UA53651C2 - Спосіб криптографічного обміну кодами між першим комп'ютерним пристроєм та другим комп'ютерним пристроєм - Google Patents
Спосіб криптографічного обміну кодами між першим комп'ютерним пристроєм та другим комп'ютерним пристроєм Download PDFInfo
- Publication number
- UA53651C2 UA53651C2 UA98126427A UA98126427A UA53651C2 UA 53651 C2 UA53651 C2 UA 53651C2 UA 98126427 A UA98126427 A UA 98126427A UA 98126427 A UA98126427 A UA 98126427A UA 53651 C2 UA53651 C2 UA 53651C2
- Authority
- UA
- Ukraine
- Prior art keywords
- computer device
- codes
- protection domain
- authenticators
- exchange
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 85
- 238000004891 communication Methods 0.000 title description 22
- 238000004422 calculation algorithm Methods 0.000 claims description 64
- 238000012876 topography Methods 0.000 claims 1
- 230000008569 process Effects 0.000 abstract description 12
- 238000012790 confirmation Methods 0.000 description 13
- 230000008901 benefit Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 102000017914 EDNRA Human genes 0.000 description 1
- 101150062404 EDNRA gene Proteins 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004883 computer application Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Hardware Redundancy (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
Спосіб для криптографічного обміну кодами між першим комп'ютерним пристроєм та другим комп'ютерним пристроєм. Спосіб розділений на окремі фази - модулі. Під час процесу автентифікації першого комп'ютерного пристрою (С1) та другого комп'ютерного пристрою (С2) відбувається обмін автентифікаторами (АRA, АRB), які застосовуються у наступних криптографічних фазах (SP, SA). Завдяки цьому, а також модульній структурі, новий процес автентифікації, що взагалі є потрібним на інших криптографічних фазах (SP, SA), більше не потрібен і вже не здійснюється.
Description
Опис винаходу
У багатьох галузях техніки є необхідним забезпечення захисту акту комунікації між партнерами від 2 будь-яких зловживань за допомогою криптографічних способів. При цьому витрати, необхідні для забезпечення криптографічного захисту акту комунікації в цілому, залежать від галузі застосування. Так, наприклад, за деяких обставин під час приватних розмов не дуже важливо, щоб для захисту акту комунікації було вжито всіх можливих криптографічних заходів. Проте, надійний захист актів комунікації, зміст яких є вельми конфіденційним, набуває великого значення. 70 Процес вибору служб безпеки, а також механізмів, алгоритмів і параметрів, що використовуються для захисту актів комунікацій, називають алгоритмом захисту від несанкціонованого доступу, якого дотримуються під час актом комунікації між партнерами.
Проте, оскільки рівень необхідного захисту від несанкціонованого доступу і зв'язаний з ним відповідний алгоритм є різними для різних актів комунікації та галузей застосування, і оскільки партнери за актом 12 комунікації фактично не мають у своєму розпорядженні всі криптографічні способи захисту, у разі частої зміни партнерів за актом комунікації це може призвести до значних розбіжностей між необхідними або можливими алгоритмами захисту від несанкціонованого доступу, що підтримуються відповідним комп'ютерним пристроєм партнера за актом комунікації, тобто, можуть бути реалізовані.
Необхідно, щоб під час кожного акту комунікації у межах однієї групи, що бере участь в акті комунікації, було встановлено єдиний алгоритм захисту від несанкціонованого доступу для відповідного з'єднання.
У разі застосування великої кількості різних прикладних протоколів, що описані, між іншим, у документі "М. АМКепрпоїєп ей аі, Те ВЕККОМ Мийітеаіа СоПарогайоп беглмісе АСМ Мийітедаіа 93, АСМ 0-89791-596-8/93/0457, СА, ІА 1993", наприклад СМАР, СОАР тощо, виникає проблема, яка полягає у тому, що різні прикладні протоколи однакових або різних комп'ютерних пристроїв потребують різних алгоритмів с захисту від несанкціонованого доступу. У залежності від обставин для забезпечення логічного зв'язку між Ге) відповідними протоколами різних комп'ютерних пристроїв застосування виникає необхідність також у застосуванні власних, спеціальних криптографічних кодах для кожного прикладного протоколу. Оскільки на одному комп'ютерному пристрої можуть бути встановлені різні прикладні протоколи, у залежності від обставин виникає потреба в обміні кількома криптографічними кодами між двома комп'ютерними пристроями. З цієї -- причини може також виникнути потреба в обміні між двома комп'ютерними пристроями різними алгоритмами ою захисту від несанкціонованого доступу.
Надійний обмін кодами або підбір надійного алгоритму захисту від несанкціонованого доступу грунтується на ее, взаємній автентифікації комп'ютерних пристроїв, що беруть участь у підборі або в обміні кодами перед се процедурою обміну кодами або підбору алгоритму захисту від несанкціонованого доступу.
Зо Зазвичай перед кожним підбором алгоритму захисту від несанкціонованого доступу або перед кожним о обміном кодами здійснюється фаза автентифікації, під час якої відбувається взаємна автентифікація (тобто розпізнавання) комп'ютерних пристроїв.
При великій кількості процесів підбору алгоритмів захисту від несанкціонованого доступу або обміну кодами « це призводить до виконання великої кількості автентифікацій, що пов'язано з великими витратами на акти З 50 комунікації і збільшенням потрібної потужності ЕОМ. с Ця проблема додатково загострюється також у тому разі, коли акт комунікації відбувається не лише між
Із» двома комп'ютерними пристроями, а передбачається кілька комп'ютерних пристроїв, підпорядкованих різним доменам захисту. Під поняттям доменів захисту слід розуміти у цьому зв'язку певну кількість комп'ютерних пристроїв, що використовують спільні алгоритми захисту від несанкціонованого доступу.
У цьому разі автентифікація здійснюється зазвичай на рівні доменів захисту. і-й Огляд звичайних криптографічних методів, якими можна користуватись у цьому способі, поданий, наприклад, оз у документі "5. Мийіс, Зіспегпейвтеспапізтеп їьг Кесппегпеїге (Механізми захисту від несанкціонованого доступу до обчислювальних мереж), Видавництво Сагі Напзег Мегіад, Мюнхен, ІЗВМ 3-446-16272-0, с. 34 - 70, б 1992р". сл 20 Відомий варіант підбору алгоритмів захисту від несанкціонованого доступу під час акту комунікації між двома партнерами, проте при цьому підбір, що описується у цьому документі, обмежується лише незначною та кількістю заздалегідь визначених параметрів "Т. Кірр ейаі,, Те 551 Ргоїосо! (Протокол 551), Іпіегпеї Огай,
Червень 1995р..
У документі " СНОКІЕУ В у ЕТ А: "Тпе аеїпйіоп апа ітріетепіайоп ої а взесиге соттипісайопв ргофосої" 25 РЕОСЕЕОІМО5 ОЕ ТНЕ ІМТЕВМАТІОМАЇ!. САВЕМАНАМ СОМЕЕВЕМСЕ ОМ ЗЕСИВІТУ ТЕСНМОГ ОСУ, 70ИВІСН,
ГФ) ЗУМІТ7ЕКІ АМО, 4-6 ОСТ. 1983, ІБЗВМ 0-89779-057-Х, 1983, І ЕХІМОТОМ, КМ, ОБА, ОМІМ. КЕМТОСКУ, ОА", який за сукупністю ознак є найближчим аналогом, описується протокол, згідно з яким захищений запит між двома о терміналами установлюється шляхом передавання множини параметрів, що визначають спосіб кодування, джерело ключа та будь-які зв'язані змінні. Це передавання реалізується шляхом надсилання терміналом, який 60 запитує, початкового повідомлення з необхідними параметрами до терміналу, якому передбачений запит.
Термінал, якому передбачений запит може просто прийняти параметри та увійти в режим закодованого тексту шляхом повернення Закодованого З'єднувального повідомлення Запиту або відхиляє їх та закриває запит шляхом надсилання Запиту про Закриття. Альтернативно, параметри можуть бути прийнятими і повертаються деякі додаткові параметри (наприклад, коли в кожному напрямі використовується різний ключ). Накінець, бо альтернативна множина параметрів може повертатися завдяки тому, що початкова множина параметрів була деяким чином неприйнятою. В разі, коли додаткові параметри повертаються, термінал, який запитує може прийняти їх тільки шляхом повернення Закодованого З'єднувального Запиту або відхилити їх шляхом надсилання Запиту про Закриття. Окрім того є можливість приймати тестовий шаблон. Тестові шаблони
Використовуються для перевірки ідентичності терміналів, який запитує та якому передбачений запит. Тестовий шаблон зберігається, а відповідь надсилається після узгодження нових параметрів.
В основу винаходу покладено проблему створення способу для обміну кодами між двома комп'ютерними пристроями, у якому потрібні витрати на акт комунікації та потужність ЕОМ, необхідна для реалізації методу, є меншими, ніж для відомих способів. 70 Ця проблема вирішується за допомогою способу для криптографічного обміну кодами між першим комп'ютерним пристроєм (С1) та другим комп'ютерним пристроєм (С2), у якому між першим комп'ютерним пристроєм (С1) та другим комп'ютерним пристроєм (С2) здійснюється автентифікація; у якому між першим комп'ютерним пристроєм (С1) та другим комп'ютерним пристроєм (С2) відбувається підбір алгоритмів захисту від несанкціонованого доступу (ЗР), який відрізняється тим, що під час автентифікації між першим комп'ютерним пристроєм (С1) та другим комп'ютерним пристроєм (С2) відбувається обмін автентифікаторами (АК д, АКв), за допомогою яких забезпечується автентичність комп'ютерних пристроїв (С1, С2); під час відбору алгоритму захисту від несанкціонованого доступу (ЗР) застосовується принаймні один з автентифікаторів (АКА, АКв).
У цьому способі здійснюється взаємна автентифікація двох комп'ютерних пристроїв, у межах якої відбувається обмін автентифікаторами між комп'ютерними пристроями. За допомогою автентифікаторів здійснюється обмін секретними даними між комп'ютерними пристроями, що дозволяє здійснити автентифікацію сч ов Комп'ютерних пристроїв. Після цього підбір алгоритму захисту від несанкціонованого доступу та/або обмін кодами між комп'ютерними пристроями здійснюється із застосуванням автентифікаторів. і)
Завдяки цьому способу немає потреби у проведенні явних фаз автентифікації між комп'ютерними пристроями для кожного нового процесу обміну кодами та/або підбору алгоритму захисту від несанкціонованого доступу. Наприклад, при використанні кількох прикладних протоколів значно зменшується кількість необхідних сп зо фаз автентифікації, оскільки автентифікацію між комп'ютерними пристроями слід виконувати лише один раз, а для усіх наступних операцій автентифікація комп'ютерних пристроїв відбувається неявно за допомогою о автентифікаторів, що передаються. Ге
Внаслідок цього суттєво зменшуються витрати, необхідні для обміну кодами між комп'ютерними пристроями, а також необхідний час обчислень ЕОМ. і)
Переважні варіанти втілення винаходу пояснюються у додаткових пунктах формули винаходу. ю
У разі групування кількох комп'ютерних пристроїв у домени захисту та автентифікації комп'ютерних пристроїв на рівні доменів захисту, яким підпорядкований відповідний комп'ютерний пристрій, досягається додаткова економія витрат, необхідних для здійснення акту комунікації, а також потрібна потужність ЕОМ. Це є можливим завдяки модульній структурі способу, оскільки явну фазу автентизації слід здійснювати лише для « одного відповідного пристрою комп'ютера одного домену захисту. Якщо здійснюється підбір іншого алгоритму пл») с захисту від несанкціонованого доступу та/або інший обмін кодами між іншими комп'ютерними пристроями . відповідних доменів захисту, для яких вже відбувся двосторонній процес автентифікації, автентифікатори, обмін а якими вже відбувся, при наступному підборі та/або наступному обміні кодами можуть використовуватись для неявної автентифікації інших комп'ютерних пристроїв.
Крім того, перевага іншого варіанту способу полягає у застосуванні геш-функцій, що базуються на с симетричних криптоалгоритмах, оскільки утворювати геш-значення із застосуванням подібних геш-функцій можна дуже швидко. Завдяки цьому значно прискорюється процес виконання способу. о Завдяки використанню цифрових сигнатур, можна надійно та достовірно реалізувати цей спосіб.
Ге» Крім того, доцільно здійснювати фазу переривання з'єднання, у якій здійснюється стирання розділених 5р бекретних інформацій, наприклад, кодів, обмін якими відбувся, або автентифікаторів. При цьому додатково о підвищується надійність способу, оскільки для інших комп'ютерних пристроїв не застосовуються жодні секретні як інформації, які можна було б використати пізніше для зловживань. Крім того, фаза переривання з'єднання використовується для синхронізації комп'ютерних пристроїв, що беруть участь в акті комунікації.
В іншому варіанті способу доцільним є послідовне стирання секретних інформацій, так що існує можливість вв повторного ієрархічного використання секретних даних, обмін якими вже відбувся, наприклад, для іншого процесу обміну кодами. Це означає, наприклад, що на початку фази переривання з'єднання стираються коди
Ф) з'єднання, обмін якими здійснюється для утворення логічного зв'язку під час акту комунікації, а алгоритми ка захисту від несанкціонованого доступу, що підбираються для прикладних протоколів, ще залишаються записаними. Тому при утворенні нового логічного зв'язку між прикладними протоколами комп'ютерних пристроїв во потрібно лише здійснити обмін новими кодами між комп'ютерними пристроями. Секретні дані, обмін якими вже був здійснений, наприклад автентифікатори або застосований алгоритм захисту від несанкціонованого доступу, крім того, можна використовувати для нового логічного зв'язку.
Нижче спосіб пояснюється більш детально на прикладі варіанту способу за допомогою креслень.
На фіг.1 наведена схема послідовності операцій із зазначенням окремих етапів способу. 65 На фіг.2 схематично зображений формат повідомлень, у якому доцільно передавати повідомлення, обмін якими відбувається у цьому способі.
У межах цього винаходу поняття криптографічного способу слід розуміти так, що поняття криптографічного способу охоплює всі способи для перевірки цілісності пакету даних ОР, як некриптографічні, так і криптографічні, наприклад, Сусіїс-Кедипаапсу Спеск (СКС) (контроль за допомогою циклічного надлишкового
КОДУ).
На фіг.1 наведений приклад реалізації способу, що пояснює суть винаходу. Як пояснюється далі, цей варіант способу ні в якому разі не слід розуміти як єдину можливість втілення винаходу. Варіанти окремих етапів наведеного способу відомі фахівцям і пояснюються далі.
На початку реалізації способу між першим комп'ютерним пристроєм С1 та другим комп'ютерним пристроєм у сг здійснюється автентифікація. Автентифікація відбувається у фазі автентифікації А.
Автентифікацію можна здійснювати, наприклад, згідно з стандартом Х.509 для підвищення ефективності. При цьому процес автентифікації відбувається, наприклад, таким чином.
Від першого комп'ютерного пристрою С1 перший сертифікат Сепу, який включає у себе надійний, сертифікований надійною третьою інстанцією, що сертифікує блок сертифікації, відкритий код першого 7/5 Комп'ютерного пристрою С1, передається на другий комп'ютерний пристрій С2.
Далі перший комп'ютерний пристрій С1 додатково до першого сертифікату Сепд генерує перше повідомлення-сигнатура 51, яке утворюється з цифрової сигнатури і першого повідомлення М1 за допомогою секретного коду ЗК А першого комп'ютерного пристрою С1.
Перше повідомлення М1 включає у себе, наприклад, перша часова мітка та, перше випадкове число КА, яке
У межах цього способу є однозначним, ідентифікатор Ів другого комп'ютерного пристрою С2, у разі застосування механізму автентифікації Х.509, наприклад, однозначного ідентифікатора другого комп'ютерного пристрою С2, у разі використання алгоритму захисту, що застосовується в описаному далі процесі підбору алгоритму захисту від несанкціонованого доступу, який поширюється на весь домен захисту, специфікацію домену ЗОІЮО, якій підпорядкований другий комп'ютерний пристрій С1, а також автентифікатор АК А першого комп'ютерного сч ов пристрою, закодований відкритим кодом РК В другого комп'ютерного пристрою С2, що відповідає псевдокоду першого комп'ютерного пристрою С1. і)
Перший сертифікат Сегпід, а також перше повідомлення-сигнатура 51 передаються на другий комп'ютерний пристрій С2.
Після оцінки (верифікації) першого повідомлення-сигнатури 51, що служить для запобігання різним спробам «-
Зо криптографічного злому, у другому комп'ютерному пристрої С2 генерується друге повідомлення-сигнатура 52 і передається на перший комп'ютерний пристрій С1. о
Друге сигнатурне повідомлення 52 складається, наприклад, з таких компонентів: Ге другої часової мітки Тв, другого однозначного випадкового числа Кв, о ідентифікатора Ід першого комп'ютерного пристрою С1, ю першого випадкового числа КА, автентифікатора АКв другого комп'ютерного пристрою С2, закодованого відкритим кодом РК А першого комп'ютерного пристрою С1.
Із зазначених вище компонентів формується друге повідомлення М2, що визначається формуванням « Чифрової сигнатури із застосуванням секретного коду ЗК. В другого комп'ютерного пристрою С2. з с Секретні псевдокоди як автентифікатори АК д першого комп'ютерного пристрою С1 та АКв - другого комп'ютерного пристрою С2 у подальшому процесі виконання протоколу використовуються для забезпечення ;» криптографічного з'єднання подальших фаз протоколу і протокольних повідомлень з фазою автентифікації. У разі застосування стандарту Х.509 автентифікатор АК д першого комп'ютерного пристрою С1 може бути перенесений у поле, передбачене для "секретного біт-рядка". с Після прийому та оцінки, тобто верифікації другого повідомлення-сигнатури 52 у першому комп'ютерному пристрої С1 у першому комп'ютерному пристрої С! генерується третє повідомлення-сигнатура 53, що о передається на другий комп'ютерний пристрій С2.
Ге» Третє повідомлення-сигнатура 53 генерується із застосуванням секретного коду ЗК А першого 5р Комп'ютерного пристрою С1, за допомогою якого кодується третє повідомлення МЗ. Третє повідомлення МЗ о включає у себе принаймні один ідентифікатор Ів другого комп'ютерного пристрою С2, а також друге випадкове шк число Кв.
Проте, автентифікацію між першим комп'ютерним пристроєм С1 та другим комп'ютерним пристроєм С2 можна здійснювати будь-яким іншим способом, наприклад, із застосуванням принципу експоненціального обміну в Кодами, наприклад, так званого обміну Оійе-Неїтапп. У разі застосування обміну кодами Оійе-Неїїтапп коди, обмін якими відбувається, використовуються безпосередньо як автентифікатори АК д, АКв, що (Ф, використовуються у наступних фазах способу. ка У фазі автентифікації А потрібно лише, щоб між першим комп'ютерним пристроєм С1 та другим комп'ютерним пристроєм С2 відбувався надійний обмін автентифікаторами АКА, АКв. Це означає, що необхідно бо тільки, щоб в обох комп'ютерних пристроях Ст, С2 після фази автентифікації А в іншому відповідному комп'ютерному пристрої С1, С2 були присутні характеристичні секретні дані.
Після закінчення процесу автентифікації між першим комп'ютерним пристроєм С1 та другим комп'ютерним пристроєм С2 здійснюється підбір алгоритму захисту від несанкціонованого доступу, що використовується у наступному акті комунікації, та/або відбувається заміна криптографічного коду. 65 Далі детально пояснюється фаза підбору Зр алгоритму захисту від несанкціонованого доступу, а також фаза обміну кодами Зд. Проте, у варіантах способу передбачається виконання лише фази підбору З р алгоритму захисту від несанкціонованого доступу або лише фази обміну кодами Зд. Спільне представлення обох фаз
Ор, Зд у наведеному варіанті способу використовується лише для більш наочного пояснення суті винаходу.
Фаза підбору алгоритму захисту від несанкціонованого доступу Зр може характеризуватись, наприклад, такими етапами.
За допомогою цього побудованого за модульним принципом протоколу можна здійснювати взаємну автентифікацію першого комп'ютерного пристрою С1 і другого комп'ютерного пристрою С2 для подальшого підбору алгоритму захисту від несанкціонованого доступу між першим комп'ютерним пристроєм С1 і другим комп'ютерним пристроєм С2, причому немає потреби у повторному проведенні фази автентифікації А. Це /0 Можливо завдяки застосуванню автентифікаторів АК д, АКв У фазі підбору алгоритму захисту від несанкціонованого доступу 5Р для неявної автентифікації комп'ютерних пристроїв С1, С2.
В іншому варіанті втілення способу алгоритм захисту від несанкціонованого доступу може поширюватись, наприклад, на всі домени захисту 51, 52, причому визначається група ЕОМ, підпорядкованих спільним алгоритмам захисту від несанкціонованого доступу.
Проте, алгоритм захисту від несанкціонованого доступу може поширюватись тільки на актуальне з'єднання між першим комп'ютерним пристроєм С1 та другим комп'ютерним пристроєм С2.
У першому комп'ютерному пристрої С1 генерується пропозиція алгоритму захисту від несанкціонованого доступу 5Ра, що підлягає застосуванню, яка включає у себе алгоритм захисту від несанкціонованого доступу, Що пропонується першим комп'ютерним пристроєм С1.
Пропозиція алгоритму захисту від несанкціонованого доступу ЗР д кодується відкритим кодом НК О другого комп'ютерного пристрою С2, завдяки чому дуже вразлива пропозиція алгоритму захисту від несанкціонованого доступу 5Р.А захищається від несанкціонованого прослуховування.
Крім того, принаймні для пропозиції алгоритму захисту від несанкціонованого доступу ЗРА, ідентифікатора Ів другого комп'ютерного пристрою С2, а також автентифікатора АКв другого комп'ютерного пристрою С2 сч ов Застосовується геш-функція й (.), за допомогою якої утворюється перше геш-значення й (ЗР д, Ів, АКв).
За допомогою першого геш-значення Пп (5Р А, Ів, АКВ) гарантується автентичність першого комп'ютерного і) пристрою Ст, а також пропозиції алгоритму захисту від несанкціонованого доступу ЗРд для другого комп'ютерного пристрою.
Замість цього можна застосовувати асиметричну цифрову сигнатуру, внаслідок чого забезпечується «-
Зо достовірність повідомлення із відповідною цифровою сигнатурою.
Генерування геш-значення на базі симетричного криптографічного способу забезпечує перевагу, яка полягає юю у тому, що визначати геш-значення за допомогою симетричного криптографічного способу можна значно «о скоріше, ніж формувати цифрову сигнатуру.
У межах цього способу можна використовувати будь-які геш-функції, наприклад, спосіб МО4, МО5 або ме) зв Ггеш-алгоритм ІЗО10118. Застосування геш-алгоритму ІЗО10118 є особливо доцільним у разі наявності ю апаратурного забезпечення для так званого симетричного способу кодування СЕЗ (Оаїа Епсгуріїоп Зіапаага).
Закодована пропозиція алгоритму захисту від несанкціонованого доступу ЗР д, а також перше значення п (РА, Ів, АВв) передаються на другий комп'ютерний пристрій С2, у якому здійснюється верифікація.
У відповідь на це на перший комп'ютерний пристрій передається підтвердження алгоритму захисту від «
Ннесанкціонованого доступу ЗРав, закодоване відкритим кодом РК А першого комп'ютерного пристрою СТ. Далі, Ше) с друге геш-значення Пп (ЗР ав, Ід, АКд) генерується у другому комп'ютерному пристрої С2 і передається на перший . комп'ютерний пристрій С1, причому друге геш-значення Пп (5Р дв, Ід, АКА) генерується принаймні за допомогою и?» підтвердження алгоритму захисту від несанкціонованого доступу ЗР дв, ідентифікатора Ід першого комп'ютерного пристрою С1, а також автентифікатора АКА першого комп'ютерного пристрою С1.
Підтвердження алгоритму захисту від несанкціонованого доступу ЗР дв включає у себе, наприклад, с підтвердження акцептування надісланої першим комп'ютерним пристроєм С1 пропозиції алгоритму захисту від несанкціонованого доступу 5Ра, або генерованої другим комп'ютерним пристроєм С2 власної пропозиції о алгоритму захисту від несанкціонованого доступу. Якщо генерована другим комп'ютерним пристроєм С2
Ге» пропозиція алгоритму захисту від несанкціонованого доступу відрізняється від пропозиції алгоритму захисту від 5р несанкціонованого доступу ЗРд першого комп'ютерного пристрою СІ, комп'ютерний пристрій С1 має належним о чином переробити наступну пропозицію алгоритму захисту від несанкціонованого доступу, верифікувати Її,
Кк перевірити і надіслати наступне підтвердження алгоритму захисту від несанкціонованого доступу на другий комп'ютерний пристрій С2.
Зміст повідомлень відповідає описаному вище способу. Фаза застосування 5 р алгоритму захисту від дв Несанкціонованого доступу може повторюватись ітеративно, поки перший комп'ютерний пристрій С1 і другий комп'ютерний пристрій С2 не "погодяться" з варіантом алгоритму захисту від несанкціонованого доступу, що
Ф) підтримується обома комп'ютерними пристроями С1, С2. ка Фаза обміну кодами 5А може бути реалізована, наприклад, за допомогою таких етапів.
Від першого комп'ютерного пристрою С1 перше повідомлення про обмін кодами ЗА1 передається на другий бор Комп'ютерний пристрій С2.
Перше повідомлення про обмін кодами 5А1 складається, наприклад, з таких компонентів: даних Р про з'єднання, що застосовується, за допомогою якого репрезентується одне з кількох одночасно активних з'єднань; числове значення Сдв першого комп'ютерного пристрою С1 для розподілу кодів та/або повідомлення про 65 переривання з'єднання; закодованого відкритим кодом РК В другого комп'ютерного пристрою С2 коду з'єднання К, який має застосовуватись у наступному способі, причому код з'єднання К є переважно симетричним кодом з'єднання, що застосовується у межах з'єднання Р; третього геш-значення Пп (К, Р, САВ, ІВ, АКВ), яке генерується принаймні за допомогою коду з'єднання К, даних з'єднання Р, числового значення С дв, ідентифікатора Ів другого комп'ютерного пристрою С2, а також автентифікатора АКв другого комп'ютерного пристрою С2.
У наступному варіанті способу також передбачається, що код з'єднання К представляє собою асиметричну пару кодів.
Числове значення С дв між першим комп'ютерним пристроєм С1 та другим комп'ютерним пристроєм С2 7/0 Використовується для того, щоб розрізняти перший комп'ютерний пристрій С1 та другий комп'ютерний пристрій
С2 для різних прогонів протоколу для одного з'єднання Р. Внаслідок того, що відповідне числове значення С дв, що приймається, постійно має перевищувати останнє записане числове значення С дв, можна розпізнавати спроби злому шляхом повторного відтворення даних, що прослуховуються.
Перше повідомлення про обмін кодами ЗА1 верифікується другим комп'ютерним пристроєм С2 за допомогою /5 третього геш-значення АН (К, Р, Сдв, Ів, АКв), код з'єднання К декодується за допомогою секретного коду ЗК В другого комп'ютерного пристрою С2, і генерується друге повідомлення про обмін кодами 5А2, за допомогою якого підтверджується прийом та подальше застосування коду з'єднання К для з'єднання Р першого комп'ютерного пристрою С1.
Друге повідомлення про обмін кодами 5А2 складається, наприклад, з таких компонентів: даних про з'єднання Р; четвертого геш-значення П (Р, К, СА, ІА), що генерується принаймні за допомогою даних з'єднання Р, коду з'єднання К, першого числового значення СА, а також ідентифікатора ІА першого комп'ютерного пристрою С1.
Таким чином можна просто і надійно здійснювати обмін кодами з'єднання, потрібними для реалізації способу, між першим комп'ютерним пристроєм С1 та другим комп'ютерним пристроєм С2, причому немає потреби сч об повторювати фазу взаємної автентифікації і підбору алгоритму захисту від несанкціонованого доступу Зр.
Це можливо лише завдяки модульній структурі описаного вище способу, оскільки при модульній структурі і) можна відмовитись від окремих етапів або комбінувати їх між собою будь-яким чином.
Крім того, у наступному варіанті способу за винаходом передбачено також можливість забезпечення криптографічного захисту переривання з'єднання. Це можна здійснювати, наприклад, шляхом генерування у «- зо першому комп'ютерному пристрої С1 повідомлення про переривання з'єднання МАМ і його передачі на другий комп'ютерний пристрій С2. о
Повідомлення про переривання зв'язку МАМ включає у себе, наприклад, такі компоненти: Ге дані про з'єднання Р; дані для ідентифікації повідомлення про переривання з'єднання МАМ; і) числове значення Сдв; ю п'яте геш-значення Пп (Р, ОК, С дв, Ів, АКв), що може бути утворене, наприклад, за допомогою даних про з'єднання Р, даних ОК повідомлення про переривання з'єднання МАМ, числового значення САВ, ідентифікатора Ів другого комп'ютерного пристрою С2, а також автентифікатора АКв другого комп'ютерного пристрою С2. «
Повідомлення про переривання з'єднання МАМ верифікується другим комп'ютерним пристроєм С2, з'єднання з с переривається, і генерується, наприклад, повідомлення-підтвердження переривання з'єднання МАСКМ (сигнал підтвердження) у другому комп'ютерному пристрої С2, що передається на перший комп'ютерний пристрій С1. з Повідомлення-підтвердження переривання з'єднання МАСКМ (сигнал підтвердження) включає у себе, наприклад, такі компоненти: дані про з'єднання Р; с дані БА для ідентифікації повідомлення-підтвердження переривання з'єднання МАСКМ; шосте геш-значення Пп (Р, Юд, Сдв, Ід, АКА), що може бути утворене, наприклад, за допомогою даних про і з'єднання Р, даних ВА для ідентифікації повідомлення-підтвердження переривання з'єднання МАСКМ, числового
Ге» значення С дв, ідентифікатора Ід першого комп'ютерного пристрою С1, а також автентифікатор АКА першого 5р Комп'ютерного пристрою С1. 1 За допомогою даних ОК, БА для ідентифікації повідомлення про переривання з'єднання МАМ або як повідомлення-підтвердження переривання з'єднання МАСКМ можна запобігти іншому використанню геш-значень при наступному вдосконаленні цього описаного вище способу. Повідомлення про переривання з'єднання МАМ та/або повідомлення-підтвердження переривання з'єднання МАСКМ додатково включають у себе дані про в З'єднання Р, яке використовується.
Описані вище і представлені на фіг.1 фази А способу для автентифікації, процедури підбору ЗР пропозиції
Ф) алгоритму захисту, обміну кодів ЗА, а також переривання з'єднання можна виконувати у будь-яких комбінаціях. ка В іншому варіанті способу передбачено, що на етапі переривання з'єднання стираються не всі секретні дані, обмін якими відбувся, але спочатку стирається тільки відповідний код з'єднання К, обмін яким відбувся, а, бо наприклад, обраний алгоритм захисту від несанкціонованого доступу та/або автентифікатори АКА, АКв залишаються записаними у комп'ютерних пристроях С1, С2.
Далі, у наступному варіанті способу передбачено послідовне стирання розділених секретних даних, тобто після стирання коду з'єднання К спочатку стирається відповідний обраний алгоритм захисту від несанкціонованого доступу і лише після цього - автентифікатори АКА, АКв. 65 Спосіб може бути реалізований на етапі встановлення з'єднання або на етапі з'єднання між першим комп'ютерним пристроєм С1 та другим комп'ютерним пристроєм С2.
В іншому варіанті способу передбачена передача окремих повідомлень у форматі повідомлень, структура якого зображена на фіг.2.
У разі використання такого формату перед повідомленням, що підлягає передачі, розміщується поле
Заголовка КЕ.
Описаний далі формат повідомлень у жодному разі не обмежується описаним вище способом, навпаки, його можна застосовувати в усіх криптографічних протоколах.
Поле заголовка КЕ складається переважно з таких елементів: прапорця захисту (Зесигпіу-РІад) ЗЕ довжиною принаймні один біт; 70 даних про з'єднання Р; даних про фазу РТ фази А, 5Р, 5А, яких стосується відповідна інформація повідомлення; числового поля 7, за допомогою якого повідомлення однозначно ідентифікується у межах відповідної фази А,
ЗР, ЗА; даних 0, наприклад, адреси, якій підпорядкований комп'ютерний пристрій С1, С2, що приймає повідомлення, та/або даних про домени захисту 51, 52, яким підпорядкований відповідний комп'ютерний пристрій С1, С2.
Крім того, у полі заголовка КЕ в іншому варіанті способу, наприклад, на ділянці РТ, задаються відповідні фази А, 5Р, 5А, може бути розміщена принаймні одна інформація про алгоритми, що підлягають застосуванню у фазі А, 5Р, ЗА, наприклад КЗА, МО5, МО4, ОЕ5, еліптичні характеристики-алгоритми та/або параметри, що слід використовувати в алгоритмах.
Для цього достатніми є дані, розміщені у прапорці захисту ЗЕ, з першим логічним значенням для повідомлення, що підлягає криптографічній обробці, і другим логічним значенням для повідомлення, що не підлягає криптографічній обробці.
З цієї причини в іншому варіанті способу передбачено, що прапорець захисту ЗЕ має довжину, що дорівнює тільки точно одному біту. сч
Перевага числового поля 7 полягає у тому, що у фазі А, 5Р, 5А у принципі можна здійснювати обмін будь-якою кількістю повідомлень, і відповідне повідомлення у фазі А, ЗР, ЗА може бути однозначно (8) ідентифіковане за допомогою числового поля 7.
Перевага даних про фазу РТ фази А, ЗР, ЗА у полі заголовка КЕ полягає у дуже простій можливості розширення усього способу за рахунок введення нових фаз, причому у дані про фазу РТ потрібно ввести лише -(у др зо одне нове позначення. За допомогою даних про фазу РТ можна також просто замінювати та/або стирати вже введені фази. що)
Повідомлення розміщується у полі МІ. змінної довжини. Ге со
Claims (12)
1. Спосіб криптографічного обміну кодами між першим комп'ютерним пристроєм (С1) та другим комп'ютерним пристроєм (С2), згідно з яким - між першим комп'ютерним пристроєм (С1) та другим комп'ютерним пристроєм (С2) здійснюється « автентифікація; з с - між першим комп'ютерним пристроєм (С1) та другим комп'ютерним пристроєм (С2) відбувається підбір алгоритмів захисту від несанкціонованого доступу (ЗР), який відрізняється тим, що :з» - під час автентифікації між першим комп'ютерним пристроєм (С1) та другим комп'ютерним пристроєм (С2) відбувається обмін автентифікаторами (АК д, АКв), за допомогою яких забезпечується автентичність комп'ютерних пристроїв (С1, С2); сл - під час відбору алгоритму захисту від несанкціонованого доступу (ЗР) застосовується принаймні один з автентифікаторів (АКА, АКв).
о
2. Спосіб за п. 1, який відрізняється тим, що ФО - між першим комп'ютерним пристроєм (С1) та другим комп'ютерним пристроєм (С2) відбувається обмін кодами (5А), а також 1 - під час обміну кодами застосовується принаймні один з автентифікаторів (АКА, АКв). кч
3. Спосіб за п. 1 або 2, який відрізняється тим, що - перший комп'ютерний пристрій (С1) підпорядкований першому домену захисту (51); - другий комп'ютерний пристрій (С2) підпорядкований другому домену захисту (52); - інші комп'ютерні пристрої (Сі) першого домену захисту (51) або другого домену захисту (52) здійснюють (Ф) підбір іншого алгоритму захисту від несанкціонованого доступу (ЗРІ),а також ГІ - при підборі застосовуються автентифікатори (АКА, АКв).
4. Спосіб за одним з п. 1 або 2, який відрізняється тим, що во - перший комп'ютерний пристрій (С1) підпорядкований першому домену захисту (51); - другий комп'ютерний пристрій (С2) підпорядкований другому домену захисту (52); - інші комп'ютерні пристрої (Сі) першого домену захисту (81) або другого домену захисту (52) здійснюють інший обмін кодами (ЗАЇ), а також - при обміні кодами (5АЇї) застосовуються автентифікатори (АКА, АКв). 65 5. Спосіб за п. 1 або 2, який відрізняється тим, що - перший комп'ютерний пристрій (С1) підпорядкований першому домену захисту (51);
- другий комп'ютерний пристрій (С2) підпорядкований другому домену захисту (52); - інші комп'ютерні пристрої (Сі) першого домену захисту (51) або другого домену захисту (52) здійснюють підбір іншого алгоритму захисту від несанкціонованого доступу (РІ), - інші комп'ютерні пристрої (Сі) першого домену захисту (51) або другого домену захисту (52) здійснюють інший обмін кодами (5АЇ), - при підборі застосовують автентифікатори (АКА, АКв), -при обміні кодами (ЗАЇї) застосовують автентифікатори АКА, АКв).
6. Спосіб за одним з пп. 1 - 5, який відрізняється тим, що 70 в межах способу застосовуються геш-функції (й 0), що базуються на симетричних криптоалгоритмах.
7. Спосіб за одним з пп. 1-5, який відрізняється тим, що в межах способу застосовуються цифрові сигнатури (ЗІ ()).
8. Спосіб за одним з пп. 1 - 7, який відрізняється тим, що здійснюється інтенсивна автентифікація за способом Х.509.
9. Спосіб за одним з пп. 1-7, який відрізняється тим, що - для обміну кодами здійснюється автентифікація за способом Рійіе-Нейтап, а також - коди, обмін якими здійснювався за способом Оінйіе-НейПтап, застосовуються як автентифікатори (АКА, АКв).
10. Спосіб за одним з пп. 1 - 9, який відрізняється тим, що здійснюється фаза переривання з'єднання (Оізсоппесі), у межах якої стираються розділені секретні дані, 2о наприклад коди, обмін якими відбувся, або автентифікатори (АКА, АКв).
11. Спосіб за п. 10, який відрізняється тим, що стираються коди, обмін якими відбувся.
12. Спосіб за п. 11, який відрізняється тим, що послідовно стираються інші секретні дані. Офіційний бюлетень "Промислоава власність". Книга 1 "Винаходи, корисні моделі, топографії інтегральних сч об Мікросхем", 2003, М 2, 15.02.2003. Державний департамент інтелектуальної власності Міністерства освіти і науки України. і) «- ІС) (Се) со ІС в) -
с . и? 1 (95) (22) с 50 - Ф) іме) 60 б5
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE19622631 | 1996-06-05 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| UA53651C2 true UA53651C2 (uk) | 2003-02-17 |
Family
ID=7796260
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| UA98126427A UA53651C2 (uk) | 1996-06-05 | 1997-05-16 | Спосіб криптографічного обміну кодами між першим комп'ютерним пристроєм та другим комп'ютерним пристроєм |
Country Status (13)
| Country | Link |
|---|---|
| US (1) | US6401204B1 (uk) |
| EP (1) | EP0903026B1 (uk) |
| JP (1) | JP2000511382A (uk) |
| KR (1) | KR100363607B1 (uk) |
| CN (1) | CN1175615C (uk) |
| AT (1) | ATE198114T1 (uk) |
| BR (1) | BR9709534A (uk) |
| CA (1) | CA2257477C (uk) |
| DE (1) | DE59702763D1 (uk) |
| ES (1) | ES2153197T3 (uk) |
| RU (1) | RU2213367C2 (uk) |
| UA (1) | UA53651C2 (uk) |
| WO (1) | WO1997047109A1 (uk) |
Families Citing this family (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19850665A1 (de) * | 1998-11-03 | 2000-05-04 | Siemens Ag | Verfahren und Anordnung zur Authentifikation von einer ersten Instanz und einer zweiten Instanz |
| FR2788649A1 (fr) * | 1999-01-18 | 2000-07-21 | Schlumberger Systems & Service | Procede de chargement securise de donnees entre des modules de securite |
| FR2789536B1 (fr) * | 1999-02-08 | 2001-03-09 | Bull Sa | Dispositif et procede d'authentification d'un utilisateur a distance |
| GB9903123D0 (en) * | 1999-02-11 | 1999-04-07 | Nokia Telecommunications Oy | Method of securing communication |
| US6289450B1 (en) * | 1999-05-28 | 2001-09-11 | Authentica, Inc. | Information security architecture for encrypting documents for remote access while maintaining access control |
| US7024690B1 (en) * | 2000-04-28 | 2006-04-04 | 3Com Corporation | Protected mutual authentication over an unsecured wireless communication channel |
| KR100470915B1 (ko) * | 2001-12-28 | 2005-03-08 | 한국전자통신연구원 | Ip계층에서의 패킷 보안을 위한 인터넷 정보보호시스템의 제어 방법 |
| US20040006701A1 (en) * | 2002-04-13 | 2004-01-08 | Advanced Decisions Inc. | Method and apparatus for authentication of recorded audio |
| JP3801559B2 (ja) * | 2002-12-26 | 2006-07-26 | ソニー株式会社 | 通信装置および方法、記録媒体、並びにプログラム |
| US7631181B2 (en) * | 2003-09-22 | 2009-12-08 | Canon Kabushiki Kaisha | Communication apparatus and method, and program for applying security policy |
| EP1673898A1 (en) * | 2003-09-22 | 2006-06-28 | Impsys Digital Security AB | Data communication security arrangement and method |
| US7650509B1 (en) | 2004-01-28 | 2010-01-19 | Gordon & Howard Associates, Inc. | Encoding data in a password |
| US7814320B2 (en) * | 2005-07-19 | 2010-10-12 | Ntt Docomo, Inc. | Cryptographic authentication, and/or establishment of shared cryptographic keys, using a signing key encrypted with a non-one-time-pad encryption, including (but not limited to) techniques with improved security against malleability attacks |
| DE102006004237A1 (de) * | 2006-01-30 | 2007-08-16 | Siemens Ag | Verfahren und Vorrichtung zur Vereinbarung eines gemeinsamen Schlüssels zwischen einem ersten Kommunikationsgerät und einem zweiten Kommunikationsgerät |
| US20070194881A1 (en) | 2006-02-07 | 2007-08-23 | Schwarz Stanley G | Enforcing payment schedules |
| PT2011301E (pt) * | 2006-04-10 | 2011-09-23 | Trust Integration Services B V | Sistema e método para a transmissão segura de dados |
| US9026267B2 (en) | 2007-03-09 | 2015-05-05 | Gordon*Howard Associates, Inc. | Methods and systems of selectively enabling a vehicle by way of a portable wireless device |
| FR2916592B1 (fr) * | 2007-05-25 | 2017-04-14 | Groupe Des Ecoles De Telecommunications(Get)-Ecole Nat Superieure Des Telecommunications(Enst) | Procede de securisation d'echange d'information,dispositif, et produit programme d'ordinateur correspondant |
| EP2043015B1 (en) * | 2007-09-27 | 2014-04-23 | Sap Ag | Secure logical vector clocks |
| US8659404B2 (en) | 2008-12-12 | 2014-02-25 | Gordon Howard Associates, Inc. | Methods and systems related to establishing geo-fence boundaries and collecting data |
| US8686841B2 (en) | 2008-12-12 | 2014-04-01 | Gordon*Howard Associates, Inc. | Methods and systems related to activating geo-fence boundaries and collecting location data |
| US8581712B2 (en) | 2008-12-12 | 2013-11-12 | Gordon * Howard Associates, Inc . | Methods and systems related to establishing geo-fence boundaries |
| US8018329B2 (en) | 2008-12-12 | 2011-09-13 | Gordon * Howard Associates, Inc. | Automated geo-fence boundary configuration and activation |
| CN101662465B (zh) * | 2009-08-26 | 2013-03-27 | 深圳市腾讯计算机系统有限公司 | 一种动态口令验证的方法及装置 |
| EP2434428A1 (en) * | 2009-11-19 | 2012-03-28 | Hitachi, Ltd. | Computer system, management system and recording medium |
| US8581711B2 (en) | 2011-03-22 | 2013-11-12 | Gordon*Howard Associates, Inc. | Methods and systems of rule-based intoxicating substance testing associated with vehicles |
| US8781900B2 (en) | 2011-09-09 | 2014-07-15 | Gordon*Howard Associates, Inc. | Method and system of providing information to an occupant of a vehicle |
| US9665997B2 (en) | 2013-01-08 | 2017-05-30 | Gordon*Howard Associates, Inc. | Method and system for providing feedback based on driving behavior |
| US9840229B2 (en) | 2013-03-14 | 2017-12-12 | Gordon*Howard Associates, Inc. | Methods and systems related to a remote tamper detection |
| US8928471B2 (en) | 2013-03-14 | 2015-01-06 | Gordon*Howard Associates, Inc. | Methods and systems related to remote tamper detection |
| US9378480B2 (en) | 2013-03-14 | 2016-06-28 | Gordon*Howard Associates, Inc. | Methods and systems related to asset identification triggered geofencing |
| US9035756B2 (en) | 2013-03-14 | 2015-05-19 | Gordon*Howard Associates, Inc. | Methods and systems related to remote tamper detection |
| US9013333B2 (en) | 2013-06-24 | 2015-04-21 | Gordon*Howard Associates, Inc. | Methods and systems related to time triggered geofencing |
| US9701279B1 (en) | 2016-01-12 | 2017-07-11 | Gordon*Howard Associates, Inc. | On board monitoring device |
| CN107040367B (zh) * | 2016-02-04 | 2020-11-20 | 宁波巨博信息科技有限公司 | 会话密钥协商的方法、装置和系统 |
| US11075949B2 (en) * | 2017-02-02 | 2021-07-27 | Nicira, Inc. | Systems and methods for allocating SPI values |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1988001120A1 (en) * | 1986-07-31 | 1988-02-11 | Kabushiki Kaisya Advance | System for generating a shared cryptographic key and a communication system using the shared cryptographic key |
| DE3915262A1 (de) | 1988-05-18 | 1989-11-30 | Asea Brown Boveri | Verfahren zur erzeugung von authentifizierten geheimschluesseln |
| CA2011396C (en) * | 1989-03-03 | 1995-01-03 | Kazue Tanaka | Cipher-key distribution system |
| US5003593A (en) * | 1989-06-05 | 1991-03-26 | Motorola, Inc. | Teleconferencing method for a secure key management system |
| US5224163A (en) * | 1990-09-28 | 1993-06-29 | Digital Equipment Corporation | Method for delegating authorization from one entity to another through the use of session encryption keys |
| US5341426A (en) | 1992-12-15 | 1994-08-23 | Motorola, Inc. | Cryptographic key management apparatus and method |
| US5491750A (en) * | 1993-12-30 | 1996-02-13 | International Business Machines Corporation | Method and apparatus for three-party entity authentication and key distribution using message authentication codes |
| DE19514084C1 (de) * | 1995-04-13 | 1996-07-11 | Siemens Ag | Verfahren zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer Benutzercomputereinheit U und einer Netzcomputereinheit N |
| US6081508A (en) * | 1998-02-25 | 2000-06-27 | Indus River Networks, Inc. | Remote computer communication |
| US6182226B1 (en) * | 1998-03-18 | 2001-01-30 | Secure Computing Corporation | System and method for controlling interactions between networks |
| US6182142B1 (en) * | 1998-07-10 | 2001-01-30 | Encommerce, Inc. | Distributed access management of information resources |
-
1997
- 1997-05-16 WO PCT/DE1997/001002 patent/WO1997047109A1/de active IP Right Grant
- 1997-05-16 BR BR9709534-6A patent/BR9709534A/pt not_active IP Right Cessation
- 1997-05-16 JP JP10500076A patent/JP2000511382A/ja active Pending
- 1997-05-16 CA CA002257477A patent/CA2257477C/en not_active Expired - Fee Related
- 1997-05-16 EP EP97924894A patent/EP0903026B1/de not_active Expired - Lifetime
- 1997-05-16 AT AT97924894T patent/ATE198114T1/de active
- 1997-05-16 US US09/194,678 patent/US6401204B1/en not_active Expired - Lifetime
- 1997-05-16 KR KR10-1998-0709952A patent/KR100363607B1/ko not_active IP Right Cessation
- 1997-05-16 UA UA98126427A patent/UA53651C2/uk unknown
- 1997-05-16 ES ES97924894T patent/ES2153197T3/es not_active Expired - Lifetime
- 1997-05-16 DE DE59702763T patent/DE59702763D1/de not_active Expired - Lifetime
- 1997-05-16 CN CNB971970882A patent/CN1175615C/zh not_active Expired - Lifetime
- 1997-05-16 RU RU99100287/09A patent/RU2213367C2/ru active
Also Published As
| Publication number | Publication date |
|---|---|
| WO1997047109A1 (de) | 1997-12-11 |
| ATE198114T1 (de) | 2000-12-15 |
| DE59702763D1 (de) | 2001-01-18 |
| JP2000511382A (ja) | 2000-08-29 |
| EP0903026A1 (de) | 1999-03-24 |
| KR100363607B1 (ko) | 2003-01-24 |
| CN1227686A (zh) | 1999-09-01 |
| CA2257477A1 (en) | 1997-12-11 |
| KR20000016378A (ko) | 2000-03-25 |
| US6401204B1 (en) | 2002-06-04 |
| CA2257477C (en) | 2006-10-03 |
| EP0903026B1 (de) | 2000-12-13 |
| BR9709534A (pt) | 2000-05-09 |
| RU2213367C2 (ru) | 2003-09-27 |
| ES2153197T3 (es) | 2001-02-16 |
| CN1175615C (zh) | 2004-11-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| UA53651C2 (uk) | Спосіб криптографічного обміну кодами між першим комп'ютерним пристроєм та другим комп'ютерним пристроєм | |
| Merkle | Protocols for public key cryptosystems | |
| EP0711480B1 (en) | Method and system for authenticated secure key distribution in a communication system | |
| US4850017A (en) | Controlled use of cryptographic keys via generating station established control values | |
| EP0460538B1 (en) | Cryptographic communication method and cryptographic communication device | |
| Clark et al. | A survey of authentication protocol literature: Version 1.0 | |
| US8639932B2 (en) | Quantum key distribution | |
| JP3140482B2 (ja) | 情報を暗号化/復号化する方法と装置 | |
| US6215878B1 (en) | Group key distribution | |
| US6058188A (en) | Method and apparatus for interoperable validation of key recovery information in a cryptographic system | |
| CN108768652B (zh) | 一种可抗量子攻击的联盟区块链底层加密方法 | |
| EP1992101A2 (en) | Secure data transmission using undiscoverable or black data | |
| US5475763A (en) | Method of deriving a per-message signature for a DSS or El Gamal encryption system | |
| KR20000022249A (ko) | 원격 노드로부터의 디지털 서명 계약서 | |
| CA2200592A1 (en) | Secret-key certificates | |
| KR20060065863A (ko) | Epon 구간내에서의 링크 보안을 위한 인증 방법 | |
| CN115345618B (zh) | 基于混合后量子数字签名的区块链交易验证方法及系统 | |
| US20210359847A1 (en) | Exchanging Cryptographic Key Information | |
| KR20070043639A (ko) | 제2 장치에 신뢰 및 식별을 승인하기 위해 보안 장치를레버리지하는 방법 | |
| CN100461780C (zh) | 一种基于媒体网关控制协议的安全认证方法 | |
| CN107317787A (zh) | 服务授信方法、设备及系统 | |
| CN115941354A (zh) | 基于区块链的跨链交互身份认证方法、装置及计算机可读介质 | |
| NL1043779B1 (en) | Method for electronic signing and authenticaton strongly linked to the authenticator factors possession and knowledge | |
| JP3634279B2 (ja) | 複数icカード間及び同一icカード内のアプリケーション連携方法 | |
| EP3185504A1 (en) | Security management system for securing a communication between a remote server and an electronic device |