пп. 11-12 при исполнении на компьютере.
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP15201664.8 | 2015-12-21 | ||
| EP15201664 | 2015-12-21 | ||
| PCT/EP2016/080161 WO2017108412A1 (en) | 2015-12-21 | 2016-12-08 | Network system for secure communication |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| RU2018126780A true RU2018126780A (ru) | 2020-01-23 |
| RU2018126780A3 RU2018126780A3 (ru) | 2020-05-26 |
| RU2738808C2 RU2738808C2 (ru) | 2020-12-17 |
Family
ID=54979519
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2018126780A RU2738808C2 (ru) | 2015-12-21 | 2016-12-08 | Сетевая система для безопасной связи |
Country Status (10)
| Country | Link |
|---|---|
| US (3) | US10887310B2 (ru) |
| EP (1) | EP3395034B1 (ru) |
| JP (1) | JP6517444B2 (ru) |
| KR (1) | KR20180098589A (ru) |
| CN (1) | CN108476205B (ru) |
| BR (1) | BR112018012417A2 (ru) |
| MY (1) | MY190785A (ru) |
| RU (1) | RU2738808C2 (ru) |
| TW (1) | TWI735493B (ru) |
| WO (1) | WO2017108412A1 (ru) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20180098589A (ko) * | 2015-12-21 | 2018-09-04 | 코닌클리케 필립스 엔.브이. | 보안 통신을 위한 네트워크 시스템 |
| JP6766645B2 (ja) * | 2016-12-28 | 2020-10-14 | ブラザー工業株式会社 | 通信装置 |
| KR102348078B1 (ko) * | 2018-01-12 | 2022-01-10 | 삼성전자주식회사 | 사용자 단말 장치, 전자 장치, 이를 포함하는 시스템 및 제어 방법 |
| US11496322B2 (en) * | 2018-05-21 | 2022-11-08 | Entrust, Inc. | Identity management for software components using one-time use credential and dynamically created identity credential |
| CN113615227A (zh) * | 2019-01-10 | 2021-11-05 | Mhm微技术责任有限公司 | 可连接网络的感测装置 |
| US11128451B2 (en) | 2019-03-25 | 2021-09-21 | Micron Technology, Inc. | Remotely managing devices using blockchain and DICE-RIoT |
| CN110177088B (zh) * | 2019-05-08 | 2021-09-21 | 矩阵元技术(深圳)有限公司 | 一种临时身份认证方法、装置及系统 |
| JP7406893B2 (ja) * | 2019-10-16 | 2023-12-28 | キヤノン株式会社 | 通信装置、制御方法およびプログラム |
| WO2021076057A1 (en) * | 2019-10-18 | 2021-04-22 | Illinois At Singapore Pte Ltd | A security device and method of provenance verification |
| AU2020385641A1 (en) * | 2019-11-21 | 2022-06-16 | Inventio Ag | Method for secure data communication in a computer network |
| CN114830602B (zh) * | 2019-12-17 | 2024-08-02 | 微芯片技术股份有限公司 | 用于低吞吐量通信链路的系统的相互认证协议及用于执行该协议的设备 |
| US11184160B2 (en) | 2020-02-26 | 2021-11-23 | International Business Machines Corporation | Channel key loading in a computing environment |
| US11652616B2 (en) * | 2020-02-26 | 2023-05-16 | International Business Machines Corporation | Initializing a local key manager for providing secure data transfer in a computing environment |
| BR112022021973A2 (pt) * | 2020-05-01 | 2022-12-13 | Koninklijke Philips Nv | Método para configurar um dispositivo de registrando para comunicações em uma rede sem fio, dispositivo de registrando e dispositivo configurador |
| JP7711716B2 (ja) * | 2020-05-01 | 2025-07-23 | コーニンクレッカ フィリップス エヌ ヴェ | 再設定中の暗号強度の安全な変更 |
| EP3917188B1 (en) * | 2020-05-28 | 2023-06-21 | Nxp B.V. | Methods and systems for committing transactions utilizing rf ranging while protecting user privacy |
| CN114125832B (zh) * | 2020-08-31 | 2023-07-14 | Oppo广东移动通信有限公司 | 一种网络连接方法及终端、待配网设备、存储介质 |
| CN114338181B (zh) * | 2021-12-30 | 2024-07-02 | 成都天府通金融服务股份有限公司 | 一种保障网络通信可靠的加密传输方法 |
| EP4228306A1 (en) * | 2022-02-14 | 2023-08-16 | Koninklijke Philips N.V. | Early indication for changing cryptographic strength during configuration |
| TWI802443B (zh) * | 2022-06-16 | 2023-05-11 | 英業達股份有限公司 | 智能自動化配對同步測試系統及其方法 |
| US20240147229A1 (en) * | 2022-11-02 | 2024-05-02 | Arris Enterprises Llc | Onboarding using li-fi for dpp bootstrapping |
| CN117475536B (zh) * | 2023-09-29 | 2024-07-12 | 国网江苏省电力有限公司宿迁供电分公司 | 一种用于电气柜门的无源无线智能锁具系统及开锁方法 |
Family Cites Families (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7506370B2 (en) * | 2003-05-02 | 2009-03-17 | Alcatel-Lucent Usa Inc. | Mobile security architecture |
| JP2005268931A (ja) * | 2004-03-16 | 2005-09-29 | Matsushita Electric Ind Co Ltd | 情報セキュリティ装置及び情報セキュリティシステム |
| US7787863B2 (en) * | 2004-05-24 | 2010-08-31 | Computer Associates Think, Inc. | System and method for automatically configuring a mobile device |
| US8146142B2 (en) * | 2004-09-03 | 2012-03-27 | Intel Corporation | Device introduction and access control framework |
| CN1668136A (zh) * | 2005-01-18 | 2005-09-14 | 中国电子科技集团公司第三十研究所 | 一种实现移动自组网络节点间安全通信的方法 |
| KR100739809B1 (ko) * | 2006-08-09 | 2007-07-13 | 삼성전자주식회사 | Wpa-psk 환경의 무선 네트워크에서 스테이션을관리하는 방법 및 이를 위한 장치 |
| US7499547B2 (en) * | 2006-09-07 | 2009-03-03 | Motorola, Inc. | Security authentication and key management within an infrastructure based wireless multi-hop network |
| US8463238B2 (en) * | 2007-06-28 | 2013-06-11 | Apple Inc. | Mobile device base station |
| US8201226B2 (en) * | 2007-09-19 | 2012-06-12 | Cisco Technology, Inc. | Authorizing network access based on completed educational task |
| WO2010023506A1 (en) * | 2008-08-26 | 2010-03-04 | Nokia Corporation | Methods, apparatuses, computer program products, and systems for providing secure pairing and association for wireless devices |
| CN102036242B (zh) * | 2009-09-29 | 2014-11-05 | 中兴通讯股份有限公司 | 一种移动通讯网络中的接入认证方法和系统 |
| US8830866B2 (en) * | 2009-09-30 | 2014-09-09 | Apple Inc. | Methods and apparatus for solicited activation for protected wireless networking |
| US9084110B2 (en) * | 2010-04-15 | 2015-07-14 | Qualcomm Incorporated | Apparatus and method for transitioning enhanced security context from a UTRAN/GERAN-based serving network to an E-UTRAN-based serving network |
| CA2795358C (en) * | 2010-04-15 | 2017-12-19 | Qualcomm Incorporated | Apparatus and method for signaling enhanced security context for session encryption and integrity keys |
| JP5506650B2 (ja) * | 2010-12-21 | 2014-05-28 | 日本電信電話株式会社 | 情報共有システム、方法、情報共有装置及びそのプログラム |
| IL213662A0 (en) * | 2011-06-20 | 2011-11-30 | Eliphaz Hibshoosh | Key generation using multiple sets of secret shares |
| US9143402B2 (en) * | 2012-02-24 | 2015-09-22 | Qualcomm Incorporated | Sensor based configuration and control of network devices |
| KR101942797B1 (ko) * | 2012-04-13 | 2019-01-29 | 삼성전자 주식회사 | 휴대단말들 간의 무선 랜 링크 형성 방법 및 시스템 |
| RU2659488C2 (ru) * | 2012-10-15 | 2018-07-02 | Конинклейке Филипс Н.В. | Система беспроводной связи |
| US9350550B2 (en) * | 2013-09-10 | 2016-05-24 | M2M And Iot Technologies, Llc | Power management and security for wireless modules in “machine-to-machine” communications |
| US20150229475A1 (en) * | 2014-02-10 | 2015-08-13 | Qualcomm Incorporated | Assisted device provisioning in a network |
| US9667606B2 (en) * | 2015-07-01 | 2017-05-30 | Cyphermatrix, Inc. | Systems, methods and computer readable medium to implement secured computational infrastructure for cloud and data center environments |
| KR20180098589A (ko) * | 2015-12-21 | 2018-09-04 | 코닌클리케 필립스 엔.브이. | 보안 통신을 위한 네트워크 시스템 |
| US10575273B2 (en) * | 2016-03-31 | 2020-02-25 | Intel Corporation | Registration of devices in secure domain |
| US20180109418A1 (en) * | 2016-10-19 | 2018-04-19 | Qualcomm Incorporated | Device provisioning protocol (dpp) using assisted bootstrapping |
| US10547448B2 (en) * | 2016-10-19 | 2020-01-28 | Qualcomm Incorporated | Configurator key package for device provisioning protocol (DPP) |
| US10237070B2 (en) * | 2016-12-31 | 2019-03-19 | Nok Nok Labs, Inc. | System and method for sharing keys across authenticators |
| US10169587B1 (en) * | 2018-04-27 | 2019-01-01 | John A. Nix | Hosted device provisioning protocol with servers and a networked initiator |
| US10958425B2 (en) * | 2018-05-17 | 2021-03-23 | lOT AND M2M TECHNOLOGIES, LLC | Hosted dynamic provisioning protocol with servers and a networked responder |
| CN112566113B (zh) * | 2019-09-06 | 2023-04-07 | 阿里巴巴集团控股有限公司 | 密钥生成以及终端配网方法、装置、设备 |
-
2016
- 2016-12-08 KR KR1020187020968A patent/KR20180098589A/ko not_active Ceased
- 2016-12-08 BR BR112018012417-6A patent/BR112018012417A2/pt not_active IP Right Cessation
- 2016-12-08 CN CN201680075160.XA patent/CN108476205B/zh active Active
- 2016-12-08 RU RU2018126780A patent/RU2738808C2/ru active
- 2016-12-08 JP JP2018532365A patent/JP6517444B2/ja active Active
- 2016-12-08 MY MYPI2018000966A patent/MY190785A/en unknown
- 2016-12-08 US US16/062,192 patent/US10887310B2/en active Active
- 2016-12-08 WO PCT/EP2016/080161 patent/WO2017108412A1/en not_active Ceased
- 2016-12-08 EP EP16809765.7A patent/EP3395034B1/en active Active
- 2016-12-19 TW TW105142001A patent/TWI735493B/zh not_active IP Right Cessation
-
2020
- 2020-11-12 US US17/096,052 patent/US11399027B2/en active Active
-
2022
- 2022-06-27 US US17/849,773 patent/US11765172B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN108476205B (zh) | 2019-12-03 |
| JP6517444B2 (ja) | 2019-05-22 |
| US20220329598A1 (en) | 2022-10-13 |
| MY190785A (en) | 2022-05-12 |
| BR112018012417A2 (pt) | 2018-12-18 |
| US20180375870A1 (en) | 2018-12-27 |
| EP3395034B1 (en) | 2019-10-30 |
| EP3395034A1 (en) | 2018-10-31 |
| JP2018538758A (ja) | 2018-12-27 |
| TWI735493B (zh) | 2021-08-11 |
| RU2738808C2 (ru) | 2020-12-17 |
| US11399027B2 (en) | 2022-07-26 |
| RU2018126780A3 (ru) | 2020-05-26 |
| US10887310B2 (en) | 2021-01-05 |
| US11765172B2 (en) | 2023-09-19 |
| TW201725921A (zh) | 2017-07-16 |
| US20210067514A1 (en) | 2021-03-04 |
| CN108476205A (zh) | 2018-08-31 |
| WO2017108412A1 (en) | 2017-06-29 |
| KR20180098589A (ko) | 2018-09-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2018126780A (ru) | Сетевая система для безопасной связи | |
| ES2659639T3 (es) | Aprovisionamiento de dispositivos asistido en una red | |
| JP6736285B2 (ja) | 通信保護を備えた聴覚装置および関連する方法 | |
| CN107592308B (zh) | 一种面向移动支付场景的双服务器多因子认证方法 | |
| CN109923830A (zh) | 用于配置无线网络接入设备的系统和方法 | |
| NZ774490A (en) | Wireless access credential system | |
| MX2019007034A (es) | Sistemas y metodos para controlar el acceso a un espacio bloqueado utilizando claves criptograficas almacenadas en una cadena de bloques. | |
| BR112013000214A2 (pt) | método para permitir, em um dispositivo de comunicação, um canal de comunicação indireta entre o dispositivo de comunicação e pelo menos um dispositivo de comunicação adicional, dispositivo de comunicação para permitir um canal de comunicação indireta entre o dispositivo de comunicação e pelo menos um dispositivo de comunicações adicional, e produto de programa de computador | |
| US20210329462A1 (en) | Method and device to establish a wireless secure link while maintaining privacy against tracking | |
| WO2016144257A3 (en) | Method and system for facilitating authentication | |
| RU2011105187A (ru) | Протокол привязки устройства к станции | |
| JP2018505620A5 (ja) | 通信システム及び認証方法 | |
| CN110612729A (zh) | 锚密钥生成方法、设备以及系统 | |
| US11284249B2 (en) | Apparatus for secure hearing device communication and related method | |
| WO2013106094A3 (en) | System and method for device registration and authentication | |
| JP2012147478A5 (ru) | ||
| CN102780698A (zh) | 物联网平台中用户终端安全通信的方法 | |
| CN103685323A (zh) | 一种基于智能云电视网关的智能家居安全组网实现方法 | |
| CA2829689A1 (en) | An instant communication method and system | |
| RU2013140418A (ru) | Безопасный доступ к персональным записям о состоянии здоровья в экстренных ситуациях | |
| CN103581175A (zh) | 一种安全的数据聚合方法 | |
| CN105634737A (zh) | 一种数据传输方法、终端及其系统 | |
| MX386664B (es) | Método y sistema para mejorar la seguridad de una transacción. | |
| EP3000216B1 (en) | Secured data channel authentication implying a shared secret | |
| CN109756451B (zh) | 一种信息交互方法及装置 |