CN101156346A - 受上下文限制的共享密钥 - Google Patents
受上下文限制的共享密钥 Download PDFInfo
- Publication number
- CN101156346A CN101156346A CNA2006800115422A CN200680011542A CN101156346A CN 101156346 A CN101156346 A CN 101156346A CN A2006800115422 A CNA2006800115422 A CN A2006800115422A CN 200680011542 A CN200680011542 A CN 200680011542A CN 101156346 A CN101156346 A CN 101156346A
- Authority
- CN
- China
- Prior art keywords
- information
- contextual information
- key
- equipment
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Communication Control (AREA)
Abstract
在其中两个通信实体想要进行秘密或机密通信对话的通信系统中,需要首先建立信任关系。信任关系是基于对共享密钥的确定,而共享密钥又是根据上下文信息产生的。所述上下文信息可自通信对话周围的环境中导出。例如,上下文信息可包括拓扑信息、基于时间的信息和事务信息。共享密钥可以是自身产生的或自第三方接收的。在任一情形中,可将共享密钥用作在通信实体之间所使用的任一加密协议的关键资料。
Description
根据35U.S.C.§119主张优先权
本专利申请案主张优先于2005年2月11日提出申请且名称为“受上下文限制的密钥(Context Limited Secret Key)”的第60/652,063号美国临时申请案,所述美国临时申请案受让于本发明的受让人,且以引用方式明确地并入本文中。
技术领域
本发明大体而言涉及通信,且更具体而言,涉及使用根据受上下文限制的信息所产生的共享密钥进行安全和秘密通信。
背景技术
共享密钥的使用对于想要安全或秘密的通信而言很常见。在典型的共享密钥方案中,是共享仅为通信实体已知的共用密钥,其中各通信实体依赖所述密钥来建立信任关系。不具有共享密钥的一方被排除在信任关系之外。
共享密钥可以是永久的或临时的。临时的共享密钥可用于在有限时期内保护通信。举例而言,临时的共享密钥可仅适用于一次性事务。
为提供额外的安全级别,通常自永久密钥导出临时密钥。在这种安排中,临时密钥被用作建立信任关系的基础。例如,想要与对应方建立信任关系的一方可使用临时密钥,所述临时密钥作为与对应方进行加密通信的关键资料而与对应方共享。
对于有时称作主密钥的永久密钥而言,其极少被无限制地共享。例如,在移动通信设定中,仅在用户单元和用户的本地运营商之间共享主密钥。当用户单元经由安全通信自第三方请求服务时,所述用户单元根据主密钥产生临时密钥。同时,用户单元也发送请求至本地运营商,本地运营商又根据共享的主密钥产生相同的临时密钥。同样,所述临时密钥形成用户与第三方之间的信任关系的基础。例如,除了别的以外,用户单元和本地运营商二者还可根据所述临时密钥而产生随后可供服务提供者使用的加密密钥。其后,可交换用户单元与服务提供者之间的加密通信。
从主密钥导出临时密钥的基本原理是降低暴露主密钥的可能性。可基于用户单元和本地运营商之间的某些预先安排的演算法而从主密钥导出临时密钥。
上述安全模型基于下述假设:任一可能已访问任何所导出密钥的第三方将愿意保护所导出密钥的机密性。例如,如果第三方将所导出密钥暴露给再一方,则自第三方购买服务的信任度将被严重损害。因此,作为持久性商务实体,第三方将受到不利影响,更不必说暴露密钥的法律后果。
然而,可能存在某些对于将共享密钥保密既没有经济动机也没有伦理考虑的参与方。例如,如果所导出密钥被传送至自称为用户的欺诈方,则欺诈方可能使用所导出密钥假扮合法用户,并能够访问其本来不能访问的服务。更复杂的是,从所述非法访问中可能进一步暴露其他敏感信息。如果欺诈方将其自身设定为服务提供者,则会导致同样或更严重的后果。
因此,需要提供一种更安全的通信方案以避免暴露和误用所导出密钥。
发明内容
在其中两个通信实体想要进行秘密或机密通信对话的通信系统中,需要首先建立信任关系。信任关系是基于对共享密钥的确定,而共享密钥是根据主密钥和所选的上下文信息而产生。上下文信息可根据所述通信对话周围的环境导出。共享密钥可由每一通信实体自身产生。或者,在其中所述实体并无足够信息以直接导出共享密钥的情形中,可自第三方导出共享密钥。所述共享密钥可用作加密协议的关键资料,用于验证和建立各通信实体之间的安全通信。
在一实例性实施例中,作为一个通信实体的用户单元从作为另一通信实体的服务提供者处寻求服务。用户单元基于预存储的主密钥和预定的上下文信息而独立地产生共享密钥,上下文信息可包括(但不限于)拓扑信息、基于时间的信息和事务信息。不具有主密钥的服务提供者自再一方获得共享密钥。随后,服务提供者和用户单元使用其对共享密钥的共有知识建立信任关系。在这一实例中,所述另一实体是用户单元的本地运营商。在将共享密钥发送至服务提供者之前,本地运营商以与用户单元大致相同的方式产生共享密钥。将共享密钥从本地运营商发送至服务提供者也可以经由预先商定的保护机制来保护。
因此,通过以上述方式操作,所产生的共享密钥不太可能被非法复制和误用。
结合附图阅读下文详细说明,所属技术领域的技术人员将易于了解这些和其他特征及优点,其中相同的参考符号表示相同的部件。
附图说明
图1是显示本发明的一般实施例的简化示意图;
图2A是根据一实施例的流程图,其显示通信实体在为进行通信对话而首先想要建立信任关系时所涉及的步骤;
图2B是根据图2A所示实施例的流程图,其显示中间实体促进建立所述信任关系所涉及的步骤;
图3A是根据另一实施例的流程图,其显示通信实体在为进行通信对话而首先想要建立信任关系时所涉及的步骤;
图3B是根据图3A所示实施例的流程图,其显示中间实体促进建立所述信任关系所涉及的步骤;及
图4是显示用于实施本发明实施例的硬件实施方案的一部分的示意图。
具体实施方式
提供下述说明旨在使所属技术领域的技术人员均能够制作及利用本发明。出于解释的目的,在下文说明中列举若干细节。应了解,所属技术领域的技术人员将认识到,不使用这些具体细节也可以实施本发明。在其他实例中,为避免因不必要的细节而淡化本发明的说明,未详细阐述熟知的结构和过程。因此,本发明并不打算受限于所示实施例,而是欲赋予其与本文所揭示原理及特征相一致的最宽广范畴。
图1显示本发明的一般实施例的简化示意图。通信系统总体上由参考数字30表示,且可以是载送语音、数据、多媒体或其组合的系统。此外,系统30可按各种标准和协议操作,其实例包括cdma2000(码分多工存取2000)、GSM(全球移动通信系统)、WCDMA(宽频码分多址存取)和IP(因特网协议)。
出于清晰和简练说明的目的,图1中仅显示3个实体,也就是第一通信实体31、第二通信实体33和第三通信实体35。在这一实例性实施例中,第一实体31是通信装置32。第二实体33是本地运营商34。第三实施例35是服务提供者36。
在这一实例中,假设通信装置32是本地运营商34的用户。通信装置32可以是有线装置,例如,装置32可以是连线至与本地运营商34处于相同网络的操作站。另一选择为,通信装置32可以是无线装置。例如,装置32可以是移动电话、移动计算机或个人数字助理(PDA)。因此,通信装置32可以与本地运营商34位于相同的网络中。另外,通信装置32也可以定位于本地运营商34所处的网络之外。例如,通信装置32可以自本地运营商34所处的网络漫游至其他网络,且可与其他网络中的其他实体通信。
现在返回参看图1。在这一实例中,假设通信装置32向服务提供者36请求服务。当通信装置32位于本地运营商34的网络中时,所请求的服务可以是向本地运营商34正常请求的服务。作为另一实例,所请求的服务也可以是仅由服务提供者36而非本地运营商34提供的服务。服务提供者36可以在本地运营商34的网络内部或外部。
出于安全和秘密的原因,通信装置32可能首先想要确保服务提供者36经授权以提供这种服务。同样地,服务提供者36本身也可能(例如)出于收费的目的而需要了解通信装置32是合法的。换句话说,在任何通信之前,需要首先在通信装置32和服务提供者36之间建立信任关系。
根据这一实施例,通信装置32和本地运营商34共享由图1中的参考数字38象征性地标识的主密钥。
为开始所述过程,通信装置32首先将服务请求发送至服务提供者36(以通信路径40表示)。其后,遵循建立信任关系的过程。
对于通信装置32而言,其首先通过伪随机函数(PRF)产生共享密钥K。除了别的以外,PRF的输入还可包括主密钥38和上下文信息。
PRF的实例可以是基于散列的消息验证代码(HMAC)、安全散列演算法1(SHA-1)或其组合。HMAC和SHA-1二者均可以在由因特网工程任务组(IETF)发布的征求评论(RFC)中找到。具体而言,HMAC列举于1997年2月的RFC 2104中,其名称为“HMAC:用于消息验证的密钥散列(HMAC:Keyed-Hashing for MessageAuthentication)”。SHA-1演算法界定于2001年9月的RFC 3174中,其名称为“美国安全散列演算法1(U.S.Secure Hash Algorithm 1)”。
根据本发明的这一实施例,可自通信对话周围的环境中导出上下文信息。
上下文信息可以是基于拓扑的。例如,在根据IP操作时,拓扑信息可包括图1所示各实体31、33和35的源地址和目的地址。另外,前述地址可另外包括为获得额外安全等级而指定地址块的网络掩码。对于根据传输控制协议(TCP)和用户数据报协议(UDP)的通信而言,也可以包括源端口和目的端口。
上下文信息也可以和时间相关。换句话说,通信对话的环境周围的某些时间参数可以用于上下文信息。例如,上下文信息可以包括特定通信对话(例如,通信装置32发送至服务提供者36的服务请求40的对话)的开始时间、结束时间、持续时间。
上下文信息也可以是针对具体事务的。在各种通信系统中,通常以一标识符唯一地标识每一通信对话,一般将所述标识符称作现时或事务标识符。也可以使用及包含这种标识信息作为上下文信息。
如先前提及,为产生共享密钥K,对PRF的输入可包括主密钥和上下文信息。其以算术方式可表达如下:
K=PRF(主密钥,上下文信息) (A)
其中主密钥是(例如)前述密钥38,且上下文信息可进一步表达如下:
上下文信息=∪(服务器地址,服务器端口,
开始时间,结束时间,随机现时) (B)
其中∪将一组参数标示为包含于方程式(B)的括号内。在这一特定实例中,服务器地址是服务提供者36的网络地址,服务器端口是服务提供者36的端口编号,开始时间是通信装置32将服务请求40发送至服务提供者36的时间的起点,结束时间是前述服务请求结束时的终点时间。
就服务提供者36而言,在从通信装置32接收到服务请求时,如图1所示通信路径42所标识,服务提供者36通知本地运营商34进行验证。同时,如通信路径44所标识,通信装置32出于自身主动、或根据来自本地运营商34的请求而将上下文信息发送至本地运营商34。借助上下文信息和预存储的主密钥38,本地运营商34又根据方程式(A)和(B)、以与先前所述由通信装置32产生共享密钥K的相同方式产生共享密钥K。
共享密钥K为服务提供者36和通信装置32之间的后续安全通信提供支持基础。
例如,对于安全和秘密通信而言,可稍后在服务提供者36和通信装置32之间使用各种加密协议。每一加密协议可要求一加密密钥Ke以对安全通信数据加密。所述加密密钥Ke可根据共享密钥K产生。
作为另一实例,如果可行,可使用共享密钥K产生在服务提供者36和通信装置32之间交换的询问数据。询问数据可包括询问消息和所期望回应。所期望回应可仅根据所述询问消息及使用关于共享密钥K的所知信息而产生。例如,参看图1,如果服务提供者36已自本地运营商34接收到共享密钥K,则服务提供者36可通过将询问消息发送至通信装置32来询问通信装置32的可靠性。通信装置32具有共享密钥K。通信装置32可随后基于共享密钥K产生所期望消息,并将所期望消息发送至服务提供者36进行验证。随后,服务提供者36可基于先前自本地运营商34接收的共享密钥K,通过比较从通信装置32接收的所期望消息和其自身产生的期望消息来确定通信装置32的可靠性。
现在继续参看图1。如通信路径46所标识,回应于验证请求32且根据随后要使用的加密协议,本地运营商33将验证数据(其在这一实例中包括共享密钥K)发送至服务提供者36。经由通信路径46传输验证数据可由预先安排的安全机制来保护。
一旦通信装置32和服务提供者36拥有共享密钥K,则其可使用密钥K作为建立加密安全通信的关键资料。通信装置32和服务提供者36之间的加密通信的通信路径由图1所示的参考数字48标示。
上述过程概述于图2A及图2B所示的流程中。图2A显示由通信装置32执行的过程步骤。图2B显示由本地运营商34执行的对应过程步骤。
通过以上述方式进行操作,如果共享密钥K被不正确地泄露至未授权方,则由于必须复制最初为之产生共享密钥K的确切上下文信息才能成功,因而会大大降低未授权方未经授权地使用密钥K冒充合法密钥持有者的可能性。
另一选择为,除了使通信装置32将上下文信息发送至本地运营商38之外,也可相反地进行。也就是说,在接收到来自服务提供者36的验证请求时,本地运营商38可将上下文信息发送至通信装置32。举例而言,方程式(B)中的预定参数开始时间和结束时间可分别设定于图1所示验证请求42的开始和结束时间处。随后,通信装置32可使用所接收的上下文信息产生共享密钥K。再次,共享密钥K可再次用作适用于任一要用于通信装置32和服务提供者36之间的加密通信的加密协议的关键资料。所述过程与上述过程大致类似,且概述于图3A及3B所示流程图中。图3A显示由通信装置32执行的过程步骤。图3B显示由本地运营商34执行的对应过程步骤。
图4示意性地显示根据本发明的实例性实施例由参考数字60表示的设备(例如,图1所示通信实体31和33)的硬件实施方案的一部分。设备60可以各种形式建立和合并,例如固定式计算机、网络硬件的一部分、膝上型计算机、PDA或蜂窝式电话(文中仅列举少量)。
设备60包括将数个电路链接在一起的中央数据总线62。所述电路包括CPU(中央处理单元)或控制器64、接收电路66、发射电路68和存储器电路70。
如果设备60是无线装置的一部分,则接收电路66和发射电路68可连接至RF(射频)电路,但未显示于图式中。接收电路66在将所接收信号发送出至数据总线62之前对其进行处理和缓冲。另一方面,发射电路68在将来自数据总线62的数据发送出装置60之前对其进行处理和缓冲。CPU/控制器64执行数据总线62的数据管理功能,并进一步执行一般数据处理功能,包括执行存储器单元70的指令内容。
或者,发射电路68和接收电路66可以是CPU/控制器64的一部分,而非如图4中所示单独放置。
存储器单元70包括一组总体上由参考数字72表示的指令。在这一实施例中,除了别的以外,相依于设备60所起的作用,所述指令还包括图2A、2B、3A和3B所示流程图所显示及阐述的过程步骤,所述步骤笼统地由参考数字74指定为图4所示“共享密钥产生及处理功能”。函数74中可包含前述PRF。
存储器单元70中还包含用于实施任何所选加密协议的加密通信功能76。此外,除了别的以外,同一存储器单元70中还存储有主密钥38。例如,在设备60的加电期间,可将函数74、76和主密钥38从一不同的存储器单元(未显示)传递至存储器单元70。
在这一实施例中,存储器单元70是RAM(随机访问存储器)电路。实例性指令部分72是软件例程或模块。如上文提及,存储器单元70可连接至另一易失性或非易失性类型的存储器电路(未显示)。或者,存储器单元70可由其他电路类型制成,例如EEPROM(电可擦除可编程只读存储器)、EPROM(电可编程只读存储器)、ROM(只读存储器)、ASIC(应用专用集成电路)、磁盘、光盘和所属技术领域中熟知的其他电路。
进一步应了解,上文中图2A、2B、3A和3B所阐述及显示的过程也可以编码为承载于所属技术领域中熟知的任何计算机可读媒体上的计算机可读指令。在本说明书及随附权利要求书中,术语“计算机可读媒体”是指任何参与将指令提供至任一处理器(例如,图4所示及所述CPU/控制器64)以供用于执行的媒体。这种媒体可以是任一存储器类型,且可以采取先前阐述(例如,在图4所示存储器单元70的说明中所述)的易失性或非易失性存储媒体的形式。这种媒体也可以是传输型的,且可包括同轴电缆、铜导线、光纤和携载能够携载机器或计算机可读信号的声波或电磁波的无线接口。
最后,如所述实施例中阐述,第一、第二和第三通信实体31、33和35分别被阐述为通信装置32、本地运营商34和服务提供者36。本发明中可存在不同安排。例如,第一实体31除装置外还可呈现不同形式,例如路由器、网络或运营商的一部分。同样地,第二和第三实体33和35也可以呈现与先前所提及不同的形式。在所述实例性实施例中,共享密钥被阐述为根据主密钥以及上下文信息而产生。可想象共享密钥也可以使用不同于上述方程式(A)中所列的其他信息而产生。例如,诸如来自全球定位系统(GPS)的坐标或通信实体的电子标识等非上下文信息当然可充当方程式(A)的额外输入。对于可包括不同于所述的其他上下文信息的方程式(B)而言,同样如此。另一方面,并非必需包含在实例性实施例中所阐述的所有上下文信息才能产生共享密钥。可仅使用部分或所选信息。例如,可并非如上文所述使用各种拓扑、时间相关和事务信息来产生所述共享密钥,而是可仅将所选的拓扑信息输入至PRF以得出共享密钥。此外,在实例性实施例中,通信装置32和本地运营商34被阐述为收集所述上下文信息的实体。使服务提供者36执行上下文信息收集职能并将所收集信息直接或间接地发送至其他方也是确实可行的。此外,结合所述实施例阐述的任何逻辑块、电路和算法步骤均可实施于硬件、软件、固件或其组合中。所属技术领域中的技术人员将了解,可在不背离本发明的精神及范畴的情况下对其中在形式和细节上作出这些和其他改变。
Claims (40)
1.一种用于建立与通信实体的信任关系的方法,其包括:
提供主密钥;
基于预定的上下文信息和所述主密钥产生共享密钥;及
基于所述共享密钥建立所述信任关系。
2.如权利要求1所述的方法,其进一步包括在所述上下文信息中提供拓扑信息。
3.如权利要求1所述的方法,其进一步包括在所述上下文信息中提供基于时间的信息。
4.如权利要求1所述的方法,其进一步包括在所述上下文信息中提供事务信息。
5.如权利要求1所述的方法,其进一步包括自另一通信实体接收所述上下文信息。
6.如权利要求1所述的方法,其进一步包括使用所述共享密钥作为关键资料来以加密方式与所述通信实体通信。
7.一种用于调解至少两个通信实体的信任关系的方法,其包括:
提供主密钥;
基于预定的上下文信息和所述主密钥产生共享密钥;及
基于所述共享密钥将验证信息提供至所述通信实体中的一者。
8.如权利要求7所述的方法,其进一步包括在所述上下文信息中提供拓扑信息。
9.如权利要求7所述的方法,其进一步包括在所述上下文信息中提供基于时间的信息。
10.如权利要求7所述的方法,其进一步包括在所述上下文信息中提供事务信息。
11.如权利要求7所述的方法,其进一步包括从所述通信实体中的另一者接收所述上下文信息。
12.如权利要求7所述的方法,其进一步包括将所述验证信息中的所述共享密钥提供至所述通信实体中的一者。
13.一种用于与通信实体建立信任关系的设备,其包括:
用于提供主密钥的装置;
用于基于预定的上下文信息和所述主密钥产生共享密钥的装置;及
用于基于所述共享密钥建立所述信任关系的装置。
14.如权利要求13所述的设备,其进一步包括用于在所述上下文信息中提供拓扑信息的装置。
15.如权利要求13所述的设备,其进一步包括用于在所述上下文信息中提供基于时间的信息的装置。
16.如权利要求13所述的设备,其进一步包括用于在所述上下文信息中提供事务信息的装置。
17.如权利要求13所述的设备,其进一步包括用于从另一通信实体接收所述上下文信息的装置。
18.如权利要求13所述的设备,其进一步包括用于使用所述共享密钥作为关键资料而以加密方式与所述通信实体通信的装置。
19.一种用于调解与至少两个通信实体的信任关系的设备,其包括:
用于提供主密钥的装置;
用于基于预定的上下文信息和所述主密钥产生共享密钥的装置;及
用于基于所述共享密钥将验证信息提供至所述通信实体中的一者的装置。
20.如权利要求19所述的设备,其进一步包括用于在所述上下文信息中提供拓扑信息的装置。
21.如权利要求19所述的设备,其进一步包括用于在所述上下文信息中提供基于时间的信息的装置。
22.如权利要求19所述的方法,其进一步包括用于在所述上下文信息中提供事务信息的装置。
23.如权利要求19所述的设备,其进一步包括用于从所述通信实体中的另一者接收所述上下文信息的装置。
24.如权利要求19所述的设备,其进一步包括用于将所述验证信息中的所述共享密钥提供至所述通信实体中的一者的装置。
25.一种用于建立与通信实体的信任关系的设备,其包括:
存储器单元,其包括用于下列步骤的计算机可读指令:提供主密钥,基于预定的上下文信息和所述主密钥产生共享密钥,及基于所述共享密钥建立所述信任关系;及
处理器电路,其耦合至所述存储器单元以处理所述计算机可读指令。
26.如权利要求25所述的设备,其中所述存储器单元进一步包括用于在所述上下文信息中提供拓扑信息的计算机可读指令。
27.如权利要求25所述的设备,其中所述存储器单元进一步包括用于在所述上下文信息中提供基于时间的信息的计算机可读指令。
28.如权利要求25所述的设备,其中所述存储器单元进一步包括用于在所述上下文信息中提供事务信息的计算机可读指令。
29.如权利要求25所述的设备,其中所述存储器单元进一步包括用于从另一通信实体接收所述上下文信息的计算机可读指令。
30.如权利要求25所述的设备,其中所述存储器单元进一步包括用于使用所述共享密钥与所述通信实体进行加密通信的计算机可读指令。
31.一种用于调解与至少两个通信实体的信任关系的设备方法,其包括:
存储器单元,其包括用于下列步骤的计算机可读指令:提供主密钥,基于预定的上下文信息和所述主密钥产生共享密钥,及基于所述共享密钥将验证信息提供至所述通信实体中的一者;及
处理器电路,其耦合至所述存储器单元以处理所述计算机可读指令。
32.如权利要求31所述的设备,其中所述存储器单元进一步包括用于在所述上下文信息中提供拓扑信息的计算机可读指令。
33.如权利要求31所述的设备,其中所述存储器单元进一步包括用于在所述上下文信息中提供基于时间的信息的计算机可读指令。
34.如权利要求31所述的设备,其中所述存储器单元进一步包括用于在所述上下文信息中提供事务信息的计算机可读指令。
35.如权利要求31所述的设备,其中所述存储器单元进一步包括用于从所述通信实体中的另一者接收所述上下文信息的计算机可读指令。
36.如权利要求31所述的设备,其中所述存储器单元进一步包括用于将所述验证信息中的所述共享密钥提供至所述通信实体中的一者的计算机可读指令。
37.一种计算机可读媒体,其包括用于下列步骤的计算机可读指令:
提供主密钥;
基于预定的上下文信息和所述主密钥产生共享密钥;及
基于所述共享密钥建立所述信任关系。
38.如权利要求38所述的计算机可读媒体,其中所述上下文信息包括在由下列组成的群组中选出的信息:拓扑信息、基于时间的信息和事务信息。
39.一种计算机可读媒体,其包括用于下列步骤的计算机可读指令:
提供主密钥;
基于预定的上下文信息和所述主密钥产生共享密钥;及
基于所述共享密钥将验证信息提供至所述通信实体中的一者。
40.如权利要求39所述的计算机可读媒体,其中所述上下文信息包括在由下列组成的群组中选出的信息:拓扑信息、基于时间的信息和事务信息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US65206305P | 2005-02-11 | 2005-02-11 | |
| US60/652,063 | 2005-02-11 | ||
| PCT/US2006/004901 WO2006086721A2 (en) | 2005-02-11 | 2006-02-10 | Context limited shared secret |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101156346A true CN101156346A (zh) | 2008-04-02 |
| CN101156346B CN101156346B (zh) | 2012-04-18 |
Family
ID=36658733
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800115422A Active CN101156346B (zh) | 2005-02-11 | 2006-02-10 | 受上下文限制的共享密钥 |
Country Status (14)
| Country | Link |
|---|---|
| US (1) | US8726019B2 (zh) |
| EP (1) | EP1847063A2 (zh) |
| JP (4) | JP2008530917A (zh) |
| KR (1) | KR100961087B1 (zh) |
| CN (1) | CN101156346B (zh) |
| AU (1) | AU2006213650A1 (zh) |
| BR (1) | BRPI0608201A2 (zh) |
| CA (1) | CA2597763A1 (zh) |
| IL (1) | IL185212A0 (zh) |
| MX (1) | MX2007009790A (zh) |
| NO (1) | NO20074571L (zh) |
| RU (1) | RU2392754C2 (zh) |
| TW (1) | TW200701722A (zh) |
| WO (1) | WO2006086721A2 (zh) |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8156536B2 (en) * | 2006-12-01 | 2012-04-10 | Cisco Technology, Inc. | Establishing secure communication sessions in a communication network |
| US8170957B2 (en) * | 2007-08-08 | 2012-05-01 | Sinart Points Technology, Inc. | System and method for managing digital interactions |
| US8788804B2 (en) * | 2008-05-15 | 2014-07-22 | Qualcomm Incorporated | Context aware security |
| DE102008055148A1 (de) * | 2008-12-23 | 2010-07-01 | Endress + Hauser Infoserve Gmbh + Co. Kg | Verfahren und Computerprogramm zum Steuern eines technischen Systems über verschlüsselte Informationen |
| US9965756B2 (en) | 2013-02-26 | 2018-05-08 | Digimarc Corporation | Methods and arrangements for smartphone payments |
| US9787725B2 (en) | 2011-01-21 | 2017-10-10 | Qualcomm Incorporated | User input back channel for wireless displays |
| US10135900B2 (en) | 2011-01-21 | 2018-11-20 | Qualcomm Incorporated | User input back channel for wireless displays |
| US9582239B2 (en) | 2011-01-21 | 2017-02-28 | Qualcomm Incorporated | User input back channel for wireless displays |
| US9413803B2 (en) | 2011-01-21 | 2016-08-09 | Qualcomm Incorporated | User input back channel for wireless displays |
| KR101630505B1 (ko) | 2011-05-27 | 2016-06-14 | 노키아 테크놀로지스 오와이 | 소셜 네트워크를 통해 접속 설정을 공유하는 방법 및 장치 |
| US9224000B1 (en) * | 2011-06-14 | 2015-12-29 | Ionic Security, Inc. | Systems and methods for providing information security using context-based keys |
| US8868039B2 (en) | 2011-10-12 | 2014-10-21 | Digimarc Corporation | Context-related arrangements |
| US9311640B2 (en) | 2014-02-11 | 2016-04-12 | Digimarc Corporation | Methods and arrangements for smartphone payments and transactions |
| US9830588B2 (en) | 2013-02-26 | 2017-11-28 | Digimarc Corporation | Methods and arrangements for smartphone payments |
| US10841289B2 (en) | 2013-03-18 | 2020-11-17 | Digimarc Corporation | Mobile devices as security tokens |
| US9419977B2 (en) * | 2014-01-24 | 2016-08-16 | Verizon Patent And Licensing Inc. | Method and apparatus for providing value-based resource management and admission control |
| US9614670B1 (en) | 2015-02-05 | 2017-04-04 | Ionic Security Inc. | Systems and methods for encryption and provision of information security using platform services |
| RU2693920C1 (ru) * | 2015-10-30 | 2019-07-05 | Телефонактиеболагет Лм Эрикссон (Пабл) | Установление секрета, совместно используемого между первым устройством связи и по меньшей мере одним вторым устройством связи |
| US10740474B1 (en) | 2015-12-28 | 2020-08-11 | Ionic Security Inc. | Systems and methods for generation of secure indexes for cryptographically-secure queries |
| US10503730B1 (en) | 2015-12-28 | 2019-12-10 | Ionic Security Inc. | Systems and methods for cryptographically-secure queries using filters generated by multiple parties |
| EP3433972B1 (en) * | 2016-03-23 | 2020-07-22 | Telefonaktiebolaget LM Ericsson (publ) | Cyber-physical context-dependent cryptography |
| US11210412B1 (en) | 2017-02-01 | 2021-12-28 | Ionic Security Inc. | Systems and methods for requiring cryptographic data protection as a precondition of system access |
| US10505723B1 (en) | 2017-04-26 | 2019-12-10 | Wells Fargo Bank, N.A. | Secret sharing information management and security system |
| US10931448B2 (en) | 2018-06-28 | 2021-02-23 | DISH Technologies L.L.C. | Authentication through secure sharing of digital secrets previously established between devices |
| US11620407B2 (en) | 2019-10-17 | 2023-04-04 | International Business Machines Corporation | Real-time, context based detection and classification of data |
Family Cites Families (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| IL102394A (en) * | 1992-07-02 | 1996-08-04 | Lannet Data Communications Ltd | Method and apparatus for secure data transmission |
| JPH06152592A (ja) | 1992-11-04 | 1994-05-31 | Hitachi Ltd | 暗号通信方法および暗号通信システム |
| JPH0759154A (ja) | 1993-08-13 | 1995-03-03 | N T T Idou Tsuushinmou Kk | 網間認証鍵生成方法 |
| EP0656708A1 (en) | 1993-12-03 | 1995-06-07 | International Business Machines Corporation | System and method for the transmission and validation of an updated encryption key between two users |
| FR2718312B1 (fr) | 1994-03-29 | 1996-06-07 | Rola Nevoux | Procédé d'authentification combinée d'un terminal de télécommunication et d'un module d'utilisateur. |
| EP0693836A1 (en) | 1994-06-10 | 1996-01-24 | Sun Microsystems, Inc. | Method and apparatus for a key-management scheme for internet protocols. |
| US5513245A (en) * | 1994-08-29 | 1996-04-30 | Sony Corporation | Automatic generation of private authentication key for wireless communication systems |
| JPH1022994A (ja) * | 1996-07-04 | 1998-01-23 | Hitachi Ltd | 暗号化装置および復号化装置、暗号化方法および復号化方法、ならびにそれらを用いた通信システム |
| US5794136A (en) | 1996-09-24 | 1998-08-11 | Motorola, Inc. | Noise blanker and a radio receiver and method employing same |
| US6292896B1 (en) * | 1997-01-22 | 2001-09-18 | International Business Machines Corporation | Method and apparatus for entity authentication and session key generation |
| US6230201B1 (en) * | 1998-05-29 | 2001-05-08 | Ip Net Solutions, Inc. | Configurable transaction routing system and method |
| CA2282942A1 (en) * | 1998-11-09 | 2000-05-09 | Lucent Technologies Inc. | Efficient authentication with key update |
| CA2255285C (en) * | 1998-12-04 | 2009-10-13 | Certicom Corp. | Enhanced subscriber authentication protocol |
| RU2163745C2 (ru) | 1999-04-29 | 2001-02-27 | Щеглов Андрей Юрьевич | Система защиты виртуального канала корпоративной сети с аутентифицирующим маршрутизатором, построенной на каналах и средствах коммутации сети связи общего пользования |
| JP2002123172A (ja) | 2000-10-16 | 2002-04-26 | Toshiba Information Systems (Japan) Corp | 暗号化装置、復号化装置、情報管理システム及び施錠システム |
| JP2002185443A (ja) | 2000-12-11 | 2002-06-28 | Hitachi Ltd | 秘密鍵管理方法 |
| US20030040306A1 (en) | 2001-08-23 | 2003-02-27 | Hanma Kentaro | Wireless communication system |
| CA2358048A1 (en) | 2001-09-25 | 2003-03-25 | Luis Rueda | A cryptosystem for data security |
| US6907246B2 (en) | 2001-11-20 | 2005-06-14 | Navini Networks, Inc. | Method and system for reducing wireless multi-cell interferences through segregated channel assignments and segregated antenna beams |
| US7477901B2 (en) * | 2002-03-27 | 2009-01-13 | Motorola, Inc. | Method and apparatus for minimizing setup time for a mobile station |
| US7464265B2 (en) * | 2002-05-03 | 2008-12-09 | Microsoft Corporation | Methods for iteratively deriving security keys for communications sessions |
| JP2004023365A (ja) | 2002-06-14 | 2004-01-22 | Kddi Corp | ローミングにおける認証方法 |
| US7162237B1 (en) * | 2002-07-26 | 2007-01-09 | Bellsouth Intellectual Property Corporation | System for automatic selection of profile based on location |
| WO2004021719A1 (en) * | 2002-08-14 | 2004-03-11 | Agency For Science, Technology And Research | A method of generating an authentication |
| US6886096B2 (en) | 2002-11-14 | 2005-04-26 | Voltage Security, Inc. | Identity-based encryption system |
| US7587598B2 (en) * | 2002-11-19 | 2009-09-08 | Toshiba America Research, Inc. | Interlayer fast authentication or re-authentication for network communication |
| JP2004208073A (ja) | 2002-12-25 | 2004-07-22 | Sony Corp | 無線通信システム |
| JP3792648B2 (ja) | 2002-12-25 | 2006-07-05 | 日本電気通信システム株式会社 | 無線lanの高速認証方式及び高速認証方法 |
| JP2004241976A (ja) * | 2003-02-05 | 2004-08-26 | Nec Corp | 移動通信ネットワークシステムおよび移動端末認証方法 |
| US7532723B2 (en) * | 2003-11-24 | 2009-05-12 | Interdigital Technology Corporation | Tokens/keys for wireless communications |
| US7624269B2 (en) * | 2004-07-09 | 2009-11-24 | Voltage Security, Inc. | Secure messaging system with derived keys |
| US8582567B2 (en) * | 2005-08-09 | 2013-11-12 | Avaya Inc. | System and method for providing network level and nodal level vulnerability protection in VoIP networks |
| US7512973B1 (en) * | 2004-09-08 | 2009-03-31 | Sprint Spectrum L.P. | Wireless-access-provider intermediation to facilliate digital rights management for third party hosted content |
-
2006
- 2006-02-10 AU AU2006213650A patent/AU2006213650A1/en not_active Abandoned
- 2006-02-10 RU RU2007133798/09A patent/RU2392754C2/ru not_active IP Right Cessation
- 2006-02-10 US US11/351,448 patent/US8726019B2/en active Active
- 2006-02-10 MX MX2007009790A patent/MX2007009790A/es active IP Right Grant
- 2006-02-10 JP JP2007555287A patent/JP2008530917A/ja not_active Withdrawn
- 2006-02-10 EP EP06734849A patent/EP1847063A2/en not_active Withdrawn
- 2006-02-10 WO PCT/US2006/004901 patent/WO2006086721A2/en active Application Filing
- 2006-02-10 KR KR1020077020727A patent/KR100961087B1/ko active IP Right Grant
- 2006-02-10 BR BRPI0608201-7A patent/BRPI0608201A2/pt not_active IP Right Cessation
- 2006-02-10 CA CA002597763A patent/CA2597763A1/en not_active Abandoned
- 2006-02-10 TW TW095104648A patent/TW200701722A/zh unknown
- 2006-02-10 CN CN2006800115422A patent/CN101156346B/zh active Active
-
2007
- 2007-08-12 IL IL185212A patent/IL185212A0/en unknown
- 2007-09-10 NO NO20074571A patent/NO20074571L/no not_active Application Discontinuation
-
2011
- 2011-05-09 JP JP2011104590A patent/JP2011227905A/ja active Pending
-
2014
- 2014-04-03 JP JP2014077096A patent/JP2014150567A/ja not_active Withdrawn
-
2016
- 2016-05-18 JP JP2016099697A patent/JP6377669B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| KR100961087B1 (ko) | 2010-06-07 |
| RU2007133798A (ru) | 2009-03-20 |
| JP2014150567A (ja) | 2014-08-21 |
| IL185212A0 (en) | 2008-01-06 |
| WO2006086721A3 (en) | 2007-04-12 |
| MX2007009790A (es) | 2007-11-06 |
| AU2006213650A1 (en) | 2006-08-17 |
| KR20070102749A (ko) | 2007-10-19 |
| JP6377669B2 (ja) | 2018-08-22 |
| JP2016192768A (ja) | 2016-11-10 |
| NO20074571L (no) | 2007-11-08 |
| WO2006086721A2 (en) | 2006-08-17 |
| BRPI0608201A2 (pt) | 2009-12-01 |
| US8726019B2 (en) | 2014-05-13 |
| JP2011227905A (ja) | 2011-11-10 |
| EP1847063A2 (en) | 2007-10-24 |
| CN101156346B (zh) | 2012-04-18 |
| RU2392754C2 (ru) | 2010-06-20 |
| US20070174613A1 (en) | 2007-07-26 |
| TW200701722A (en) | 2007-01-01 |
| CA2597763A1 (en) | 2006-08-17 |
| JP2008530917A (ja) | 2008-08-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101156346B (zh) | 受上下文限制的共享密钥 | |
| US11265319B2 (en) | Method and system for associating a unique device identifier with a potential security threat | |
| EP2950506B1 (en) | Method and system for establishing a secure communication channel | |
| JP4546240B2 (ja) | チャレンジ/レスポンス方式によるユーザー認証方法及びシステム | |
| CN110912701B (zh) | 社交密钥恢复的方法及相关装置 | |
| US8712474B2 (en) | Secure soft SIM credential transfer | |
| KR100902627B1 (ko) | 마스터 암호화 키들을 보호하는 시스템 및 방법 | |
| JP4938033B2 (ja) | ソフトウェアアプリケーションのアクセスに対する制限を改善するためのシステムおよび方法 | |
| JP2005196776A (ja) | 通信端末と通信機器との間の安全なデータ通信方法及びそのシステム | |
| JP4636423B2 (ja) | 移動網内の認証 | |
| JP4975252B2 (ja) | 非共有の秘密を危険にすることなく共有の秘密を検出する方法及び装置 | |
| EP2343916A1 (en) | Secure coupling of hardware components | |
| JP6041898B2 (ja) | セキュアなデータ送信 | |
| CN113615220A (zh) | 一种安全通信方法和装置 | |
| JP2011070513A (ja) | アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム | |
| EP2154861A2 (en) | Authentication coordination system, terminal apparatus, storage medium, authentication coordination method, and authentication coordination program | |
| JP5388088B2 (ja) | 通信端末装置、管理装置、通信方法、管理方法及びコンピュータプログラム。 | |
| JP2006526228A (ja) | ネットワーク装置内のローカルコミュニティ表示の管理用のセキュアな分散システム | |
| JP7337763B2 (ja) | 通信システム、通信方法およびプログラム | |
| CN113556736A (zh) | 接入方法、服务端、待接入端、电子设备及存储介质 | |
| CN115883105A (zh) | 认证连接方法、系统、电子设备及计算机存储介质 | |
| RU2408991C2 (ru) | Защита конфиденциальности в системах связи | |
| CN114257437A (zh) | 远程访问方法、装置、计算设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1112128 Country of ref document: HK |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1112128 Country of ref document: HK |