KR20200027527A - 디바이스들 사이에 안전하게 통신하기 위한 방법 및 디바이스 - Google Patents

디바이스들 사이에 안전하게 통신하기 위한 방법 및 디바이스 Download PDF

Info

Publication number
KR20200027527A
KR20200027527A KR1020207003119A KR20207003119A KR20200027527A KR 20200027527 A KR20200027527 A KR 20200027527A KR 1020207003119 A KR1020207003119 A KR 1020207003119A KR 20207003119 A KR20207003119 A KR 20207003119A KR 20200027527 A KR20200027527 A KR 20200027527A
Authority
KR
South Korea
Prior art keywords
electronic device
cryptographic key
key
authentication data
data message
Prior art date
Application number
KR1020207003119A
Other languages
English (en)
Other versions
KR102614209B1 (ko
Inventor
마르틴 부크
Original Assignee
레긱 이덴트시스템스 아게
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 레긱 이덴트시스템스 아게 filed Critical 레긱 이덴트시스템스 아게
Publication of KR20200027527A publication Critical patent/KR20200027527A/ko
Application granted granted Critical
Publication of KR102614209B1 publication Critical patent/KR102614209B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • H04L9/0836Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key using tree structure or hierarchical structure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0847Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms

Abstract

대칭 키 암호화를 사용하여 전자 디바이스들 사이에 안전하게 통신하기 위해, 제 1 전자 디바이스 (1) 는 제 2 전자 디바이스 (2) 로 크립토그래픽 키 계층에서의 제 1 크립토그래픽 키 (11) 의 위치를 나타내는 위치 정보를 갖는 메타데이터 (42) 를 전송한다. 제 2 전자 디바이스 (2) 는 제 1 전자 디바이스 (1) 로부터 수신된 위치 정보를 사용하여 제 2 전자 디바이스 (2) 에 저장된 제 2 크립토그래픽 키 (21) 로부터 일방향 함수를 통해 제 1 크립토그래픽 키를 도출한다. 후속적으로, 제 1 전자 디바이스 (1) 와 제 2 전자 디바이스 (2) 는 제 1 크립토그래픽 키를 사용하는 대칭 키 암호화로 안전하게 데이터를 통신한다.

Description

디바이스들 사이에 안전하게 통신하기 위한 방법 및 디바이스
본 발명은 전자 디바이스들 사이에 안전하게 통신하기 위한 방법 및 디바이스에 관한 것이다. 구체적으로, 본 발명은 대칭 키 암호화를 사용하여 전자 디바이스들 사이에 안전하게 통신하기 위한 방법 및 디바이스에 관한 것이다.
대칭 키 암호화에서, 통신 디바이스간에 교환되는 데이터의 암호화 및 암호 해독 양자 모두에 동일한 크립토그래픽 키가 사용된다. 따라서 크립토그래픽 키는 통신 디바이스간에 공유되는 비밀이다. 통신 디바이스들이 모두 비밀 크립토그래픽 키에 액세스해야한다는 사실은 대칭 키 암호화의 단점으로 간주된다 - 디바이스들 중 하나만 손상되면, 모든 각 디바이스 간의 통신이 더 이상 안전하지 않다.
EP 2424154 는 계층적 술어 암호화 체계를 구현하는 암호화 처리 시스템을 설명한다. EP 2424154 에 따르면, 키 생성 디바이스 (root) 는 마스터 비밀 키를 사용하여 하위 레벨 사용자의 디바이스에 대한 비밀 키를 생성한다. 비밀 키는 키 생성 디바이스에서 하위 레벨 사용자의 각 디바이스로 전송된다. 상위 레벨 디바이스에 의해 상위 레벨 키로부터 생성된 하위 레벨 키는 상위 레벨 키보다 더 제한된 능력들을 갖는다.
EP 2667538 은 트리 타입 계층 구조를 형성하는 셋업 디바이스 및 복수의 제 2 디바이스를 포함하는 계층적 아이덴티티 기반 암호화 시스템을 설명한다. 셋업 디바이스는 계층 구조의 루트를 형성하고 제 2 디바이스는 서로 다른 레벨의 계층을 형성한다. 셋업 디바이스 (200) 는 제 2 디바이스 각각에 의해 공통으로 사용되는 공개 키 및 루트 아래의 제 1 레벨 또는 제 2 레벨의 제 2 디바이스 각각에 대해 아이덴티티 기반 비밀 키를 생성한다. 제 2 디바이스는 공개 키와 그 자신의 비밀 키를 사용하여 암호화된 데이터를 해독한다. 제 2 디바이스는 그 자신의 비밀 키 및 자식 제 2 디바이스와 연관된 사용자 아이덴티티를 사용하여 그의 하위 (자식) 계층 레벨에서 추가의 제 2 디바이스에 대한 비밀 키를 추가로 생성한다. 계층적 비대칭 암호화 시스템은 조직에서의 상위 계층 레벨들이 조직에서의 그들 각각의 하위 계층 레벨들에서의 구성원의 디바이스에 대한 비밀 키를 생성하고 분배할 권리를 갖는 계층적 조직에서 적절하게 구현될 수 있다. 임의의 제 2 전자 디바이스의 비밀 키는 셋업 디바이스 또는 상위 레벨 제 2 전자 디바이스로부터 전송되어야 한다. 그러한 전송이 손상되면, 각각의 비밀 키 및 상기 각각의 비밀 키로부터 생성된 임의의 비밀 키가 손상된다.
US 8892865 는 인증 당사자와 인증자간에 공유되는 비밀 자격 증명으로부터 키를 생성하는, 인증을 위한 시스템 및 방법을 설명한다. 키의 생성은 키를 특수화하는 데 사용되는 파라미터의 형태의 특수 정보를 사용하는 것을 수반할 수 있다. 다수의 권한에 의해 보유된 키들로부터 도출된 키들 및/또는 정보는 그러한 키들 및/또는 정보를 요구하는 서명들이 키들에 대한 액세스없이 검증될 수 있도록 다른 키들을 생성하는데 사용될 수 있다. 키는 또한 데이터를 해독하는 키 홀더의 능력이 데이터를 암호화하는데 사용되는 키의 위치에 대한 계층에서의 키의 위치에 의존하도록 분배되는 키의 계층을 형성하도록 도출될 수도 있다. 키 계층은 또한 인가되지 않은 컨텐츠의 소스 또는 잠재적인 소스가 암호 해독된 컨텐츠로부터 식별가능하도록 디바이스가 컨텐츠를 암호 해독하는 것을 가능하게 하기 위해 컨텐츠 처리 디바이스에 키 세트를 분배하는데 사용될 수도 있다.
본 발명의 목적은 대칭 키 암호화를 사용하여 전자 디바이스들 사이에 안전하게 통신하기 위한 방법 및 디바이스를 제공하는 것이다. 특히, 본 발명의 목적은 비밀 키를 전송할 필요성이 감소된 대칭 키 암호화를 사용하는 보안된 통신을 위한 방법 및 디바이스를 제공하는 것이다.
본 발명에 따르면, 이들 목적들은 독립 청구항들의 특징들을 통해 달성된다. 그리고, 추가의 유리한 실시형태들은 종속 청구항들 및 상세한 설명으로부터 이해된다.
본 발명에 따르면, 전술한 목적은, 특히 대칭 키 암호화를 사용하여 전자 디바이스들 사이에 안전하게 통신하기 위해, 제 1 전자 디바이스의 회로가 메타데이터를 갖는 데이터 메시지를 제 2 전자 디바이스로 전송한다는 점에서 달성된다. 메타데이터는 크립토그래픽 키 계층의 제 1 크립토그래픽 키의 위치 정보를 포함한다. 크립토그래픽 키 계층에서, 상위 레벨 크립토그래픽 키보다 크립토그래픽 키 계층에서 하위 레벨에 위치되는 하위 레벨 크립토그래픽 키는 상위 레벨 크립토그래픽 키 및 크립토그래픽 키 계층에서 하위 레벨 크립토그래픽 키의 위치를 정의하는 위치 정보로부터 일방향 함수를 통해 도출된다. 제 2 전자 디바이스의 회로는 제 2 전자 디바이스 (2) 에 저장된 제 2 크립토그래픽 키 및 제 1 전자 디바이스로부터 수신된 위치 정보로부터 일방향 함수에 의해 제 1 크립토그래픽 키를 도출한다. 제 2 전자 디바이스의 회로는 제 1 크립토그래픽 키를 사용하여 제 1 전자 디바이스 (1) 로부터 수신된 메타데이터에 포함된 인증 데이터를 암호화함으로써 인증 데이터 메시지를 생성한다. 인증 데이터 메시지는 제 2 전자 디바이스 (2) 로부터 제 1 전자 디바이스 (1) 로 송신된다. 제 1 전자 디바이스의 회로는 인증 데이터를 획득하기 위해 제 1 크립토그래픽 키를 사용하여 인증 데이터 메시지를 해독한다. 제 1 전자 디바이스의 회로는 인증 데이터를 검증함으로써 제 2 전자 디바이스의 진위를 확인한다. 제 2 전자 디바이스의 진위를 확인한 때에, 데이터는 예를 들어 제 1 크립토그래픽 키를 사용하는 대칭 키 암호화로 제 1 전자 디바이스와 제 2 전자 디바이스 사이에 안전하게 통신된다.
저장된 비밀 크립토그래픽 키 및 수신된 위치 정보를 사용하여, 제 2 전자 디바이스는 제 1 전자 디바이스가 대칭 키 암호화를 사용하는 보안 통신을 위해 사용하도록 요청하는 크립토그래픽 키를 도출하고 결정할 수 있게 된다. 각각의 전자 디바이스에 저장된 단 하나의 비밀 크립토그래픽 키에 의해, 복수의 전자 디바이스에 대해 계층 키 관리가 가능하게 되는데, 계층적으로 더 높은 전자 디바이스 (크립토그래픽 키 계층에서 더 높은 "조상” 크립토그래픽 키를 가짐) 는 대칭 키 암호화를 위해 그들의 계층적으로 더 낮은 전자 디바이스 (크립토그래픽 키 계층에서 더 낮은 각각의 "자식” 크립토그래픽 키를 가짐) 에 의해 사용되는 크립토그래픽 키를 동적이고 유연하게 도출할 수도 있다.
제 1 크립토그래픽 키가 제 2 크립토그래픽 키보다 크립토그래픽 키 계층에서 하나 이상의 레벨 더 낮으면, 제 2 전자 디바이스의 회로는 제 2 크립토그래픽 키로부터 제 1 크립토그래픽 키로의 크립토그래픽 키 계층에서의 직접 경로상의 임의의 중간 크립토그래픽 키를 도출한다. 다시 말해서, 제 2 전자 디바이스의 회로는 제 2 전자 디바이스에 저장된 제 2 크립토그래픽 키에 및 제 2 크립토그래픽 키로부터 제 1 크립토그래픽 키로의 크립토그래픽 키 계층에서의 직접 경로 상의 임의의 중간 크립토그래픽 키에 일방향 함수를 적용함으로써 제 1 크립토그래픽 키를 도출한다.
일 실시형태에서, 인증 데이터 메시지는 제 1 크립토그래픽 키를 사용하여 제 1 전자 디바이스로부터 수신된 위치 정보를, 인증 데이터로서, 암호화하는 제 2 전자 디바이스의 회로에 의해 생성된다. 제 1 전자 디바이스의 회로는 위치 정보를 획득하기 위해 제 1 크립토그래픽 키를 사용하여 인증 데이터 메시지를 해독한다. 제 1 전자 디바이스의 회로는 메타데이터에 포함된 위치 정보와 인증 데이터 메시지를 해독함으로써 획득된 위치 정보를 비교함으로써 인증 데이터를 검증함으로써 제 2 전자 디바이스의 진위를 확인한다.
일 실시형태에서, 제 2 크립토그래픽 키의 위치 정보가 제 2 전자 디바이스에 저장된다. 제 2 전자 디바이스의 회로는 제 2 전자 디바이스에 저장된 제 2 크립토그래픽 키, 제 2 크립토그래픽 키의 위치 정보, 및 제 1 전자 디바이스로부터 수신된 위치 정보로부터 일방향 함수를 통해 제 1 크립토그래픽 키를 도출한다. 일 실시형태에서, 제 1 전자 디바이스로부터 수신된 위치 정보는 크립토그래픽 키 계층에서 더 높은 레벨의 크립토그래픽 키에 대해, 예를 들어 제 2 암호화 키의 위치에 대해 크립토그래픽 키 계층에서 제 1 크립토그래픽 키의 상대 위치를 표시한다.
추가의 실시형태에서, 메타데이터에 포함된 키 공간 식별자는 제 1 전자 디바이스로부터 제 2 전자 디바이스로 전송된다. 키 공간 식별자는 제 1 크립토그래픽 키를 포함하는 크립토그래픽 키 계층 또는 크립토그래픽 키 계층의 서브 세트를 정의한다. 키 공간 식별자를 사용하여, 제 2 전자 디바이스의 회로는 제 2 전자 디바이스에 저장된 복수의 비밀 크립토그래픽 키들로부터 제 1 크립토그래픽 키를 도출하기 위한 제 2 크립토그래픽 키를 선택한다.
일 실시형태에서, 제 1 전자 디바이스의 회로는 제 1 크립토그래픽 키를 사용하여 데이터를 암호화한다. 제 1 전자 디바이스는 암호화된 데이터 및 메타데이터를 포함하는 데이터 메시지를 제 2 전자 디바이스로 전달한다. 제 2 전자 디바이스의 회로는 그 데이터 메시지 내에 포함된 메타데이터를 사용하여, 제 2 전자 디바이스에 저장된 제 2 크립토그래픽 키로부터 일방향 함수에 의해 제 1 크립토그래픽 키를 도출한다. 제 2 전자 디바이스의 회로는 제 1 크립토그래픽 키를 사용하여 데이터 메시지에 포함된 암호화된 데이터를 해독한다.
추가의 실시형태에서, 제 1 전자 디바이스의 회로는 제 1 크립토그래픽 키를 사용하여 인증을 암호화한다. 제 1 전자 디바이스는 암호화된 인증 데이터 및 메타데이터를 포함하는 데이터 메시지를 제 2 전자 디바이스로 전달한다. 제 2 전자 디바이스의 회로는 그 데이터 메시지 내에 포함된 메타데이터를 사용하여, 제 2 전자 디바이스에 저장된 제 2 크립토그래픽 키로부터 일방향 함수에 의해 제 1 크립토그래픽 키를 도출한다. 제 2 전자 디바이스의 회로는 제 1 크립토그래픽 키를 사용하여 데이터 메시지에 포함된 암호화된 인증 데이터를 해독한다. 제 2 전자 디바이스의 회로는 제 1 크립토그래픽 키를 사용하여 인증 데이터를 암호화한다. 제 2 전자 디바이스에 의해 암호화 된 인증 데이터는 제 2 전자 디바이스에서 제 1 전자 디바이스로 전송된다. 제 1 전자 디바이스의 회로는 제 1 크립토그래픽 키를 사용하여 제 2 전자 디바이스로부터 수신된 암호화된 인증 데이터를 해독 및 검증한다.
일 실시형태에서, 크립토그래픽 키 계층은 트리 구조로 구성되고 위치 정보는 트리 구조에서 노드를 정의한다. 트리 구조의 각 노드는 크립토그래픽 키를 나타낸다. 트리 구조의 루트 노드는 마스터 크립토그래픽 키를 나타낸다. 루트 노드의 한 레벨 아래에 있는 트리 구조의 노드는 마스터 크립토그래픽 키로부터 일방향 함수를 통해 도출된 크립토그래픽 키를 나타낸다.
트리 구조에서 하위 레벨의 차일드 노드는 트리 구조에서의 차일드 노드의 각 부모 노드에 의해 표현되는 크립토그래픽 키로부터 일방향 함수를 통해 도출된 크립토그래픽 키를 나타낸다.
대칭 키 암호화를 사용하여 전자 디바이스들 사이에 안전하게 통신하는 방법에 더하여, 본 발명은 또한 대칭 암호화를 사용하여 다른 전자 디바이스와 안전하게 통신하기 위한 전자 디바이스에 관한 것이다. 전자 디바이스는 다른 전자 디바이스로 메타데이터를 갖는 데이터 메시지를 전송하는 단계로서, 메타데이터는 크립토그래픽 키 계층의 제 1 크립토그래픽 키의 위치 정보를 포함하고, 이것에 의해 크립토그래픽 키 계층에서, 상위 레벨 크립토그래픽 키보다 크립토그래픽 키 계층에서 하위 레벨에 위치한 하위 레벨 크립토그래픽 키는 상위 레벨 크립토그래픽 키와 크립토그래픽 키 계층에서의 하위 레벨 크립토그래픽 키의 위치를 정의하는 위치 정보로부터 일방향 함수를 통해 도출되고, 메타 데이터는 다른 전자 디바이스가 다른 전자 디바이스에 저장된 제 2 크립토그래픽 키 및 메타데이터에 포함된 위치 정보로부터 일방향 함수를 통해 제 1 크립토그래픽 키를 도출하고, 제 1 크립토그래픽 키를 사용하여 메타데이터에 포함된 인증 데이터를 암호화함으로써 인증 데이터 메시지를 생성하는 것을 가능하게 하는, 상기 데이터 메시지를 전송하는 단계; 다른 전자 디바이스로부터 인증 데이터 메시지를 수신하는 단계; 인증 데이터를 획득하기 위해 제 1 크립토그래픽 키를 사용하여 인증 데이터 메시지를 해독하는 단계; 인증 데이터를 검증하여 다른 전자 디바이스의 진위를 확인하는 단계; 및 다른 전자 디바이스의 진위를 확인한 때에, 예를 들어 제 1 크립토그래픽 키를 사용하는 대칭 키 암호화로 다른 전자 디바이스와 안전하게 데이터를 통신하는 단계를 수행하도록 구성된 회로를 포함한다.
일 실시형태에서, 메타데이터에 포함된 위치 정보는 다른 전자 디바이스가 제 1 크립토그래픽 키를 사용하여 메타데이터에 포함된 위치 정보를 인증 데이터로서 암호화하여 인증 데이터 메시지를 생성하는 것을 가능하게 한다. 전자 디바이스의 회로는 또한 위치 정보를 획득하기 위해 제 1 크립토그래픽 키를 사용하여 인증 데이터 메시지를 해독하고, 인증 데이터 메시지를 해독함으로써 획득된 위치 정보와 메타데이터에 포함된 위치 정보를 비교하여 다른 전자 디바이스의 진위를 확인하도록 구성된다.
일 실시형태에서, 전자 디바이스의 회로는 또한 다른 전자 디바이스로 메타데이터에 포함된 키 공간 식별자를 전송하도록 구성되며, 키 공간 식별자는 제 1 크립토그래픽 키를 포함하는 크립토그래픽 키 계층 또는 크립토그래픽 키 계층의 서브 세트를 정의하여, 다른 전자 디바이스가 다른 전자 디바이스로부터 수신된 키 공간 식별자를 사용하여 다른 전자 디바이스에 저장된 복수의 비밀 크립토그래픽 키들로부터 제 1 크립토그래픽 키를 도출하기 위해 제 2 크립토그래픽 키를 선택하는 것을 가능하게 한다.
다른 실시형태에서, 전자 디바이스의 회로는 또한 제 1 크립토그래픽 키를 사용하여 데이터를 암호화하고; 암호화된 데이터 및 메타데이터를 포함하는 데이터 메시지를 다른 전자 디바이스로 전송하여, 다른 전자 디바이스가 데이터 메시지에 포함된 메타데이터를 사용하여 제 1 크립토그래픽 키를 도출하는 것을 가능하게 하고, 제 1 크립토그래픽 키를 사용하여 데이터 메시지에 포함된 암호화된 데이터를 해독하도록 구성된다.
일 실시형태에서, 전자 디바이스의 회로는 또한 제 1 크립토그래픽 키를 사용하여 인증 데이터를 암호화하고; 암호화된 인증 데이터 및 메타데이터를 포함하는 데이터 메시지를 다른 전자 디바이스로 전송하여, 다른 전자 디바이스가 데이터 메시지에 포함된 메타데이터를 사용하여 제 1 크립토그래픽 키를 도출하는 것을 가능하게 하고, 제 1 크립토그래픽 키를 사용하여 데이터 메시지에 포함된 암호화된 인증 데이터를 해독하고; 다른 전자 디바이스로부터 암호화된 인증 데이터를 수신하고; 제 1 크립토그래픽 키를 사용하여 다른 전자 디바이스로부터 수신된 암호화된 인증 데이터를 검증하도록 구성된다.
대칭 키 암호화를 사용하여 전자 디바이스들 사이에 안전하게 통신하기 위한 방법 및 전자 디바이스에 더하여, 본 발명은 또한 대칭 암호화를 사용하여 제 2 전자 디바이스와 안전하게 통신하기 위해 제 1 전자 디바이스의 회로를 제어하도록 구성된 컴퓨터 프로그램 코드를 저장한 비일시적 컴퓨터 판독가능 매체를 포함하는 컴퓨터 프로그램 제품에 관한 것으로서, 제 1 전자 디바이스는, 제 2 전자 디바이스로 메타데이터를 갖는 데이터 메시지를 전송하는 단계로서, 메타데이터는 크립토그래픽 키 계층의 제 1 크립토그래픽 키의 위치 정보를 포함하고, 이것에 의해 크립토그래픽 키 계층에서, 상위 레벨 크립토그래픽 키보다 크립토그래픽 키 계층에서 하위 레벨에 위치한 하위 레벨 크립토그래픽 키는 상위 레벨 크립토그래픽 키와 크립토그래픽 키 계층에서의 하위 레벨 크립토그래픽 키의 위치를 정의하는 위치 정보로부터 일방향 함수를 통해 도출되고, 메타 데이터는 제 2 전자 디바이스가 제 2 전자 디바이스에 저장된 제 2 크립토그래픽 키 및 메타데이터에 포함된 위치 정보로부터 일방향 함수를 통해 제 1 크립토그래픽 키를 도출하고, 제 1 크립토그래픽 키를 사용하여 메타데이터에 포함된 인증 데이터를 암호화하여 인증 데이터 메시지를 생성하는 것을 가능하게 하는, 상기 데이터 메시지를 전송하는 단계; 상기 제 2 전자 디바이스로부터 인증 데이터 메시지를 수신하는 단계; 인증 데이터를 획득하기 위해 제 1 크립토그래픽 키를 사용하여 인증 데이터 메시지를 해독하는 단계; 인증 데이터를 검증하여 제 2 전자 디바이스의 진위를 확인하는 단계; 및 제 2 전자 디바이스의 진위를 확인한 때에 예를 들어 제 1 크립토그래픽 키를 사용하는 대칭 키 암호화로 제 2 전자 디바이스와 안전하게 데이터를 통신하는 단계를 수행한다.
대칭 암호화를 사용하여 전자 디바이스들 사이에 안전하게 통신하기 위한 방법 및 전자 디바이스에 더하여, 본 발명은 또한 대칭 암호화를 사용하여 다른 전자 디바이스와 안전하게 통신하기 위한 추가의 전자 디바이스에 관한 것이다. 추가의 전자 디바이스는 다음의 단계들을 수행하도록 구성된 회로를 포함한다: 다른 전자 디바이스로부터 메타데이터를 갖는 데이터 메시지를 수신하는 단계로서, 메타데이터는 크립토그래픽 키 계층의 제 1 크립토그래픽 키의 위치 정보를 포함하고, 이것에 의해 크립토그래픽 키 계층에서, 상위 레벨 크립토그래픽 키보다 크립토그래픽 키 계층에서 하위 레벨에 위치한 하위 레벨 크립토그래픽 키는 상위 레벨 크립토그래픽 키와 크립토그래픽 키 계층에서의 하위 레벨 크립토그래픽 키의 위치를 정의하는 위치 정보로부터 일방향 함수를 통해 도출되는, 상기 데이터 메시지를 수신하는 단계; 전자 디바이스에 저장된 제 2 크립토그래픽 키, 및 다른 전자 디바이스로부터 수신된 위치 정보로부터 일방향 함수를 통해 제 1 크립토그래픽 키를 도출하는 단계; 제 1 크립토그래픽 키를 사용하여 다른 전자 디바이스로부터 수신된 메타데이터에 포함된 인증 데이터를 암호화하여 인증 데이터 메시지를 생성하는 단계; 다른 전자 디바이스로 인증 데이터 메시지를 송신하여, 다른 전자 디바이스가 인증 데이터를 획득하기 위해 제 1 크립토그래픽 키를 사용하여 인증 데이터 메시지를 해독하고, 인증 데이터를 검증하여 전자 디바이스의 진위를 확인하며, 전자 디바이스의 진위를 확인한 때에 예를 들어 제 1 크립토그래픽 키를 사용하는 대칭 키 암호화로 다른 전자 디바이스와 안전하게 데이터를 통신하는 것을 가능하게 하는 단계.
일 실시형태에서, 전자 디바이스의 회로는 또한 제 1 크립토그래픽 키를 사용하여 다른 전자 디바이스로부터 수신된 위치 정보를 인증 데이터로서 암호화함으로써 인증 데이터 메시지를 생성하도록 구성되어, 다른 전자 디바이스가 위지 정보를 획득하기 위해 제 1 크립토그래픽 키를 사용하여 인증 데이터 메시지를 해독하고, 메타데이터에 포함된 위치 정보와 인증 데이터 메시지를 해독하여 획득된 위치 정보를 비교하여 전자 디바이스의 진위를 확인하는 것을 가능하게 한다.
일 실시형태에서, 전자 디바이스의 회로는 또한 제 2 크립토그래픽 키의 위치 정보를 전자 디바이스에 저장하고; 전자 디바이스에 저장된 제 2 크립토그래픽 키, 제 2 크립토그래픽 키의 위치 정보, 및 다른 전자 디바이스로부터 수신된 위치 정보로부터 일방향 함수를 통해 제 1 크립토그래픽 키를 도출하도록 구성된다.
추가의 실시형태에서, 전자 디바이스의 회로는 또한 다른 전자 디바이스로부터 메타데이터에 포함된 키 공간 식별자를 수신하는 것으로서, 키 공간 식별자는 제 1 크립토그래픽 키를 포함하는 크립토그래픽 키 계층 또는 크립토그래픽 키 계층의 서브 세트를 정의하는, 상기 키 공간 식별자를 수신하고; 키 공간 식별자를 사용하여 전자 디바이스에 저장된 복수의 비밀 크립토그래픽 키들로부터 제 1 크립토그래픽 키를 도출하기 위해 제 2 크립토그래픽 키를 선택하도록 구성된다.
일 실시형태에서, 전자 디바이스의 회로는 또한 암호화된 데이터 및 메타데이터를 다른 전자 디바이스로부터 데이터 메시지에서 수신하고; 데이터 메시지에 포함된 메타데이터를 이용하여 제 2 전자 디바이스에 저장된 제 2 크립토그래픽 키로부터 일방향 함수를 통해 제 1 크립토그래픽 키를 도출하고; 및 제 1 크립토그래픽 키를 사용하여, 데이터 메시지에 포함된 암호화된 데이터를 해독하도록 구성된다.
다른 실시형태에서, 전자 디바이스의 회로는 또한 다른 전자 디바이스로부터 암호화된 인증 데이터 및 메타 데이터를 데이터 메시지에서 수신하고; 데이터 메시지에 포함된 메타데이터를 이용하여 제 2 전자 디바이스에 저장된 제 2 크립토그래픽 키로부터 일방향 함수에 의해 제 1 크립토그래픽 키를 도출하고; 제 1 크립토그래픽 키를 사용하여, 데이터 메시지에 포함된 암호화된 인증 데이터를 해독하며; 제 1 크립토그래픽 키를 사용하여 인증 데이터를 암호화하고; 암호화된 인증 데이터를 다른 전자 디바이스로 전송하여, 다른 전자 디바이스가 제 1 크립토그래픽 키를 사용하여 전자 디바이스로부터 수신된 인증 데이터를 해독 및 검증하는 것을 가능하게 하도록 구성된다.
대칭 암호화를 사용하여 다른 전자 디바이스들과 안전하게 통신하기 위한 방법 및 전자 디바이스들에 더하여, 본 발명은 또한 대칭 암호화를 사용하여 제 1 전자 디바이스와 안전하게 통신하기 위해 제 2 전자 디바이스의 회로를 제어하도록 구성된 컴퓨터 프로그램 코드를 저장한 비일시적 컴퓨터 판독가능 매체를 포함하는 컴퓨터 프로그램 제품에 관한 것으로서, 제 2 전자 디바이스는 다음의 단계들을 수행한다: 제 1 전자 디바이스로부터 메타데이터를 갖는 데이터 메시지를 수신하는 단계로서, 메타데이터는 크립토그래픽 키 계층의 제 1 크립토그래픽 키의 위치 정보를 포함하고, 이것에 의해 크립토그래픽 키 계층에서, 상위 레벨 크립토그래픽 키보다 크립토그래픽 키 계층에서 하위 레벨에 위치한 하위 레벨 크립토그래픽 키는 상위 레벨 크립토그래픽 키와 크립토그래픽 키 계층에서의 하위 레벨 크립토그래픽 키의 위치를 정의하는 위치 정보로부터 일방향 함수를 통해 도출되는, 상기 데이터 메시지를 수신하는 단계; 제 2 전자 디바이스에 저장된 제 2 크립토그래픽 키 및 제 1 전자 디바이스로부터 수신된 위치 정보로부터 일방향 함수를 통해 제 1 크립토그래픽 키를 도출하는 단계; 제 1 크립토그래픽 키를 사용하여 제 1 전자 디바이스로부터 수신된 메타데이터에 포함된 인증 데이터를 암호화하여 인증 데이터 메시지를 생성하는 단계; 제 1 전자 디바이스로 인증 데이터 메시지를 송신하여, 제 1 전자 디바이스가 인증 데이터를 획득하기 위해 제 1 크립토그래픽 키를 사용하여 인증 데이터 메시지를 해독하고, 인증 데이터를 검증하여 제 2 전자 디바이스의 진위를 확인하며, 제 2 전자 디바이스의 진위를 확인한 때에 예를 들어, 제 1 크립토그래픽 키를 사용하는 대칭 키 암호화로 제 1 전자 디바이스와 안전하게 데이터를 통신하는 것을 가능하게 하는 단계.
본 발명은 도면들을 참조하여 예시적 방식으로 보다 자세히 설명될 것이다.
도 1 은 대칭 키 암호화를 사용하여 통신 링크를 통해 데이터를 안전하게 통신하는 제 1 전자 디바이스 및 제 2 전자 디바이스를 개략적으로 나타내는 블록도를 도시한다.
도 2 는 대칭 키 암호화를 사용하여 제 1 전자 디바이스와 제 2 전자 디바이스 사이에서 데이터를 안전하게 통신하기 위한 예시적인 일련의 단계들을 도시한 흐름도를 도시한다.
도 3 은 대칭 키 암호화를 사용하여, 인증 데이터를 교환 및 검증함으로써, 통신 링크를 통해 안전하게 통신하는 제 1 전자 디바이스 및 제 2 전자 디바이스를 개략적으로 나타내는 블록도를 도시한다.
도 4 는 대칭 키 암호화를 사용하여, 인증 데이터를 교환 및 검증함으로써, 제 1 전자 디바이스와 제 2 전자 디바이스 사이에서 안전하게 통신하기 위한 예시적인 일련의 단계들을 도시한 흐름도를 도시한다.
도 5 는 루트 노드 및 루트 노드 아래의 차일드를 갖는 트리 구조로 구성된 크립토그래픽 키 계층의 예를 보여주며, 루트 노드는 마스터 크립토그래픽 키를 나타내고, 차일드 노드는 일방향 함수를 사용하여 마스터 크립토그래픽 키로부터 도출된 크립토그래픽 키를 나타낸다.
도 6 은 대칭 키 암호화를 사용하여 통신 링크를 통해 데이터를 안전하게 통신하고 선택적으로 인증 데이터를 교환 및 검증하는 제 1 전자 디바이스 및 제 2 전자 디바이스를 개략적으로 나타내는 블록도를 도시한다.
도 7 은 대칭 키 암호화를 사용하여 제 1 전자 디바이스와 제 2 전자 디바이스 사이에서 안전하게 통신하고 선택적으로 인증 데이터를 교환 및 검증하기 위한 예시적인 일련의 단계들을 도시한 흐름도를 도시한다.
도 8 은 크립토그래픽 키 계층의 상위 레벨에서 상위 레벨 키로부터 크립토그래픽 키 계층의 하위 레벨 키를 도출하기 위한 암호 일방향 함수를 개략적으로 나타내는 블록도를 도시한다.
도 1 내지 도 4, 도 6, 도 7 에서, 참조 번호 1 은 제 1 전자 디바이스를 나타내고 참조 번호 2 는 제 2 전자 디바이스를 나타낸다. 제 1 전자 디바이스 (1) 및 제 2 전자 디바이스 (2) 는 각각 전자 회로 (10, 20) 를 포함하는 동작 가능한 전자 디바이스이다. 당업자는 회로 (10, 20) 가 프로그램가능 프로세서 또는 다른 구성가능한 전자 논리 유닛이며, 이들은 나중에 더 상세히 설명되는 바와 같이 다양한 기능 및 단계를 실행하도록 프로그램되거나 구성됨을 이해할 것이다. 제 1 전자 디바이스 (1) 및 제 2 전자 디바이스 (2) 는 통신 링크 (3) 를 통해 서로 통신하도록 구성된다. 제 1 전자 디바이스 (1) 및 제 2 전자 디바이스 (2) 의 유형 또는 실시형태에 따라, 통신 링크는 유선 또는 접촉 기반 통신 링크, 또는 무선 통신 링크, 예를 들어 RFID (Radio Frequency IDentifier), NFC (Near Field Communication), BLE (Bluetooth Low Energy) 등과 같은 근거리 또는 단거리 통신 링크, WLAN (Wireless Local Area Network) 또는 BT (Bluetooth) 와 같은 중거리 통신 링크, 또는 GSM (Global System for Mobile Communication) 또는 UMTS (Universal Mobile Telephone System) 등과 같은 장거리 통신 링크이다. 이에 따라 및 응용 및/또는 실시형태에 따라, 제 1 전자 디바이스 (1) 및 제 2 전자 디바이스 (2) 는 고정 또는 이동 통신 디바이스, 예를 들어 개인용 컴퓨터 (데스크톱, 랩탑, 노트북), 태블릿 컴퓨팅 디바이스, 스마트 폰 (이동 무선 전화), 스마트 워치, 트랜스폰더, 스마트 카드 (칩 카드) 또는 전자 동글 등으로 구현된다.
도 1, 도 3 및 도 6 에 개략적으로 도시된 바와 같이, 제 1 전자 디바이스 (1) 는 제 1 전자 디바이스 (1) 에 안전하게 저장된 비밀 크립토그래픽 키 (11) 를 포함한다. 제 2 전자 디바이스 (2) 는 제 2 전자 디바이스 (2) 에 안전하게 저장된 비밀 크립토그래픽 키 (21) 를 포함한다. 전자 디바이스 (1, 2) 에 저장된 비밀 크립토그래픽 키 (11, 21) 는 키 기관 (5) 에 의해 생성된다. 비밀 크립토그래픽 키 (11, 21) 는 전자 디바이스 (1, 2) 에 보안된 방식으로, 예를 들어 전자 디바이스 (1, 2) 의 제조 또는 구성 시간에 보안된 프로세스로 키 기관 (5) 에 의해 저장된다. 키 기관 (5) 은 크립토그래픽 키 계층 (6) 의 비밀 크립토그래픽 키를 생성하도록 구성된 하나 이상의 프로세서를 갖는 하나 이상의 컴퓨터를 포함한다.
도 5 에 개략적으로 도시된 바와 같이, 크립토그래픽 키 계층 (6) 의 하위 레벨에서의 하위 레벨 키는 크립토그래픽 키 계층 (6) 의 상위 레벨에서의 상위 레벨 키로부터의 암호 일방향 함수 (F) 에 의해 도출된다. 일방향 함수 (F) 는 모든 입력에 대해서는 계산하기 쉽지만 역방향으로는, 즉 그 함수의 주어진 출력에 대해 및 그 함수의 주어진 출력으로부터 그 함수에 대한 요구된 입력을 계산하기 위해서는 높은 계산 복잡도를 요구하는 함수이다. 일방향 함수의 예는 NIST (National Institute of Standards and Technology) 에 의해 정의된 바와 같은 AES128 또는 AES256 진보된 암호화 표준 (Advanced Encryption Standard: AES) 을 포함한다.
도 5 에 도시된 계층적 트리 구조 (60) 의 예에서, 트리 구조 (60) 의 루트 노드 (N0) 는 마스터 크립토그래픽 키를 나타낸다. 트리 구조 (60) 에서 차일드 노드 N1, N2, N3 으로 표시되는, 루트 노드 (N0) 로부터 다음 하위 레벨의 모든 크립토그래픽 키는 루트 노드 (N0) 로 표현된 마스터 키로부터 일방향 함수 (F) 에 의해 도출된다.
마찬가지로, 트리 구조 (60) 에서 차일드 노드 (N4, N5, N6, ..., N7) 로 표현되는 노드 (N2) 로부터의 다음 하위 레벨의 크립토그래픽 키는 이들 각각의 부모 노드 (N2) 로 표시되는 크립토그래픽 키로부터 일방향 함수 (F) 에 의해 도출되고; 트리 구조 (60) 에서 차일드 노드 (N8, N9, ..., N10) 으로 표시되는 노드 (N5) 로부터 다음 하위 레벨의 크립토그래픽 키는 그들 각각의 부모 노드 (N5) 로 표시되는 크립토그래픽 키로부터 일방향 함수 (F) 에 의해 도출된다. 도 5 에 도시된 바와 같이, 크립토그래픽 키 계층 (6) 의 각 노드 및 각각의 크립토그래픽 키는 계층 트리 구조 (60) 에서의 그의 위치 (또는 상대 위치) 에 의해 정의된다. 도 5 에 도시된 예에서, 계층 트리 구조 (60) 는 루트 노드 (N0) 아래에 3 개의 계층 레벨을 가지며 노드의 위치는 3 개의 인덱스에 의해 정의될 수 있다. 예를 들어, 루트 노드의 위치는 인덱스 값 [0,0,0] 에 의해 정의되며, 차일드 노드는 인덱스 값 [L1, L2, L3]에 의해 정의될 수 있으며, 여기서 L1 은 루트 노드 (N0) 아래의 첫 번째 레벨에서 노드 (N1, N2, ..., N3) 의 위치를 나타내고, L2 는 루트 노드 (N0) 아래의 두 번째 레벨에서 노드 (N4, N5, N6, ..., N7) 의 위치를 나타내고, 및 L3 은 루트 노드 (N0) 아래의 세 번째 레벨에서 노드 (N8, N9, N10, ..., N11) 의 위치를 나타낸다. 계층 트리 구조 (60) 에서의 임의의 노드에 대한 크립토그래픽 키는 일방향 함수 (F) 를 사용하여 루트 노드 (N0) 의 마스터 키로부터 또는 각각의 부모 노드 또는 다른 각각의 조상 노드로부터 도출 (계산) 될 수 있다. 계층 트리 구조 (60) 에서의 레벨 (L) 및 위치 [L1, L2, L3] 에서의 특정 노드에 대한 크립토그래픽 키 K[L1,L2, L3] 를 도출 (계산) 하기 위해, 일방향 함수 (F) 는 각각의 부모 노드에 의해 표현된 상위 레벨 크립토그래픽 키 KL -1 및 그의 레벨 L 에서의 특정 노드의 위치 (또는 상대 위치) PosL, 즉, 그의 형제들 중에서, 즉 상위 레벨 L-1 에서의 그의 각각의 부모 노드의 레벨 L 에서의 칠드런 중에서의 레벨 L 에서의 위치 PosL 에 적용된다, K[ L1,L2,L3 ] = F{KL -1; PosL{[L1,L2,L3]}}. 예를 들어, 계층 트리 구조 (60) 에서의 위치 [2,3,0] 의 노드 (N6) 에 대한 크립토그래픽 키 K[2,3,0] 는 일방향 함수 (F) 를 부모 노드 (N2) 로 표시된 상위 레벨 크립토그래픽 키 K[2,0,0] 및 그것의 레벨 L2 에서의 노드 (N6) 의 위치 PosL{[2,3,0]} = 3 에 적용함으로써 계산되며, K[2,3,0] = F{K[2,0,0]; 3} 이다.
도 8 에 도시된 바와 같이, 일방향 함수 (F) 는 함수 출력 (Fout) 을 함수 입력 (Fin) 으로부터 계산한다. 함수 입력은 하위 레벨 L 에서 도출될 하위 레벨 크립토그래픽 키 KPosL 의 위치 (PosL) 및 상위 레벨 부모 크립토그래픽 키 KL -1 를 포함한다. 위치 PosL 은 하위 레벨 L 에서의 하위 레벨 크립토그래픽 키 KPosL 의 위치를 정의하는 비트 문자열이다; 그 값은 반드시 수치적으로 위치를 나타낼 필요는 없고, 단지 각각의 레벨 L 에서의 위치를 명확하게 결정하면 된다. 예를 들어, 각각 AES128 또는 AES256 함수에 대해 128 또는 256 비트 문자열 데이터 입력 블록 (Fin) 으로부터의 위치 PosL 및 상위 레벨 부모 크립토그래픽 키 KL -1. 특정 일방향 함수 (F) 에 따라, 전자 디바이스 (1, 2) 에 안전하게 저장된 함수 키 (Fkey) 는 하위 레벨 크립토그래픽 키 KPosL, 예를 들어, 각각 AES128 또는 AES256 함수를 위한 128 비트 또는 256 비트 AES 키를 계산하기 위해 필요하다. 함수 출력 (Fout) 은 도출된 하위 레벨 크립토그래픽 키 KPosL, 예를 들어, 각각 AES128 또는 AES256 함수로부터 128 비트 또는 256 비트 AES 키를 나타낸다. 대안적인 실시형태에서, 일방향 함수 (F) 의 함수 입력 (Fin) 은 (전자 디바이스 (1, 2) 에 안전하게 저장된) 고정된 값으로 유지되고, 하위 레벨 (L) 에서 도출될 하위 레벨 크립토그래픽 키 KPosL 의 위치 (PosL) 및 상위 레벨 부모 크립토그래픽 키 KL - 1 의 조합은 일방향 함수 (F) 의 함수 키 (Fkey) 로서 사용된다.
액세스 가능한 조상 크립토그래픽 키와 도출될 크립토그래픽 키의 (상대) 위치 사이의 레벨들의 수에 따라, 크립토그래픽 키는 일방향 함수 (F) 를, 액세스 가능한 조상 크립토그래픽 키가 직접 부모 노드에 의해 표현되는 경우에는 한 번, 또는 액세스 가능한 조상 크립토그래픽 키가 크립토그래픽 키 계층 (6) 에서 더 높고, 크립토그래픽 키는 여러 레벨의 계층 트리 구조 (60) 를 통해 (아래로) 도출되어야 하는 경우에는 여러 번 계산함으로써 도출된다. 다시 말해, 크립토그래픽 키 계층 (6) 의 하위 레벨에서 하위 레벨 키는, 위치 정보에 의해 정의된 타겟 노드에 대한 크립토그래픽 키를 포함하는 및 그 암호키까지의, 조상 노드의 알려진 또는 액세스 가능한 크립토그래픽 키로부터 직접 경로상의 임의의 노드에 대한 크립토그래픽 키를 계산하기 위해, 크립토그래픽 키 계층 (6) 의 상위 레벨에서, 그들의 상위 레벨 키에 암호 일방향 함수 (F) 를 적용함으로써 도출된다. 따라서, 일방향 함수는 알려진 또는 액세스 가능한 크립토그래픽 키를 갖는 조상 노드로부터 위치 정보에 의해 정의된 타겟 노드까지의 크립토그래픽 키 계층 (6) 에서의 직접 경로 상에서 알려진 또는 액세스 가능한 크립토그래픽 키 및 임의의 중간 크립토그래픽 키에 적용된다.
하위 레벨 크립토그래픽 키들은 (직접) 조상 노드 (부모 노드, 조부모 노드, 증조부모 노드 등) 로 표시되는 상위 레벨 크립토그래픽 키로부터만 도출될 수 있으며, 그들은 계층 트리 구조 (60) 에서 별개의 (병렬) 브랜치상의 다른 (비조상) 노드 (삼촌 노드) 에 의해 표현된 상위 레벨 크립토그래픽 키로부터 도출될 수 없다. 예를 들어, 노드 (N11) 에 의해 표현된 크립토그래픽 키는 그의 조상 노드 (N7, N2 및 N0) 에 의해 표현된 크립토그래픽 키에 의해서만 도출될 수 있다; 그러나 그것은 별개의 분기에 있는 다른 비 조상 노드 (N4, N5 또는 N6) (삼촌 노드) 으로 표시되는 크립토그래픽 키로부터 도출될 수 없다. 당업자는 각각 계층 트리 구조 (60) 또는 크립토그래픽 키 계층 (6) 의 레벨들의 수 및 레벨에서의 노드들의 수가 특정의 애플리케이션 또는 시나리오의 요건들에 따라 예를 들어 키 기관 (5) 에 의해 설정될 수 있다는 것을 이해할 것이다.
도 6 은 위치 정보를 갖는 메타데이터 (42) 가 통신 링크 (3) 를 통해 제 1 전자 디바이스 (1) (또는 각각, 그것의 회로 (10)) 로부터 제 2 전자 디바이스 (2) 로 데이터 메시지 (4) 에서 전송되는 시나리오를 도시한다. 위치 정보는 제 1 전자 디바이스 (1) 에 의해 사용되거나 사용되도록 요청된 크립토그래픽 키의 위치와 관련된다. 예를 들어, 제 1 전자 디바이스 (1) 가 크립토그래픽 키 계층 (6) 의 계층 트리 구조 (60) 에서 노드 (N8) 에 의해 표현된 크립토그래픽 키를 사용 또는 요청하는 경우, 위치 정보는 계층 트리 구조 (60) 에서의 노드 (N8) 의 각각의 위치 [L1,L2,L3] = [2, 2, 1] 를 나타낸다. 당업자는 위치 정보가 계층 트리 구조 (60) 에서 특정 노드를 표시함으로써 또는 조상 노드에 대해 상기 특정 노드의 상대 위치를 특정함으로써 크립토그래픽 키 계층 (6) 에서 크립토그래픽 키를 정의할 수 있음을 이해할 것이다. 도 6 은 제 1 전자 디바이스 (1) 로부터 제 2 전자 디바이스 (2) 로의 데이터 메시지 (4) 의 전송에 이어서, 제 2 전자 디바이스 (2) (또는 그의 회로 (20)) 가 선택적으로 제 1 전자 디바이스 (1) 로 데이터 메시지 (4**) 를 전송하며, 그 데이터 메시지 (4**) 는 전자 디바이스 (2) 에 의해 암호화된 데이터 (41**) 를 포함하는 시나리오를 추가로 도시한다. 인증 프로세스에서, 암호화된 데이터 (41**) 는 도 7 을 참조하여 후술하는 바와 같이 암호화된 인증 데이터를 포함한다.
도 1 은 제 1 전자 디바이스 (1) (또는 각각 그 회로 (10)) 에 의해 암호화된 데이터 (41) 가 통신 링크 (3) 를 통해 데이터 메시지 (4) 에서 제 2 전자 디바이스 (2) 로 전송되는 시나리오를 도시한다. 암호화된 데이터 (41) 에 더하여, 데이터 메시지 (4) 는 데이터를 암호화하기 위해 제 1 전자 디바이스 (1) 에 의해 사용된 크립토그래픽 키의 위치 정보를 갖는 메타데이터를 더 포함한다.
도 3 은 제 1 전자 디바이스 (1) 로부터 제 2 전자 디바이스 (2) 로의 데이터 메시지 (4) 의 전송에 이어서, 제 2 전자 디바이스 (2) (또는 각각 그의 회로 (20)) 가 제 1 전자 디바이스 (1) 로 데이터 메시지 (4*) 를 전송하며, 그 데이터 메시지 (4*) 는 전자 디바이스 (2) 에 의해 암호화된 데이터 (41*), 및 선택적으로 데이터를 암호화하기 위해 제 2 전자 디바이스 (2) 에 의해 사용되는 크립토그래픽 키의 위치 정보를 갖는 메타데이터 (42*) 를 포함한다. 데이터가 인증 데이터를 포함하는 애플리케이션에서, 도 3 은 실제로 도 4 를 참조하여 후술되는 인증 프로세스를 도시한다.
다음의 단락들에서, 도 2, 도 4 및 도 7 을 참조하여, 대칭 키 암호화를 사용하여 전자 디바이스들 (1, 2) 사이에서 안전하게 통신하기 위해 전자 디바이스들 (1, 2) 의 키 기관 (5) 및 회로들 (10, 20) 에 의해 수행되는 가능한 단계들의 시퀀스들이 기술된다.
도 2, 도 4 및 도 7 에 도시된 바와 같이, 단계 (S1) 에서, 비밀 크립토그래픽 키가 유도되어 전자 디바이스 (1, 2) 에 저장된다. 구체적으로, 전자 디바이스 (1, 2) 에 저장된 비밀 크립토그래픽 키 (11, 21) 는 예를 들어 각각의 전자 디바이스 (1, 2) 에 부여될 권한들 및/또는 인가의 레벨에 따라 크립토그래픽 키 계층 (6) 으로부터 결정된다. 크립토그래픽 키 계층 (6) 에서 더 높은 크립토그래픽 키 (11, 21) 가 선택될수록, 크립토그래픽 키 계층 (6) 에서 더 낮은 레벨의 더 많은 크립토그래픽 키가 선택된 크립토그래픽 키 (11, 21) 로부터 도출될 수 있다. 단계 (S11, S12) 에서, 크립토그래픽 키 (11, 21) 는 키 기관 (5) 또는 다른 신뢰할 수 있는 엔티티에 의해, 예를 들어 전자 디바이스 (1, 2) 의 제조 또는 구성 동안 및/또는 제한된 영역에서, 제 1 전자 디바이스 (1) 또는 제 2 전자 디바이스 (2) 에 보안된 프로세스에서 저장된다. 크립토그래픽 키 (11, 21) 는 각각의 메타데이터와 함께 전자 디바이스 (1, 2) 에 저장된다. 크립토그래픽 키의 메타데이터는 각각의 크립토그래픽 키가 그로 부터 선택되거나 도출된 특정 크립토그래픽 키 계층 (6) 또는 크립토그래픽 키 계층 (6) 의 서브 세트 (61) 를 식별 (정의) 하는 키 공간 식별자를 포함한다. 메타 데이터는 특정 크립토그래픽 키 계층 (6) 또는 크립토그래픽 키 계층 (6) 의 서브 세트 (61) 에서 각각의 크립토그래픽 키의 (절대 또는 상대) 위치를 정의하는 위치 정보를 더 포함한다. 예를 들어, 계층 트리 구조 (60) 에서 노드 (N8) 에 의해 표현된 크립토그래픽 키에 대해, 키 공간 식별자는 각각의 크립토그래픽 키 계층 (6) 또는 그의 서브 세트 (61) 를 표시하고, 위치 정보는 계층 트리 구조 (60) 에서 각각의 위치 [L1,L2,L3] = [2, 2, 1] 를 나타낸다.
도 2, 도 4 및 도 7 에 도시된 바와 같이, 단계 (S2) 에서, 제 1 전자 디바이스 (1) 또는 그의 회로 (10) 는 각각 제 2 전자 디바이스 (2) 와 안전하게 통신하기 위해 사용될 크립토그래픽 키를 결정한다. 크립토그래픽 키는 예를 들어 제 2 전자 디바이스 (2) 의 타입 또는 제 2 전자 디바이스 (2) 로 수행될 애플리케이션/상호 작용에 따라 결정된다. 본질적으로, 회로 (10) 는 제 1 전자 디바이스 (1) 에 저장된 크립토그래픽 키 (11) 를 사용하거나 또는 일방향 함수 및 특정 위치 정보를 사용하여 제 1 전자 디바이스 (1) 에 저장된 크립토그래픽 키 (11) 로부터 크립토그래픽 키 계층 (6) 에서 하위 레벨 크립토그래픽 키를 도출한다.
도 7 의 실시형태에서, 단계 (S4*) 에서, 제 1 전자 디바이스 (1) 또는 그의 회로 (10) 는 각각 데이터 메시지 (4) 를 생성하고 통신 링크 (3) 를 통해 제 2 전자 디바이스 (2) 에 전송한다. 데이터 메시지는 단계 (S2) 에서 결정된 크립토그래픽 키와 연관된 메타데이터를 포함한다. 메타데이터 (42) 는 크립토그래픽 키의 위치 정보 및/또는 크립토그래픽 키를 포함하는 특정 크립토그래픽 키 계층 (6) 또는 크립토그래픽 키 계층 서브 세트 (61) 의 키 공간 식별자를 포함한다.
단계 (S5) 에서, 제 2 전자 디바이스 (2) 또는 그 회로 (20) 는 각각 제 1 전자 디바이스 (1) 로부터 데이터 메시지 (4) 를 수신하고 데이터 메시지 (4) 에 포함된 메타데이터 (42) 에 의해 정의된 크립토그래픽 키를 결정한다. 제 2 전자 디바이스 (2) 에 저장된 비밀 크립토그래픽 키 (21) 가 여러 개인 경우, 회로 (20) 는 메타데이터 (42) 에 포함된 키 공간 식별자를 사용하여 적용가능한 크립토그래픽 키 계층 (6) 또는 크립토그래픽 키 계층 (6) 의 서브 세트 (61) 를 결정한다. (적용가능한 크립토그래픽 키 계층 (6) 또는 서브 세트 (61) 의) 비밀 크립토그래픽 키 (21) 에 대한 제 2 전자 디바이스 (2) 에 저장된 위치 정보를 제 1 전자 디바이스 (1) 에 의해 사용된 크립토그래픽 키에 대한 메타데이터와 함께 수신된 위치 정보와 비교함으로써, 회로 (20) 는 제 2 전자 디바이스 (2) 에 저장된 비밀 크립토그래픽 키 (21) 가 크립토그래픽 키 계층 (6) 에서 대응하는 위치에 있는 지 및 따라서 수신된 암호화된 데이터 (41) 를 해독하는데 사용될 수 있는지 여부, 또는 비밀 크립토그래픽 키 (21) 가 크립토그래픽 키 계층 (6) 에서 제 1 전자 디바이스 (1) 에 의해 특정된 크립토그래픽 키의 위치와 일치하는 크립토그래픽 키를 도출하기 위한 크립토그래픽 키 계층 (6) 에서의 적절한 조상인지 여부를 결정한다. 이러한 경우 중 어느 것도 가능하지 않은 경우, 회로 (20) 는 제 1 전자 디바이스 (1) 로부터 데이터 메시지 (4) 를 거부하고 및/또는 오류 메시지를 생성한다. 그렇지 않으면, 회로 (20) 는 메타데이터 (42) 에서 수신된 위치 정보를 이용하여, 일방향 함수 (F) 에 의해 제 1 전자 디바이스 (1) 에 의해 특정된 크립토그래픽 키를 도출하거나 암호화된 데이터 (41) 를 해독하기 위해 저장된 비밀 크립토그래픽 키 (21) 를 획득한다. 예를 들어, 제 2 전자 디바이스 (2) 에 저장된 비밀 크립토그래픽 키 (21) 가 크립토그래픽 키 계층 (6) 또는 서브 세트 (61) 에서 노드 (N5) 에 의해 표현된 조상 크립토그래픽 키에 대응하는 경우, 및 제 1 전자 디바이스 (1) 로부터 수신된 위치 정보가 계층 트리 구조 (60) 에서 노드 (N8) 의 위치 [L1, L2, L3] = [2,2,1]을 나타내는 경우, 회로 (20) 는 일방향 함수 (F) 및 노드 (N8) 의 위치 정보 [L1, L2, L3] = [2,2,1] 를 사용하여, (조상 노드 (N5) 로 표현된) 저장된 비밀 크립토그래픽 키 (21) 로부터 차일드 노드 (N8) 에 의해 표현된 크립토그래픽 키를 도출한다.
이어서, 단계 (S5) 에서 결정된 크립토그래픽 키는 예를 들어 단계 (S10) 에 의해 표시된 대칭 키 암호화를 사용하여 암호화된 데이터를 교환함으로써, 제 1 전자 디바이스 (1) 와의 보안된 데이터 통신을 수행하기 위해, 각각 제 2 전자 디바이스 (2) 또는 그의 회로 (20) 에 의해 사용된다.
도 7 에서, 참조 번호 A 는 도 7 의 단계 (S1, S2, S4*, 및 S5) 를 수행하는 것에 후속하여 인증 프로세스를 실행하기 위한 선택적 단계의 블록을 지칭한다.
단계 (SA1) 에서, 제 2 전자 디바이스 (2) 또는 그 회로 (20) 는 각각 단계 (S5) 에서 결정된 크립토그래픽 키를 사용하여 인증 데이터를 암호화함으로써, 인증 데이터 메시지 (4**) 를 생성한다. 예를 들어, 인증 데이터는 제 1 전자 디바이스 (1) 로부터 수신된 데이터, 예를 들어 메타데이터 (42) 와 함께 이전에 수신된 위치 정보, 및 논스(nonce), 예를 들어 난수 및/또는 타임 스탬프를 포함한다.
단계 (SA2) 에서, 제 2 전자 디바이스 (2) 또는 그 회로 (20) 는 각각 통신 링크 (3) 를 통해 암호화된 (인증) 데이터 (4**) 를 갖는 인증 데이터 메시지 (4**) 를 제 1 전자 디바이스 (1) 에 전송한다.
단계 (SA3) 에서, 제 1 전자 디바이스 (1) 또는 그 회로 (10) 는 각각 제 2 전자 디바이스 (2) 로부터 인증 데이터 메시지 (4**) 를 수신하고 인증 데이터를 획득하기 위해 단계 (S2) 에서 결정된 크립토그래픽 키를 사용하여 인증 데이터 메시지 (4**) 를 해독한다. 이어서, 회로 (10) 는 제 2 전자 디바이스 (2) 로부터 인증 메시지 (4**) 에서 암호화된 형태로 수신된 인증 데이터를, 그것을 원래의 인증 데이터, 예를 들어 단계 (S2) 에서 결정된 위치 정보와 비교함으로써, 검증한다. 제 1 전자 디바이스 (1) 의 원래의 인증 데이터가 인증 메시지 (4**) 로부터 획득 및 해독된 인증 데이터와 일치하면, 인증 데이터 및 제 2 전자 디바이스 (2)의 진위가 확인된다. 그러한 경우라면, 전자 디바이스들 (1, 2) 사이의 보안 데이터 통신은 단계 (S10) 에서 실행될 수 있다. 그렇지 않으면, 회로 (10) 는 제 2 전자 디바이스 (2) 로부터의 인증 데이터 메시지 (4**) 를 거부하고 및/또는 오류 메시지를 생성한다.
도 2 의 실시형태에서, 단계 (S3) 에서, 제 1 전자 디바이스 (1) 또는 그의 회로 (10) 는 각각 단계 (S2) 에서 결정된 크립토그래픽 키를 사용하여 통신 링크 (3) 을 통해 제 2 전자 디바이스 (2) 로 전송될 데이터를 암호화한다. 인증 프로세스의 경우, 데이터는 예를 들어 타임 스탬프 및/또는 난수를 갖는 논스를 포함하는 인증 데이터를 포함한다.
단계 (S4) 에서, 제 1 전자 디바이스 (1) 또는 그의 회로 (10) 는 각각 데이터 메시지 (4) 를 생성하고 통신 링크 (3) 를 통해 제 2 전자 디바이스 (2) 에 전송한다. 데이터 메시지는 암호화된 데이터 (41) 및 그 데이터를 암호화하는데 사용된 크립토그래픽 키와 연관된 메타데이터를 포함한다. 메타데이터 (42) 는 크립토그래픽 키의 위치 정보 및/또는 크립토그래픽 키를 포함하는 특정 크립토그래픽 키 계층 (6) 또는 크립토그래픽 키 계층 서브 세트 (61) 의 키 공간 식별자를 포함한다.
단계 (S5) 에서, 도 7 과 관련하여 상술된 바와 같이, 제 2 전자 디바이스 (2) 또는 그 회로 (20) 는 각각 제 1 전자 디바이스 (1) 로부터 데이터 메시지 (4) 를 수신하고 데이터 메시지 (4) 에 포함된 암호화된 데이터 (41) 를 해독하기 위한 크립토그래픽 키를 결정한다.
단계 (S6) 에서, 제 2 전자 디바이스 (2) 또는 그의 회로 (20) 는 각각 단계 (S5) 에서 결정된 크립토그래픽 키를 사용하여 제 1 전자 디바이스 (1) 로부터 수신된 암호화된 데이터 (41) 를 해독한다.
전술한 일련의 단계들 (S2, S3, S4, S5 및 S6) 은 (암호화 디바이스 및 암호 해독 디바이스의 역할을 양방향으로 변경함으로써) 전자 디바이스 (1, 2) 사이에서 암호화된 데이터를 안전하게 통신하는 것을 가능하게 한다. 도 4 를 참조하여 아래에 설명된 추가 단계 (S7, S8, S9) 는 전자 디바이스 (1, 2) 사이에 인증 프로세스를 구현하여 전자 디바이스 (1, 2) 사이에 안전하고 인증된 통신을 확립할 수 있게 한다.
도 3 및 도 4 에 도시된 인증 프로세스에서, 단계 (S3) 에서 제 1 전자 디바이스 (1) 또는 그의 회로 (10) 에 의해 암호화된 데이터는 각각 인증 데이터를 포함한다.
도 4 에 도시된 바와 같이, 단계 (S7) 에서, 제 2 전자 디바이스 (2) 또는 그의 회로 (20) 는 각각 단계 (S6) 에서 해독된 데이터로부터 인증 데이터를 추출한다.
단계 (S7) 에서, 회로 (20) 는 단계 (S5)에서 결정되고 S6 에서 사용된 동일한 크립토그래픽 키를 사용하여 제 1 전자 디바이스 (1) 로부터 수신된 암호화된 데이터 (41) 를 해독하여 인증 데이터를 암호화한다. 회로 (20) 는 암호화된 인증 데이터 (41*) 및 선택적으로 메타데이터 (42*) 를 포함하는 응답 데이터 메시지 (4*) 를 생성한다.
단계 (S8) 에서, 제 2 전자 디바이스 (2) 또는 그의 회로 (20) 는 각각 통신 링크 (3) 를 통해 응답 데이터 메시지 (4*) 를 제 1 전자 디바이스 (1) 에 전송한다.
단계 (S9) 에서, 제 1 전자 디바이스 (1) 또는 그의 회로 (10) 는 각각 제 2 전자 디바이스 (2) 로부터 응답 데이터 메시지 (4*) 를 수신하고, 제 2 전자 디바이스 (2) 에 대한 데이터를 암호화하기 위해 단계 (S3) 에서 이전에 사용된 크립토그래픽 키를 사용하여 암호화된 인증 데이터 (41*) 를 해독한다. 후속적으로, 회로 (10) 는 제 2 전자 디바이스 (2) 로부터 응답 데이터 메시지 (4*) 에서 암호화된 형태로 수신된 해독된 인증 데이터를, 그것이 각각 단계 (S3 및 S4) 에서 제 2 전자 디바이스 (2) 로 암호화되어 전송되기 전에 제 1 전자 디바이스 (1) 에서 정의된 원래의 인증 데이터와 그것을 비교함으로써 검증한다. 제 1 전자 디바이스 (1) 의 원래의 인증 데이터가 제 2 전자 디바이스 (2) 로부터 수신된 응답 데이터 메시지 (4*) 로부터 해독된 인증 데이터와 일치하면, 인증 데이터 및 따라서 제 2 전자 디바이스 (2) 의 진위가 확인된다. 그러한 경우라면, 전자 디바이스들 (1, 2) 사이의 보안 데이터 통신은 단계 (S10) 에서 실행될 수 있다. 그렇지 않으면, 회로 (10) 는 제 2 전자 디바이스 (2) 로부터의 응답 데이터 메시지 (4*) 를 거부하고 및/또는 오류 메시지를 생성한다.
본 설명에서, 컴퓨터 프로그램 코드는 특정 기능 모듈과 연관되었고 단계들의 시퀀스는 특정 순서로 제시되었지만, 당업자라면 본 발명의 범위에서 벗어남이 없이, 컴퓨터 프로그램 코드가 상이하게 구조화될 수도 있고 단계들 중 적어도 일부의 순서가 변경될 수 있다는 것을 이해할 것이라는 점에 유의해야 한다.

Claims (17)

  1. 대칭 키 암호화를 사용하여 전자 디바이스들 (1, 2) 사이에 안전하게 통신하는 방법으로서,
    제 1 전자 디바이스 (1) 로부터 제 2 전자 디바이스 (2) 로 메타데이터 (42) 를 갖는 데이터 메시지 (4) 를 전송하는 단계 (S4, S4*) 로서, 상기 메타데이터 (42) 는 크립토그래픽 키 계층 (6) 의 제 1 크립토그래픽 키 (11) 의 위치 정보를 포함하고, 이것에 의해 상기 크립토그래픽 키 계층 (6) 에서, 상위 레벨 크립토그래픽 키보다 상기 크립토그래픽 키 계층 (6) 에서 하위 레벨에 위치한 하위 레벨 크립토그래픽 키는 상기 상위 레벨 크립토그래픽 키로부터의 일방향 함수 (F) 와 상기 크립토그래픽 키 계층 (6) 에서의 상기 하위 레벨 크립토그래픽 키의 위치를 정의하는 위치 정보를 통해 도출되는, 상기 데이터 메시지 (4) 를 전송하는 단계 (S4, S4*);
    상기 제 2 전자 디바이스 (2) 의 회로 (20) 에 의해, 상기 제 2 전자 디바이스 (2) 에 저장된 제 2 크립토그래픽 키 (21) 로부터의 상기 일방향 함수 (F) 및 상기 제 1 전자 디바이스 (1) 로부터 수신된 상기 위치 정보를 통해 상기 제 1 크립토그래픽 키를 도출하는 단계 (S5);
    상기 제 2 전자 디바이스 (2) 의 상기 회로 (20) 에 의해, 상기 제 1 크립토그래픽 키를 사용하여, 상기 제 1 전자 디바이스 (1) 로부터 수신된 상기 메타데이터 (42) 에 포함된 인증 데이터를 암호화함으로써, 인증 데이터 메시지 (4**) 를 생성하는 단계 (SA1);
    상기 제 2 전자 디바이스 (2) 로부터 상기 제 1 전자 디바이스 (1) 로 상기 인증 데이터 메시지 (4**) 를 송신하는 단계;
    상기 인증 데이터를 획득하기 위해 상기 제 1 크립토그래픽 키를 사용하여 상기 제 1 전자 디바이스 (1) 의 회로 (10) 에 의해 상기 인증 데이터 메시지 (4**) 를 해독하는 단계;
    상기 인증 데이터를 검증하여 상기 제 1 전자 디바이스 (1) 의 상기 회로 (10) 에 의해 상기 제 2 전자 디바이스 (2) 의 진위를 확인하는 단계; 및
    상기 제 2 전자 디바이스 (2) 의 진위를 확인한 때에, 상기 제 1 전자 디바이스 (1) 와 상기 제 2 전자 디바이스 (2) 사이에 안전하게 데이터를 통신하는 단계를 포함하는, 대칭 키 암호화를 사용하여 전자 디바이스들 (1, 2) 사이에 안전하게 통신하는 방법.
  2. 제 1 항에 있어서,
    상기 인증 데이터 메시지 (4**) 를 생성하는 단계 (SA1) 는 상기 제 1 크립토그래픽 키를 사용하여 상기 제 1 전자 디바이스 (1) 로부터 수신된 상기 위치 정보를, 상기 인증 데이터로서, 암호화하는 상기 제 2 전자 디바이스 (2) 의 상기 회로 (20) 를 포함하고, 상기 제 1 전자 디바이스 (1) 의 상기 회로 (10) 는 상기 위치 정보를 획득하기 위해 상기 제 1 크립토그래픽 키를 사용하여, 상기 인증 데이터 메시지 (4**) 를 해독하며, 상기 제 2 전자 디바이스 (2) 의 진위를 확인하는 단계는 상기 메타데이터 (42) 에 포함된 상기 위치 정보와 상기 인증 데이터 메시지 (4**) 를 해독함으로써 획득된 상기 위치 정보를 비교함으로써 상기 인증 데이터를 검증하는 상기 제 1 전자 디바이스 (1) 의 상기 회로 (10) 를 포함하는, 대칭 키 암호화를 사용하여 전자 디바이스들 (1, 2) 사이에 안전하게 통신하는 방법.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 제 2 크립토그래픽 키 (21) 의 위치 정보를 상기 제 2 전자 디바이스 (2) 에 저장하는 단계; 및
    상기 제 2 전자 디바이스 (2) 에 저장된 상기 제 2 크립토그래픽 키 (21), 상기 제 2 크립토그래픽 키 (21) 의 상기 위치 정보, 및 상기 제 1 전자 디바이스 (1) 로부터 수신된 상기 위치 정보로부터 상기 일방향 함수 (F) 를 통해 상기 제 1 크립토그래픽 키를 도출하여 상기 제 2 전자 디바이스 (2) 의 상기 회로 (20) 에 의해 상기 제 1 크립토그래픽 키를 결정하는 단계 (S5) 를 더 포함하는, 대칭 키 암호화를 사용하여 전자 디바이스들 (1, 2) 사이에 안전하게 통신하는 방법.
  4. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 제 1 전자 디바이스 (1) 로부터 상기 제 2 전자 디바이스 (2) 로 상기 메타데이터 (42) 에 포함된 키 공간 식별자를 전송하는 단계 (S4, S4*) 를 더 포함하고, 상기 키 공간 식별자는 상기 제 1 크립토그래픽 키 (11) 를 포함하는 상기 크립토그래픽 키 계층 (6) 또는 상기 크립토그래픽 키 계층 (6) 의 서브 세트 (61) 를 정의하며; 상기 제 2 전자 디바이스 (2) 의 상기 회로 (20) 는 상기 제 1 전자 디바이스 (1) 로부터 수신된 상기 키 공간 식별자를 사용하여, 상기 제 2 전자 디바이스 (2) 에 저장된 복수의 비밀 크립토그래픽 키들 (21) 로부터, 상기 제 1 크립토그래픽 키를 도출하기 위해, 상기 제 2 크립토그래픽 키를 선택하는, 대칭 키 암호화를 사용하여 전자 디바이스들 (1, 2) 사이에 안전하게 통신하는 방법.
  5. 제 1 항 내지 제 4 항 중 어느 한 항에 있어서,
    상기 제 1 전자 디바이스 (1) 의 상기 회로 (10) 가 상기 제 1 크립토그래픽 키 (11) 를 사용하여 데이터를 암호화 하는 단계 (S3);
    상기 제 1 전자 디바이스 (1) 로부터 상기 제 2 전자 디바이스 (2) 로 상기 암호화된 데이터 (41) 및 상기 메타데이터 (42) 를 포함하는 상기 데이터 메시지 (4) 를 전송하는 단계 (S4);
    상기 제 2 전자 디바이스 (2) 의 상기 회로 (20) 에 의해, 상기 데이터 메시지 (4) 에 포함된 상기 메타데이터를 사용하여, 상기 제 2 전자 디바이스 (2) 에 저장된 상기 제 2 크립토그래픽 키 (21) 로부터 상기 일방향 함수 (F) 를 통해 상기 제 1 크립토그래픽 키를 도출하는 단계 (S5); 및
    상기 제 2 전자 디바이스 (2) 의 상기 회로 (20) 에 의해, 상기 제 1 크립토그래픽 키를 사용하여, 상기 데이터 메시지 (4) 에 포함된 상기 암호화된 데이터 (41) 를 해독하는 단계 (S6) 를 더 포함하는, 대칭 키 암호화를 사용하여 전자 디바이스들 (1, 2) 사이에 안전하게 통신하는 방법.
  6. 제 1 항 내지 제 5 항 중 어느 한 항에 있어서,
    상기 크립토그래픽 키 계층 (6) 은 트리 구조 (60) 로서 구성되고, 상기 위치 정보는 상기 트리 구조 (60) 에서 노드 (N0-N11) 를 정의하고, 이것에 의해 상기 트리 구조 (60) 에서의 각 노드 (N0-N11) 는 크립토그래픽 키를 나타내고, 상기 트리 구조 (60) 에서의 루트 노드 (N0) 는 마스터 크립토그래픽 키를 나타내고, 루트 노드 (N0) 의 한 레벨 아래의 상기 트리 구조 (60) 에서의 노드들 (N1, N2, N3) 은 상기 마스터 크립토그래픽 키로부터 상기 일방향 함수 (F) 를 통해 도출되는 크립토그래픽 키들을 나타내며, 상기 트리 구조 (60) 에서의 하위 레벨의 차일드 노드 (N1-N11) 는 상기 트리 구조 (60) 에서의 차일드 노드 (N1-N11) 의 각각의 부모 노드 (N0-N7) 에 의해 표현된 상기 크립토그래픽 키로부터 일방향 함수 (F) 에 의해 도출된 크립토그래픽 키를 나타내는, 대칭 키 암호화를 사용하여 전자 디바이스들 (1, 2) 사이에 안전하게 통신하는 방법.
  7. 대칭 암호화를 사용하여 다른 전자 디바이스 (2) 와 안전하게 통신하기 위한 전자 디바이스 (1) 로서, 상기 전자 디바이스 (1) 는 회로 (10) 룰 포함하고, 상기 회로 (10) 는,
    상기 다른 전자 디바이스 (2) 로 메타데이터 (42) 를 갖는 데이터 메시지 (4) 를 전송하는 단계 (S4, S4*) 로서, 상기 메타데이터 (42) 는 크립토그래픽 키 계층 (6) 의 제 1 크립토그래픽 키 (11) 의 위치 정보를 포함하고, 이것에 의해 상기 크립토그래픽 키 계층 (6) 에서, 상위 레벨 크립토그래픽 키보다 상기 크립토그래픽 키 계층 (6) 에서 하위 레벨에 위치한 하위 레벨 크립토그래픽 키는 상기 상위 레벨 크립토그래픽 키로부터의 일방향 함수 (F) 와 상기 크립토그래픽 키 계층 (6) 에서의 상기 하위 레벨 크립토그래픽 키의 위치를 정의하는 위치 정보를 통해 도출되고, 상기 메타데이터 (42) 는 상기 다른 전자 디바이스 (2) 가 상기 다른 전자 디바이스 (2) 에 저장된 제 2 크립토그래픽 키 (21) 및 상기 메타데이터 (42) 에 포함된 상기 위치 정보로부터 상기 일방향 함수 (F) 를 통해 상기 제 1 크립토그래픽 키 (11) 를 도출하고, 상기 제 1 크립토그래픽 키를 사용하여 상기 메타데이터 (42) 에 포함된 인증 데이터를 암호화함으로써 인증 데이터 메시지 (4**) 를 생성하는 것을 가능하게 하는, 상기 데이터 메시지 (4) 를 전송하는 단계 (S4, S4*);
    상기 다른 전자 디바이스 (2) 로부터 상기 인증 데이터 메시지 (4**) 를 수신하는 단계;
    상기 인증 데이터를 획득하기 위해 상기 제 1 크립토그래픽 키를 사용하여 상기 인증 데이터 메시지 (4**) 를 해독하는 단계;
    상기 인증 데이터를 검증하여 상기 다른 전자 디바이스 (2) 의 진위를 확인하는 단계; 및
    상기 다른 전자 디바이스 (2) 의 진위를 확인한 때에, 상기 다른 전자 디바이스 (2) 와 안전하게 데이터를 통신하는 단계를 수행하도록 구성된, 전자 디바이스 (1).
  8. 제 7 항에 있어서,
    상기 메타데이터 (42) 에 포함된 상기 위치 정보는 상기 다른 전자 디바이스 (2) 가 상기 제 1 크립토그래픽 키를 사용하여 상기 메타데이터 (42) 에 포함된 상기 위치 정보를, 상기 인증 데이터로서, 암호화함으로써 상기 인증 데이터 메시지 (4**) 를 생성하는 것을 가능하게 하고;
    상기 회로 (10) 는 또한, 상기 위치 정보를 획득하기 위해 상기 제 1 크립토그래픽 키를 사용하여 상기 인증 데이터 메시지 (4**) 를 해독하고; 및 상기 인증 데이터 메시지 (4**) 를 해독함으로써 획득된 상기 위치 정보와 상기 메타데이터 (42) 에 포함된 상기 위치 정보를 비교함으로써 상기 다른 전자 디바이스 (2) 의 진위를 확인하도록 구성되는, 전자 디바이스 (1).
  9. 제 7 항 또는 제 8 항에 있어서,
    상기 회로 (10) 는 또한 상기 메타데이터 (42) 에 포함된 키 공간 식별자를 상기 다른 전자 디바이스 (2) 로 전송 (S4, S4*) 하도록 구성되고, 상기 키 공간 식별자는 상기 제 1 크립토그래픽 키 (11) 를 포함하는 상기 크립토그래픽 키 계층 (6) 또는 상기 크립토그래픽 키 계층 (6) 의 서브 세트 (61) 를 정의하여, 상기 다른 전자 디바이스 (2) 가 다른 전자 디바이스 (1) 로부터 수신된 상기 키 공간 식별자를 사용하여 상기 다른 전자 디바이스 (2) 에 저장된 복수의 비밀 크립토그래픽 키들 (21) 로부터 상기 제 1 크립토그래픽 키를 도출하기 위해 상기 제 2 크립토그래픽 키를 선택하는 것을 가능하게 하는, 전자 디바이스 (1).
  10. 제 7 항 내지 제 9 항 중 어느 한 항에 있어서,
    상기 회로 (10) 는 또한 상기 제 1 크립토그래픽 키 (11) 를 사용하여 데이터를 암호화하고 (S3); 상기 암호화된 데이터 (41) 및 상기 메타데이터 (42) 를 포함하는 상기 데이터 메시지 (4) 를 상기 다른 전자 디바이스 (2) 로 전송 (S4) 하도록 구성되어, 상기 다른 전자 디바이스 (2) 가 상기 데이터 메시지 (4) 에 포함된 상기 메타데이터 (42) 를 사용하여 상기 제 1 크립토그래픽 키를 도출하고 (S5), 상기 제 1 크립토그래픽 키를 사용하여 상기 데이터 메시지 (4) 에 포함된 상기 암호화된 데이터 (41) 를 해독 (S6) 하는 것을 가능하게 하는, 전자 디바이스 (1).
  11. 대칭 키 암호화를 사용하여 제 2 전자 디바이스 (2) 와 안전하게 통신하기 위해, 제 1 전자 디바이스 (1) 의 회로 (10) 를 제어하도록 구성된 컴퓨터 프로그램 코드가 저장된 비 일시적 컴퓨터 판독 가능 매체를 포함하는 컴퓨터 프로그램 제품으로서,
    상기 제 1 전자 디바이스 (1) 는
    상기 제 2 전자 디바이스 (2) 로 메타데이터 (42) 를 갖는 데이터 메시지 (4) 를 전송하는 단계 (S4, S4*) 로서, 상기 메타데이터 (42) 는 크립토그래픽 키 계층 (6) 의 제 1 크립토그래픽 키 (11) 의 위치 정보를 포함하고, 이것에 의해 상기 크립토그래픽 키 계층 (6) 에서, 상위 레벨 크립토그래픽 키보다 상기 크립토그래픽 키 계층 (6) 에서 하위 레벨에 위치한 하위 레벨 크립토그래픽 키는 상기 상위 레벨 크립토그래픽 키로부터의 일방향 함수 (F) 와 상기 크립토그래픽 키 계층 (6) 에서의 상기 하위 레벨 크립토그래픽 키의 위치를 정의하는 위치 정보를 통해 도출되고, 상기 메타데이터 (42) 는 상기 제 2 전자 디바이스 (2) 가 상기 제 2 전자 디바이스 (2) 에 저장된 제 2 크립토그래픽 키 (21) 및 상기 메타데이터 (42) 에 포함된 상기 위치 정보로부터 상기 일방향 함수 (F) 를 통해 상기 제 1 크립토그래픽 키 (11) 를 도출하고, 상기 제 1 크립토그래픽 키를 사용하여 상기 메타데이터 (42) 에 포함된 인증 데이터를 암호화함으로써 인증 데이터 메시지 (4**) 를 생성하는 것 (SA1) 을 가능하게 하는, 상기 데이터 메시지 (4) 를 전송하는 단계 (S4, S4*);
    상기 제 2 전자 디바이스 (2) 로부터 상기 인증 데이터 메시지 (4**) 를 수신하는 단계;
    상기 인증 데이터를 획득하기 위해 상기 제 1 크립토그래픽 키를 사용하여 상기 인증 데이터 메시지 (4**) 를 해독하는 단계;
    상기 인증 데이터를 검증함으로써 상기 제 2 전자 디바이스 (2) 의 진위를 확인하는 단계; 및
    상기 제 2 전자 디바이스 (2) 의 진위를 확인한 때에, 상기 제 2 전자 디바이스 (2) 와 안전하게 데이터를 통신하는 단계를 수행하는, 컴퓨터 프로그램 제품.
  12. 대칭 키 암호화를 사용하여 다른 전자 디바이스 (1) 와 안전하게 통신하기 위한 전자 디바이스 (2) 로서, 상기 전자 디바이스 (2) 는 회로 (20) 를 포함하며, 상기 회로 (20) 는
    상기 다른 전자 디바이스 (1) 로부터 메타데이터 (42) 를 갖는 데이터 메시지 (4) 를 수신하는 단계 (S4, S4*) 로서, 상기 메타데이터 (42) 는 크립토그래픽 키 계층 (6) 의 제 1 크립토그래픽 키 (11) 의 위치 정보를 포함하고, 이것에 의해 상기 크립토그래픽 키 계층 (6) 에서, 상위 레벨 크립토그래픽 키보다 상기 크립토그래픽 키 계층 (6) 에서 하위 레벨에 위치한 하위 레벨 크립토그래픽 키는 상기 상위 레벨 크립토그래픽 키로부터의 일방향 함수 (F) 와 상기 크립토그래픽 키 계층 (6) 에서의 상기 하위 레벨 크립토그래픽 키의 위치를 정의하는 위치 정보를 통해 도출되는, 상기 데이터 메시지 (4) 를 수신하는 단계 (S4, S4*);
    상기 전자 디바이스 (2) 에 저장된 제 2 크립토그래픽 키 (21) 및 상기 다른 전자 디바이스 (1) 로부터 수신된 상기 위치 정보로부터 상기 일방향 함수 (F) 를 통해 상기 제 1 크립토그래픽 키를 도출하는 단계 (S5);
    상기 제 1 크립토그래픽 키를 사용하여, 상기 다른 전자 디바이스 (1) 로부터 수신된 상기 메타데이터 (42) 에 포함된 인증 데이터를 암호화함으로써, 인증 데이터 메시지 (4**) 를 생성하는 단계 (SA1);
    상기 다른 전자 디바이스 (1) 로 상기 인증 데이터 메시지 (4**) 를 송신하는 단계;
    상기 다른 전자 디바이스 (1) 가 상기 인증 데이터를 획득하기 위해 상기 제 1 크립토그래픽 키를 사용하여 상기 인증 데이터 메시지 (4**) 를 해독하고, 상기 인증 데이터를 검증함으로써 상기 전자 디바이스 (2) 의 진위를 확인하며; 및 상기 전자 디바이스 (2) 의 진위를 확인한 때에, 상기 제 2 전자 디바이스 (2) 와 안전하게 데이터를 통신하는 것을 가능하게 하는 단계를 수행하도록 구성된, 전자 디바이스 (2).
  13. 제 12 항에 있어서,
    상기 회로 (20) 는 상기 제 1 크립토그래픽 키를 사용하여 상기 다른 전자 디바이스 (1) 로부터 수신된 상기 위치 정보를, 상기 인증 데이터로서, 암호화함으로써 상기 인증 데이터 메시지 (4**) 를 생성하도록 (SA1) 구성되어, 상기 다른 전자 디바이스 (1) 가 상기 위치 정보를 획득하기 위해 상기 제 1 크립토그래픽 키를 사용하여, 상기 인증 데이터 메시지 (4**) 를 해독하며, 상기 메타데이터 (42) 에 포함된 상기 위치 정보와 상기 인증 데이터 메시지 (4**) 를 해독함으로써 획득된 상기 위치 정보를 비교함으로써 상기 전자 디바이스 (2) 의 진위를 확인하는 것을 가능하게 하는, 전자 디바이스 (2).
  14. 제 12 항 또는 제 13 항에 있어서,
    상기 회로 (20) 는 또한, 상기 제 2 크립토그래픽 키 (21) 의 위치 정보를 상기 전자 디바이스 (2) 에 저장하고; 및 상기 전자 디바이스 (2) 에 저장된 상기 제 2 크립토그래픽 키 (21), 상기 제 2 크립토그래픽 키 (21) 의 상기 위치 정보, 및 상기 다른 전자 디바이스 (1) 로부터 수신된 상기 위치 정보로부터 상기 일방향 함수 (F) 를 통해 상기 제 1 크립토그래픽 키를 도출하도록 구성되는, 전자 디바이스 (2).
  15. 제 12 항 내지 제 14 항 중 어느 한 항에 있어서,
    상기 회로 (20) 는 또한, 상기 다른 전자 디바이스 (1) 로부터 상기 메타데이터 (42) 에 포함된 키 공간 식별자를 수신하는 것 (S4, S4*) 으로서, 상기 키 공간 식별자는 상기 제 1 크립토그래픽 키 (11) 를 포함하는 상기 크립토그래픽 키 계층 (6) 또는 상기 크립토그래픽 키 계층 (6) 의 서브 세트 (61) 를 정의하는, 상기 키 공간 식별자를 수신하고; 상기 다른 전자 디바이스 (1) 로부터 수신된 상기 키 공간 식별자를 사용하여, 상기 전자 디바이스 (2) 에 저장된 복수의 비밀 크립토그래픽 키들 (21) 로부터, 상기 제 1 크립토그래픽 키를 도출하기 위해, 상기 제 2 크립토그래픽 키를 선택하도록 구성되는, 전자 디바이스 (2).
  16. 제 12 항 내지 제 15 항 중 어느 한 항에 있어서,
    상기 회로 (20) 는 또한, 상기 다른 전자 디바이스 (1) 로부터 암호화된 데이터 (41) 및 메타데이터 (42) 를 상기 데이터 메시지 (4) 에서 수신하고 (S4); 상기 데이터 메시지 (4) 에 포함된 상기 메타데이터를 사용하여, 상기 제 2 전자 디바이스 (2) 에 저장된 상기 제 2 크립토그래픽 키 (21) 로부터 상기 일방향 함수 (F) 를 통해 상기 제 1 크립토그래픽 키를 도출하며 (S5); 및 상기 제 1 크립토그래픽 키를 사용하여, 상기 데이터 메시지 (4) 에 포함된 상기 암호화된 데이터 (41) 를 해독하도록 (S6) 구성되는, 전자 디바이스 (2).
  17. 대칭 키 암호화를 사용하여 제 1 전자 디바이스 (1) 와 안전하게 통신하기 위해, 제 2 전자 디바이스 (2) 의 회로 (20) 를 제어하도록 구성된 컴퓨터 프로그램 코드가 저장된 비 일시적 컴퓨터 판독 가능 매체를 포함하는 컴퓨터 프로그램 제품으로서,
    상기 제 2 전자 디바이스 (2) 는,
    상기 제 1 전자 디바이스 (1) 로부터 메타데이터 (42) 를 갖는 데이터 메시지 (4) 를 수신하는 단계 (S4, S4*) 로서, 상기 메타데이터 (42) 는 크립토그래픽 키 계층 (6) 의 제 1 크립토그래픽 키 (11) 의 위치 정보를 포함하고, 이것에 의해 상기 크립토그래픽 키 계층 (6) 에서, 상위 레벨 크립토그래픽 키보다 상기 크립토그래픽 키 계층 (6) 에서 하위 레벨에 위치한 하위 레벨 크립토그래픽 키는 상기 상위 레벨 크립토그래픽 키로부터의 일방향 함수 (F) 와 상기 크립토그래픽 키 계층 (6) 에서의 상기 하위 레벨 크립토그래픽 키의 위치를 정의하는 위치 정보를 통해 도출되는, 상기 데이터 메시지 (4) 를 수신하는 단계 (S4, S4*);
    상기 제 2 전자 디바이스 (2) 에 저장된 제 2 크립토그래픽 키 (21) 및 상기 제 1 전자 디바이스 (1) 로부터 수신된 상기 위치 정보로부터 상기 일방향 함수 (F) 를 통해 상기 제 1 크립토그래픽 키를 도출하는 단계 (S5);
    상기 제 1 크립토그래픽 키를 사용하여, 상기 다른 전자 디바이스 (1) 로부터 수신된 상기 메타데이터 (42) 에 포함된 인증 데이터를 암호화함으로써, 인증 데이터 메시지 (4**) 를 생성하는 단계 (SA1);
    상기 제 1 전자 디바이스 (1) 로 상기 인증 데이터 메시지 (4**) 를 송신하는 단계;
    상기 제 1 전자 디바이스 (1) 가 상기 인증 데이터를 획득하기 위해 상기 제 1 크립토그래픽 키를 사용하여 상기 인증 데이터 메시지 (4**) 를 해독하고, 상기 인증 데이터를 검증함으로써 상기 제 2 전자 디바이스 (2) 의 진위를 확인하며; 및 상기 전자 디바이스 (2) 의 진위를 확인한 때에, 상기 제 1 전자 디바이스 (1) 와 안전하게 데이터를 통신하는 것을 가능하게 하는 단계를 수행하는, 컴퓨터 프로그램 제품.






KR1020207003119A 2017-07-18 2018-07-17 디바이스들 사이에 안전하게 통신하기 위한 방법 및 디바이스 KR102614209B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CH9362017 2017-07-18
CH00936/17 2017-07-18
PCT/EP2018/069349 WO2019016185A1 (en) 2017-07-18 2018-07-17 METHOD AND DEVICES FOR SECURE COMMUNICATION BETWEEN DEVICES

Publications (2)

Publication Number Publication Date
KR20200027527A true KR20200027527A (ko) 2020-03-12
KR102614209B1 KR102614209B1 (ko) 2023-12-14

Family

ID=59506023

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020207003118A KR102651659B1 (ko) 2017-07-18 2018-07-17 전자 디바이스의 인가를 검증하기 위한 방법 및 디바이스
KR1020207003119A KR102614209B1 (ko) 2017-07-18 2018-07-17 디바이스들 사이에 안전하게 통신하기 위한 방법 및 디바이스

Family Applications Before (1)

Application Number Title Priority Date Filing Date
KR1020207003118A KR102651659B1 (ko) 2017-07-18 2018-07-17 전자 디바이스의 인가를 검증하기 위한 방법 및 디바이스

Country Status (6)

Country Link
US (2) US11290262B2 (ko)
EP (2) EP3656081A1 (ko)
KR (2) KR102651659B1 (ko)
CN (2) CN110870252B (ko)
CA (2) CA3067504A1 (ko)
WO (2) WO2019016185A1 (ko)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105515768B (zh) * 2016-01-08 2017-07-21 腾讯科技(深圳)有限公司 一种更新密钥的方法、装置和系统
DE102017115298A1 (de) * 2017-07-07 2019-01-10 Huf Hülsbeck & Fürst Gmbh & Co. Kg Verfahren zur Delegation von Zugriffsrechten
EP3824609A1 (en) * 2018-07-17 2021-05-26 Telefonaktiebolaget LM Ericsson (publ) Multi-x key chaining for generic bootstrapping architecture (gba)
IT201900009165A1 (it) * 2019-06-17 2020-12-17 St Microelectronics Srl Dispositivo elettronico e corrispondente procedimento di funzionamento
US11405188B2 (en) 2019-09-30 2022-08-02 Coinfirm Limited Method for secure transferring of information through a network between an origin virtual asset service provider and a destination virtual asset service provider
US11277262B2 (en) 2020-07-01 2022-03-15 International Business Machines Corporation System generated data set encryption key
CN112486500B (zh) * 2020-11-03 2022-10-21 杭州云嘉云计算有限公司 一种系统授权部署方法
US11882441B2 (en) * 2021-06-21 2024-01-23 T-Mobile Innovations Llc Quantum authentication for wireless user equipment (UE)
CN113347211B (zh) * 2021-08-04 2021-11-23 北京微芯感知科技有限公司 身份分层加密方法、装置、系统、计算机设备及存储介质
US11863672B1 (en) * 2023-04-18 2024-01-02 Intuit Inc. Systems and methods for refreshing encryption and decryption keys and signatures for a realtime pipepiline

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6735313B1 (en) * 1999-05-07 2004-05-11 Lucent Technologies Inc. Cryptographic method and apparatus for restricting access to transmitted programming content using hash functions and program identifiers
US8892865B1 (en) * 2012-03-27 2014-11-18 Amazon Technologies, Inc. Multiple authority key derivation
US10366631B2 (en) * 2013-10-08 2019-07-30 Nec Corporation System, method, apparatus, and control methods for ciphertext comparison

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7039803B2 (en) * 2001-01-26 2006-05-02 International Business Machines Corporation Method for broadcast encryption and key revocation of stateless receivers
US7043024B1 (en) * 2001-04-18 2006-05-09 Mcafee, Inc. System and method for key distribution in a hierarchical tree
US8832466B1 (en) * 2006-01-27 2014-09-09 Trustwave Holdings, Inc. Methods for augmentation and interpretation of data objects
JP4179563B2 (ja) * 2006-09-21 2008-11-12 インターナショナル・ビジネス・マシーンズ・コーポレーション 暗号通信の暗号鍵を管理する技術
JP5349261B2 (ja) 2009-04-23 2013-11-20 三菱電機株式会社 暗号処理システム、鍵生成装置、鍵委譲装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム
JP5552541B2 (ja) * 2009-12-04 2014-07-16 クリプトグラフィ リサーチ, インコーポレイテッド 検証可能な耐漏洩性暗号化および復号化
JP5501482B2 (ja) 2011-01-18 2014-05-21 三菱電機株式会社 暗号システム、暗号システムの暗号処理方法、暗号化装置、暗号化プログラム、復号装置および復号プログラム
US8739308B1 (en) * 2012-03-27 2014-05-27 Amazon Technologies, Inc. Source identification for unauthorized copies of content
US9768957B2 (en) * 2014-04-23 2017-09-19 Cryptography Research, Inc. Generation and management of multiple base keys based on a device generated key
US9258117B1 (en) * 2014-06-26 2016-02-09 Amazon Technologies, Inc. Mutual authentication with symmetric secrets and signatures
CN115549887A (zh) * 2016-02-23 2022-12-30 恩链控股有限公司 用于信息的安全交换的公共秘密的确定和层级确定性密钥

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6735313B1 (en) * 1999-05-07 2004-05-11 Lucent Technologies Inc. Cryptographic method and apparatus for restricting access to transmitted programming content using hash functions and program identifiers
US8892865B1 (en) * 2012-03-27 2014-11-18 Amazon Technologies, Inc. Multiple authority key derivation
US10044503B1 (en) * 2012-03-27 2018-08-07 Amazon Technologies, Inc. Multiple authority key derivation
US10366631B2 (en) * 2013-10-08 2019-07-30 Nec Corporation System, method, apparatus, and control methods for ciphertext comparison

Also Published As

Publication number Publication date
EP3656081A1 (en) 2020-05-27
US20200177375A1 (en) 2020-06-04
EP3656080A1 (en) 2020-05-27
KR102651659B1 (ko) 2024-03-26
US20200204360A1 (en) 2020-06-25
CN110870252B (zh) 2022-10-11
CN110870252A (zh) 2020-03-06
CA3067504A1 (en) 2019-01-24
KR20200027526A (ko) 2020-03-12
KR102614209B1 (ko) 2023-12-14
CN111133720B (zh) 2023-03-03
US11184161B2 (en) 2021-11-23
CA3068145A1 (en) 2019-01-24
WO2019016185A1 (en) 2019-01-24
CN111133720A (zh) 2020-05-08
US11290262B2 (en) 2022-03-29
WO2019016181A1 (en) 2019-01-24

Similar Documents

Publication Publication Date Title
KR102614209B1 (ko) 디바이스들 사이에 안전하게 통신하기 위한 방법 및 디바이스
TWI738835B (zh) 資料安全保障系統及方法、裝置
US10341091B2 (en) Secure memory storage
EP2456121B1 (en) Challenge response based enrollment of physical unclonable functions
JP7232816B2 (ja) 資産を認証する認証システム及び認証方法
CN106101150B (zh) 加密算法的实现方法和系统
KR20180119201A (ko) 인증 시스템을 위한 전자 장치
EP3695561B1 (en) Secure provisioning of data to client device
CN105306194A (zh) 供加密档案和/或通讯协定的多重加密方法与系统
CN104868998A (zh) 一种向电子设备供应加密数据的系统、设备和方法
US11128455B2 (en) Data encryption method and system using device authentication key
CN111008408A (zh) 提供安全信息的设备和方法
CN113556230A (zh) 数据安全传输方法、证书相关方法、服务端、系统及介质
CN110383755A (zh) 网络设备和可信第三方设备
CN110545184B (zh) 通讯系统及操作通讯系统的方法
KR101829423B1 (ko) 암복호화 장치 및 이를 이용한 암복호화 방법
KR101834522B1 (ko) 데이터 확인 장치 및 이를 이용하여 데이터를 확인하는 방법
EP3193274A1 (en) Secure memory storage
JP7206869B2 (ja) 暗号化通信システム及び暗号化通信方法
KR101006803B1 (ko) 인증 기능을 갖는 rfid 인증 장치 및 방법
US20240080189A1 (en) System and method for decrypting encrypted secret data items without master password
CN114936380A (zh) 基于变色龙哈希的区块链隐私数据共享方法及系统
CN115688124A (zh) 一种传输交集数据的方法、装置及电子设备
CN112715017A (zh) 使用物理不可克隆函数的密码密钥配置
JP2015125533A (ja) 情報処理システム、通信装置、及び記憶装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant