CN105612728A - 隐含共享密钥的安全数据通道鉴权 - Google Patents
隐含共享密钥的安全数据通道鉴权 Download PDFInfo
- Publication number
- CN105612728A CN105612728A CN201480029542.XA CN201480029542A CN105612728A CN 105612728 A CN105612728 A CN 105612728A CN 201480029542 A CN201480029542 A CN 201480029542A CN 105612728 A CN105612728 A CN 105612728A
- Authority
- CN
- China
- Prior art keywords
- authentication
- data
- shared key
- data channel
- derived
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明解决了两侧(A、B)之间的安全数据通道的鉴权的方法,首先建立非鉴权的受保护的数据通道(1),其中数据通道(1)的终端(3)在第一侧(A)并且数据通道(1)的终端(4)在另一侧(B)、并且目标应用(7)在第一侧(A)并且目标应用(8)在另一侧(B),而终端(3)和(4)具有非鉴权的共享密钥(5),因此,在数据通道(1)的两侧(A、B),计算源自非鉴权共享密钥(5)的数据,然后经由数据通道(1)之外的外部通信装置将源自非鉴权共享密钥(5)的数据传递到外部鉴权系统(2)的两侧(11、12),外部鉴权系统(2)因此执行通信侧(A、B)的鉴权,包括数据通道(1)的鉴权。
Description
技术领域
本发明涉及在双方之间的远程电子通信期间验证安全数据通道用户的电子身份的方法。
背景技术
在用户或系统远程访问服务提供商的信息系统中的受保护的资产的情况下使用安全数据通道。受保护的资产可以是可变字符-这些可能是机密信息或被设计用来公开的信息,但是仅允许由被授权者来改变或者其可能涉及使用信息和通信技术来实现各种动作或交易,或者其可能关系到为各种设备设置指令、获取测量的或以其它方式获取的信息或数据。
数据通道安全性是远程访问期间受保护的资产的保护水平的限制因素。受保护的资产的安全性的一般水平不能比数据通道安全性高。这从安全性的一般规则中显现出来,其中一般安全性水平由最薄弱的要素的安全性水平来设置。
数据通道安全性由鉴权限制,所述鉴权即数据通道的两端上的系统或用户(系统的操作者或所有者)的身份的验证的建立。
在开始通过数据通道传输数据之前,在创建安全数据通道之前或作为数据通道创建的一部分来执行鉴权-其为电子身份的验证,典型地在使用目标电子服务之前基于远程来执行。
在远程访问目标电子服务的情况下将数据通道用于对数据传输的保护,作为对被授权用户的保护,避免例如攻击者的未授权用户访问服务。
安全数据通道由被鉴权的共享密钥保护,其仅为数据通道两端上的系统已知。被鉴权的共享密钥创建包括身份校验-数据通道两端上的用户或系统的鉴权。
另一已知的变型是在不鉴权或部分鉴权的情况下创建数据通道,因此将该数据通道用于针对目标应用的用户的鉴权。在这种情况下,数据通道使用非鉴权的共享密钥,并且其不能充当安全密钥,因为它可能被攻击者滥用,因为没有执行任何满值的数据通道鉴权,并且攻击者甚至可能滥用或者以其它方式攻击针对目标应用的用户的鉴权并从而甚至成功攻击目标应用。
为了确保数据通道和目标应用的安全性,需要执行双鉴权-针对数据通道和目标应用,或者按照某一其他方式连接数据通道和目标应用。
已知一些在由应用执行的鉴权中使用创建数据通道之前或创建数据通道时执行的数据通道鉴权的结果、将目标应用与数据通道连接(通道绑定)以提高应用通信安全性的方法。
当前,外部鉴权不用于数据通道鉴权。待鉴权的用户或相应的系统具有可用的鉴权密钥(证书),例如,在通过密码进行鉴权的情况下,他们可以直接使用所述鉴权密钥(证书)以用于鉴权,或者,如在使用通过公共密钥基础设施的鉴权的情况下,他们将使用所述密钥来执行鉴权所需的合适的加密操作。
本发明的目的在于消除电子通信安全性当前的弱点,即不充分、无用、弱或难用的安全通道的鉴权,以及以此方式提高针对各种(甚至高质量)攻击的主要远程电子通信的抵抗力和以此方式显著减少电子通信的风险。
此外,提出的发明的目的在于通过在某一刻将外部鉴权系统和数据通道或相应的目标应用之间的数据传输简化为单向传输来简化外部鉴权的使用。这允许使用其他数据传输技术-它们是常用的并且它们不能用于更复杂的数据传输方法。
发明内容
本发明的主题是一种安全数据通道鉴权的方法,其特征在于,首先,使用基于使用常规加密方法(例如使用密钥协商)获取的非鉴权的共享密钥,在双方之间创建非鉴权的加密数据通道,保证数据通道的仅两端或临时生成的加密密钥对的存在。
然后,使用非鉴权的数据通道,用户和数据通道鉴权所需的信息可以通过例如外部鉴权服务URL、质询、鉴权/数据会话标识符(秘密地)传输。
从而,两侧的数据通道端例如使用利用通过共享密钥的签名的伪随机加密函数来创建数据通道的非鉴权的共享密钥的加密派生物。派生物创建的方法保证在共享密钥相同的情况下,在数据通道两端计算的共享密钥的两不派生物具有相同的值。例如,可以使用类型为HASH或HMAC的常规的非对称伪随机算法来执行计算。
然后-使用在数据通道的两端的但是在数据通道之外的外部通信手段-将源自非鉴权的共享密钥的数据、至少数据通道的非鉴权的共享密钥的派生物或其派生的信息传输到外部鉴权(外部鉴权系统或服务)的合适输入。
源自非鉴权的共享密钥的数据可以是非鉴权的共享密钥的派生物、或例如通过使用附加数据进行的修改获得的非鉴权的共享密钥的被修改的派生物、或根据非鉴权的共享密钥和附加数据计算的派生物、或根据非鉴权的共享密钥和附加数据计算的并例如被附加数据进一步修改的派生物。可以由数据通道的各终端或由数据通道的每侧的目标应用和/或由鉴权系统侧来执行通过附加数据进行的修改。可以由数据通道的每侧的不同组件或由相同的组件在数据通道的两侧执行修改。可以由数据通道终端和/或由目标应用和/或由外部鉴权系统侧来创建附加和/或补充数据。可以由数据通道每侧的不同组件或由相同的组件在数据通道两侧创建附加和/或补充数据。
在外部鉴权在数据通道两端上接收到源自非鉴权的共享密钥的数据之后,外部鉴权执行所传递的源自数据通道的非鉴权的共享密钥的数据的鉴权,通常通过使用外部鉴权可访问的提供商的鉴权密钥或用户的鉴权密钥,使得例如使用签名,或者用密钥或用其它方式被鉴权的密钥进行加密,以可靠加密的方式连接源自非鉴权的共享密钥的数据的鉴权以及用户或对应的系统的鉴权。
外部鉴权是如下的特殊系统、程序集和设备集或电子服务,其能够单独执行用户/系统的鉴权和包括源自数据通道的非鉴权的共享密钥的数据的鉴权在内的其他被鉴权的安全操作,外部鉴权与数据通道分离并且其不使用数据通道来传输信息。
外部通信手段可以例如使用局部通信技术,如使用QR码的扫描和显示的可容易和直观地执行的光通信,如短距离无线通信、光通信、局域网、设备中的内建(built-in)内部通信技术或其他常规的合适手段(例如服务提供商的内部网络或“云”服务提供商的内部受保护的网络),或安全远程通信。
源自非鉴权的共享密钥的数据的鉴权可以使用外部鉴权系统来执行,例如基于根据源自非鉴权的共享密钥和用户和/或系统的鉴权密钥的数据获得的派生物的比较,或者可以使用外部鉴权系统经由使用在利用外部鉴权对用户和/或系统的鉴权期间被鉴权的临时签名密钥的加密签名来执行;或可以使用外部鉴权系统通过利用在使用外部鉴权系统对用户和/或系统的鉴权期间被鉴权的临时加密密钥的加密来执行;或可以通过由根据源自非鉴权的共享密钥和在使用外部鉴权系统对用户和/或系统的鉴权期间被鉴权的临时密钥的数据获得的派生物的比较、使用外部鉴权系统来执行;或可以使用外部鉴权系统以如下的方式来执行:将由外部鉴权系统使用源自数据通道的非鉴权的共享密钥的移交的数据以用于用户鉴权,使得源自数据通道的非鉴权的共享密钥的移交的数据在使用质询-响应类型的鉴权协议的同时将代替质询。
以此方式,还对数据通道或其共享密钥进行鉴权,即对外部鉴权系统和数据通道的两端上的用户或对应的系统进行鉴权。
从而可以将鉴权的结果从外部鉴权(鉴权系统/服务)传递到目标应用,包括关于被鉴权的用户或系统的相关信息以及关于数据通道另一侧的用户或系统的相关信息。
从源自数据通道的非鉴权的共享密钥的数据的成功鉴权起,数据通道被鉴权并且其成为安全的被鉴权的数据通道,其可以由被鉴权的目标应用使用以用于与目标应用的被鉴权的用户的安全通信。
用户指的是使用相关电子设备的真实的人、以及电子系统或电子设备自身。
附图说明
图1-根据本发明的实现1的示例的使用外部鉴权(外部鉴权系统2)的安全数据通道1的鉴权方法的示意性表示。
图2-根据本发明的实现2的示例的使用外部鉴权(外部鉴权系统2)的安全数据通道1的鉴权方法的示意性表示。
图3-根据本发明的实现3的示例的使用外部鉴权(外部鉴权系统2)的安全数据通道1的鉴权方法的示意性表示。
图4-根据本发明的实现4的示例的使用外部鉴权(外部鉴权系统2)的安全数据通道1的鉴权方法的示意性表示。
具体实施方式
示例1
例如,可以以在侧A与B之间创建受保护的非鉴权数据通道1、并且存在可用的外部鉴权系统2的方式来执行安全数据通道的鉴权方法。数据通道1在两侧以侧A的数据通道的终端3和侧B的数据通道的终端4终结。
数据通道1的侧A和B以及外部鉴权系统2的侧A和B可以经由广域或局域网(例如,因特网10)通信。
数据通道1的两终端3和4具有可用的密钥信息-共享密钥5,其例如通过使用密钥协商的加密算法、基于非鉴权的共享密钥的常规生成过程来获得。由数据通道1的两终端3和4以常规方式使用共享密钥5,以便安排由数据通道1传输的数据的安全性。但是,此时尚未证明数据来自正确的主体或相应地数据到达正确的主体,因为到目前为止还没有执行任何鉴权。
于是,对于数据通道1的鉴权安排,以数据通道1的相关终端3和4以如下的方式根据共享密钥5计算共享密钥5的派生物6的方式来使用外部鉴权系统2:在侧A的目标应用7请求下,由侧A的数据通道1的终端3计算共享密钥5的派生物6,在侧B的目标应用8请求下,由侧B的数据通道1的终端4计算共享密钥5的派生物6。计算方式保证在共享密钥5相同的情况下,由数据通道1的两终端3和4计算的共享密钥5的两个派生物6具有相同的值。例如,可以使用HASH或HMAC类型的常规非对称伪随机算法来执行计算。
于是将共享密钥5的派生物6经由外部接口15传递到外部鉴权系统2,外部鉴权系统2从而执行通信的两侧的鉴权,包括数据通道1的共享密钥5的派生物6的鉴权。以这一方式,执行与通信各侧相关的数据通道1的鉴权,并且证明通过数据通道1传输的数据是否来自正确的主体以及数据是否被传输到正确的主体。
以如下的方式来将共享密钥的派生物6传递到外部鉴权系统2:侧A的数据通道1的终端3将共享密钥5的派生物6传递到侧A的目标应用7,在侧A的目标应用7的请求下,由侧A的数据通道1的终端3计算共享密钥5的派生物6,并且侧A的目标应用7经由外部接口15通过外部通信装置将共享密钥5的派生物6传递到侧A的外部鉴权系统2的侧11。类似地,侧B的数据通道1的终端4将共享密钥5的派生物6传递到侧B的目标应用8,在侧B的目标应用8的请求下,由侧B的数据通道1的终端4计算共享密钥5的派生物6,并且侧B的目标应用8通过外部通信装置将共享密钥5的派生物6传递到侧B的外部鉴权系统2的侧12。
经由外部接口15通过外部通信装置来移交共享密钥5的派生物6的方法是在数据通道1之外,并且以常规方式被执行,例如通过使用局域通信技术,如短距离无线通信技术、光通信技术、局域网或例如服务提供商的内部网络的其它常规合适手段。共享密钥5的派生物6的传输的保护方法和外部鉴权系统2的使用方法安排了相关侧的目标应用7和8被与外部鉴权系统2相同的用户使用的安全性等级。
因此,鉴权的结果13被传递到目标应用,包括关于侧A的被鉴权用户或系统以及侧B的用户(或系统)的其它相关信息。
示例2
例如,可以以下方式执行安全数据通道的鉴权的另一方法,该方式例如通过使用如根据RFC5246的TLS的加密数据通道的通常可用的实现(其不使用鉴权选项)并且在外部鉴权系统2可用的情况下,首先在侧A和侧B之间获得被保护的非鉴权数据通道1。数据通道1通过侧A的数据通道的终端3和侧B的数据通道的终端4在两侧终结。数据通道1的终端3和4两者都具有可用的密钥信息-共享密钥,其例如通过使用密钥协商的加密算法、基于非鉴权共享密钥的常规生成过程来生成。由数据通道1的两终端3和4以常规方式使用共享密钥5,以便支持由数据通道1传输的数据的安全性。但是,此时尚未证明数据来自正确的主体或相应地数据到达正确的主体,因为到目前为止还没有执行任何鉴权。
接着,侧A的目标应用7传递目标应用的数据9以传输到侧A的数据通道1的终端3,所述目标应用的数据9将由数据通道1使用共享密钥5以加密形式传输、由侧B的数据通道的终端4解密并且被传递到侧B的目标应用8。
被传输的目标应用的数据9可以包含例如外部鉴权系统2的纠正功能所需的技术信息,如外部鉴权系统-侧A11的网络地址、被鉴权的会话的标识符、设计用来提高安全性的其他信息,如“nonce”,即具有高熵的附加信息。
侧A的目标应用7处理被设计用于传输的数据9,侧B的目标应用8以使得来自侧A的目标应用7和侧B的目标应用8的附加数据14一直在相关侧的方式处理被传输的数据9。计算方法保证在被传输的数据9被正确传输和解密的情况下,由目标应用7和8两者计算的附加数据14两者具有相同的值。
于是,对于数据通道1的鉴权的安排,以如下的方式来使用外部鉴权系统2:数据通道1的相关终端3和4根据共享密钥5以及根据附加数据14来计算共享密钥5的派生物6-它是以如下方式完成的:在侧A的目标应用7的请求下传递由侧A的目标应用7创建的附加数据14,由侧A的数据通道的终端3计算共享密钥5的派生物6,在侧B的目标应用8的请求下传递由侧B的目标应用8获得的附加数据14,由侧B的数据通道的终端4计算共享密钥5的派生物6。计算方法保证在所有的输入相同的情况下,由数据通道的终端3和4两者计算的共享密钥5的派生物6两者具有相同的值。可以使用例如HASH或HMAC类型的常规非对称伪随机算法(例如使用根据RFC5705的过程(用于传输层安全性(TLS)的密钥内容输出者(keyingmaterialexporters)))来执行计算。
从而,经由外部接口15将共享密钥5的派生物6传递到外部鉴权系统2,所述外部鉴权系统2从而执行通信侧的鉴权,包括数据通道1的共享密钥5的派生物6的鉴权。以这一方式,执行与通信侧相关的数据通道1的鉴权,并且证明通过数据通道传递的数据是否来自正确的源以及数据是否被传输到正确的主体。
共享密钥的派生物6以如下方式传递到外部鉴权系统2,该方式使得侧A的数据通道的终端3将共享密钥5的派生物6传递到侧A的目标应用7,在侧A的目标应用7的请求下,由侧A的数据通道1的终端3计算共享密钥5的派生物6,并且侧A的目标应用7经由外部接口15通过外部通信装置将共享密钥5的派生物6传递到侧A的外部鉴权系统11。类似地,侧B的数据通道的终端4将共享密钥5的派生物6传递到侧B的目标应用8,在侧B的目标应用8的请求下,由侧B的数据通道的终端4计算共享密钥5的派生物6,并且侧B的目标应用8通过外部通信装置将共享密钥5的派生物6传递到侧B的外部鉴权系统12。
经由外部接口15通过外部通信装置来移交共享密钥5的派生物6的方法是在数据通道1之外,并且以常规方式被执行,例如,通过使用局域通信技术(如使用QR码的扫描和显示的可简单和直观地执行的光通信、设备中的内建内部通信或“云”服务提供商的内部受保护网络)或安全远程通信。
示例3
例如,可以以如下方式执行安全数据通道的鉴权的另一方法:类似于之前的描述-首先在侧A和B之间获得受保护的非鉴权数据通道1,其中数据通道的终端3和4两者都具有可用的非鉴权密钥信息-共享密钥5。
此外,侧A的目标应用7将目标应用的数据9添加到侧A的数据通道1的终端3的传输,并且目标应用的数据9以加密的形式通过数据通道1传输,与之前的示例中的附加数据的情况类似的,从侧A的目标应用7得到总是在相关侧的附加数据16。于是为了数据通道1的鉴权安排,以数据通道的相关终端3和4以如下的方式根据共享密钥5来计算共享密钥5的派生物6的方式来使用外部鉴权系统2:在侧A的目标应用7的请求下由侧A的数据通道1的终端3计算共享密钥5的派生物6,在侧B的目标应用8的请求下由侧B的数据通道1的终端4计算共享密钥5的派生物6。
从而,侧A和侧B的目标应用7和8使用附加数据16执行共享密钥5的派生物6的改变,侧A和侧B的目标应用7和8将共享密钥5的被改变的派生物6传递到侧A和侧B的外部鉴权系统11和12。可以使用常规使用的数学算法来执行派生物6的改变。例如,可以使用HMAC或HASH类型或串联的常规非对称伪随机算法。
所选择的计算方法保证在所有输入相同的情况下,使用共享密钥5的原始派生物6和附加数据16、由侧A的目标应用7和侧B的目标应用8执行的共享密钥5的派生物6的改变具有相同的值。
对于数据通道的鉴权,如在之前示例中的,已经以类推方式使用共享密钥5的被改变的派生物6。
示例4
还可以以如下方式执行安全数据通道的鉴权方法-类似于之前的描述,当数据通道1的终端3和4两者都具有可用的密钥信息-共享密钥5时,首先在侧A和侧B之间获得受保护的非鉴权数据通道1。
接着,侧A的外部鉴权系统11获得附加数据16,即,外部鉴权系统2的纠正功能所需的部分技术信息,如侧A的外部鉴权系统11的网络地址、鉴权会话的标识符、或设计用于提高安全性的其他信息,如,例如,通常使用的“nonce”,即具有高熵的附加信息。
由侧A的外部鉴权系统11经由侧A的外部接口15将附加数据16传递到侧A的目标应用7,并且目标应用7-在可能的完成或改变之后-传递附加数据16以作为目标应用的数据9传输到侧A的数据通道1的终端3,所述目标应用的数据9将使用共享密钥5通过数据通道1以加密的形式被传输、由侧B的数据通道1的终端4解密并且被移交到侧B的目标应用8。
侧B的目标应用8以从被传输的信息中创建附加数据16的方式来处理传输的信息。可以使用通常使用的数学算法,其中计算方法保证在以正确的方式传输和解密被传输信息的情况下,附加数据16(即侧A的外部鉴权系统11创建的附加数据16和侧B的目标应用8创建的附加数据16)两者都具有相同的值。
从而对于数据通道1的鉴权安排,以如下方式使用外部鉴权系统2,该方式基于侧A的目标应用7的请求,由侧A的数据通道的终端3计算共享密钥5的派生物6,并且在没有任何变化的情况下经由外部接口15将共享密钥5的派生物6传递到侧A的外部鉴权系统11。侧A的外部鉴权系统11使用早前由侧A的外部鉴权系统11获得的并且被传递到侧A的目标应用7的附加数据16来执行共享密钥5的派生物6的改变。
在侧B的目标应用8的请求下,由侧B的数据通道1的终端4计算共享密钥5的派生物6。将共享密钥5的派生物6传递到侧B的目标应用8,所述目标应用8使用附加数据16执行共享密钥5的派生物6的改变,并且经由外部接口15将共享密钥5的被变后的派生物6传递到侧B的外部鉴权系统12。
所选择的计算方法保征在所有输入相同的情况下,由侧B的目标应用8使用共享密钥5的原始派生物6和附加数据16而执行的共享密钥5的派生物6的改变得到与由侧A的外部鉴权系统11计算的改变相同的值。
对于数据通道的鉴权,如在之前的示例中那样,以类推的方式使用共享密钥5的被改变的派生物6。
示例5
可以例如以如下方式执行使用外部鉴权的安全数据通道的鉴权的另一方法,该方式使得侧A的数据通道1的终端3作为侧A的目标应用7的内部部分被执行,相应地,侧B的数据通道1的终端4作为侧B的目标应用8的内部部分被执行。该示例中的相关的数据传输以如在之前的示例中描述的那样以类推方式在目标应用的内部被执行。
示例6
可以例如如下地执行使用外部鉴权系统2的源自数据通道1的非鉴权的共享密钥5的被传递的数据的鉴权的方法:
-使用由被鉴权的密钥对源自数据通道1的非鉴权共享密钥5的被传递的数据的加密签名,或
-使用由被鉴权的密钥对源自数据通道1的非鉴权共享密钥5的被传递的数据的加密,或
-由根据源自数据通道1的非鉴权的共享密钥5和由外部鉴权系统2使用的用于用户鉴权的被鉴权的密钥的数据计算的派生物。以这一方式,加密地连接用户的鉴权和数据通道的鉴权。
示例7
可以例如如下地执行使用外部鉴权系统2的源自数据通道的非鉴权共享密钥的被传递的数据的鉴权的方法:
-使用由被临时鉴权的密钥对源自数据通道1的非鉴权共享密钥5的被传递的数据的加密签名,或
-使用由临时被鉴权的密钥对源自数据通道1的非鉴权共享密钥5的被传递的数据的加密,或
-由根据源自数据通道1的非鉴权的共享密钥5和由外部鉴权系统2使用的用于用户鉴权的临时被鉴权的密钥的数据计算的派生物。以这一方式,加密地连接用户的鉴权和数据通道的鉴权。
示例8
最后,可以例如以如下方式执行使用外部鉴权系统2的源自数据通道1的非鉴权共享密钥5的被传递的数据的鉴权的方法,该方式以源自数据通道1的非授权共享密钥5的给定数据代替使用质询-响应类型的鉴权协议中的质询的方式、由外部鉴权系统2使用源自数据通道1的非授权共享密钥5的给定数据以用于用户的鉴权。以这一方式,加密地连接用户的鉴权和数据通道的鉴权。
工业实用性
本发明可以用于需要应用鉴权安全数据通道的任何领域。
Claims (15)
1.一种两侧(A、B)之间的安全数据通道的鉴权的方法,其特征在于,首先建立非鉴权的受保护的数据通道(1),所述数据通道(1)的终端(3)在第一侧(A)并且数据通道(1)的终端(4)在另一侧(B),并且在第一侧(A)具有目标应用(7)以及在另一侧(B)具有目标应用(8),而终端(3)和(4)具有非鉴权的共享密钥(5),因此,在数据通道(1)的两侧(A、B),计算源自非鉴权的共享密钥(5)的数据,然后经由数据通道(1)之外的外部通信装置将源自非鉴权的共享密钥(5)的数据传递到外部鉴权系统(2)的两侧(11、12),所述外部鉴权系统(2)因此执行通信侧(A、B)的鉴权,包括数据通道(1)的鉴权。
2.根据权利要求1所述的方法,其特征在于,以如下的方式获取源自非鉴权的共享密钥(5)的数据:终端(3)和(4)计算非鉴权的共享密钥(5)的派生物(6)或终端(3)和(4)根据非鉴权的共享密钥(5)和附加数据(14)来计算派生物(6);以及派生物(6)能够通过附加数据(16)进一步修改。
3.根据权利要求2所述的方法,其特征在于,由选自包括数据通道(1)的终端(3)和(4)、目标应用(7、8)以及外部鉴权系统(2)的侧(11、12)在内的群组的至少一个组件,在每侧(A、B)单独执行非鉴权的共享密钥(5)的派生物(6)的修改。
4.根据权利要求2所述的方法,其特征在于,由选自包括数据通道(1)的终端(3)和(4)、目标应用(7、8)以及外部鉴权系统(2)的侧(11、12)在内的群组的至少一个组件,在每侧(A、B)单独创建附加数据(14)和/或补充数据(16)。
5.根据权利要求2所述的方法,其特征在于,以终端(3)和(4)计算非鉴权的共享密钥(5)的派生物(6)的方式来获取源自非鉴权的共享密钥(5)的数据。
6.根据权利要求2所述的方法,其特征在于,以终端(3)和(4)计算附加数据(14)和非鉴权的共享密钥(5)的派生物(6)的方式来获取源自非鉴权的共享密钥(5)的数据。
7.根据权利要求2所述的方法,其特征在于,以终端(3)和(4)计算非鉴权的共享密钥(5)的派生物(6)并且因此使用附加数据(16)修改目标应用(7)和(8)的派生物(6)的方式来获取源自非鉴权的共享密钥(5)的数据。
8.根据权利要求2所述的方法,其特征在于,以终端(3)和(4)计算附加数据(14)和非鉴权的共享密钥(5)的派生物(6)并且因此目标应用(7)和(8)使用附加数据(16)来修改派生物(6)的方式来获取源自非鉴权的共享密钥(5)的数据。
9.根据权利要求1所述的方法,其特征在于,使用外部鉴权系统(2)利用使用用户和/或系统的被鉴权的签名密钥的加密签名来执行源自非鉴权的共享密钥(5)的数据的鉴权。
10.根据权利要求1所述的方法,其特征在于,使用外部鉴权系统(2)通过使用用户和/或系统的被鉴权的加密密钥的加密来执行源自非鉴权的共享密钥(5)的数据的鉴权。
11.根据权利要求1所述的方法,其特征在于,使用外部鉴权系统(2)通过比较根据源自非鉴权的共享密钥(5)和用户和/或系统的被鉴权的密钥的数据创建的派生物来执行源自非鉴权的共享密钥(5)的数据的鉴权。
12.根据权利要求1所述的方法,其特征在于,使用外部鉴权系统(2)利用使用用户和/或系统和/或使用外部鉴权系统(2)的系统的临时被鉴权的签名密钥的加密签名,来执行源自非鉴权的共享密钥(5)的数据的鉴权。
13.根据权利要求1所述的方法,其特征在于,使用外部鉴权系统(2)通过使用在用户和/或系统和/或使用外部鉴权系统(2)的鉴权期间被鉴权的临时加密密钥的加密,来执行源自非鉴权的共享密钥(5)的数据的鉴权。
14.根据权利要求1所述的方法,其特征在于,使用外部鉴权系统(2)通过比较根据源自非鉴权的共享密钥(5)和用户和/或使用外部鉴权系统(2)的系统的临时被鉴权的密钥的数据创建的派生物,来执行源自非鉴权共享密钥(5)的数据的鉴权。
15.根据权利要求1所述的方法,其特征在于,使用外部鉴权系统(2)以如下的方式来执行源自非鉴权共享密钥(5)的数据的鉴权:将由外部鉴权系统(2)使用源自数据通道(1)的非鉴权的共享密钥(5)的移交的数据以用于用户的鉴权,其中源自数据通道(1)的非鉴权的共享密钥(5)的移交的数据代替使用质询-响应类型的鉴权协议中的质询。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CZ2013-373A CZ2013373A3 (cs) | 2013-05-22 | 2013-05-22 | Způsob autentizace bezpečného datového kanálu |
| CZPV2013-373 | 2013-05-22 | ||
| PCT/CZ2014/000058 WO2014187436A1 (en) | 2013-05-22 | 2014-05-21 | Secured data channel authentication implying a shared secret |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105612728A true CN105612728A (zh) | 2016-05-25 |
| CN105612728B CN105612728B (zh) | 2019-04-23 |
Family
ID=51211457
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480029542.XA Expired - Fee Related CN105612728B (zh) | 2013-05-22 | 2014-05-21 | 隐含共享密钥的安全数据通道鉴权 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US10091189B2 (zh) |
| EP (1) | EP3000216B1 (zh) |
| JP (1) | JP2016522637A (zh) |
| KR (1) | KR20160013135A (zh) |
| CN (1) | CN105612728B (zh) |
| BR (1) | BR112015028638A2 (zh) |
| CZ (1) | CZ2013373A3 (zh) |
| RU (1) | RU2645597C2 (zh) |
| WO (1) | WO2014187436A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CZ2013373A3 (cs) | 2013-05-22 | 2014-12-03 | Anect A.S. | Způsob autentizace bezpečného datového kanálu |
| CZ309308B6 (cs) | 2013-07-12 | 2022-08-17 | Aducid S.R.O. | Způsob zadávání tajné informace do elektronických digitálních zařízení |
| CZ2015472A3 (cs) | 2015-07-07 | 2017-02-08 | Aducid S.R.O. | Způsob navazování chráněné elektronické komunikace, bezpečného přenášení a zpracování informací mezi třemi a více subjekty |
| JP2018023029A (ja) * | 2016-08-04 | 2018-02-08 | 株式会社 エヌティーアイ | 通信システム、通信用クライアント、通信用サーバ、通信方法、プログラム |
| CZ307156B6 (cs) * | 2016-12-23 | 2018-02-07 | Aducid S.R.O. | Způsob vícefaktorové autentizace |
| CZ2020271A3 (cs) | 2020-05-14 | 2021-11-24 | Aducid S.R.O. | Programový systém a způsob autentizace |
| CZ2021366A3 (cs) | 2021-08-04 | 2023-02-15 | Aducid S.R.O. | Systém a způsob pro řízený přístup k cílové aplikaci |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040034776A1 (en) * | 2002-08-14 | 2004-02-19 | Microsoft Corporation | Authenticating peer-to-peer connections |
| CN1883176A (zh) * | 2003-12-01 | 2006-12-20 | 思科技术公司 | 用于经由网络进行供给和认证的系统和方法 |
| US20090288143A1 (en) * | 2008-05-16 | 2009-11-19 | Sun Microsystems, Inc. | Multi-factor password-authenticated key exchange |
| US20100042838A1 (en) * | 2008-08-12 | 2010-02-18 | Texas Instruments Incorporated | Public Key Out-of-Band Transfer for Mutual Authentication |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4430915B2 (ja) * | 2003-10-09 | 2010-03-10 | 日本電信電話株式会社 | タグ装置、個人認証装置、リーダー装置、タグ認証方法及びプログラム |
| US7761710B2 (en) * | 2005-04-05 | 2010-07-20 | Mcafee, Inc. | Captive portal system and method for use in peer-to-peer networks |
| US7814538B2 (en) * | 2005-12-13 | 2010-10-12 | Microsoft Corporation | Two-way authentication using a combined code |
| JP4978166B2 (ja) * | 2006-11-21 | 2012-07-18 | ソニー株式会社 | 発券管理システム,提供サーバ及び利用管理サーバ |
| JP4963425B2 (ja) * | 2007-02-23 | 2012-06-27 | 日本電信電話株式会社 | セッション鍵共有システム、第三者機関装置、要求側装置、および応答側装置 |
| RU2367007C2 (ru) * | 2007-08-30 | 2009-09-10 | Станислав Антонович Осмоловский | Способ передачи и комплексной защиты информации |
| US8260883B2 (en) * | 2009-04-01 | 2012-09-04 | Wimm Labs, Inc. | File sharing between devices |
| JP2012060366A (ja) * | 2010-09-08 | 2012-03-22 | Nec Corp | 通信システム、通信方法、およびコンピュータ・プログラム |
| JP5889525B2 (ja) * | 2010-12-21 | 2016-03-22 | パナソニックIpマネジメント株式会社 | 認証システム |
| CZ2013373A3 (cs) | 2013-05-22 | 2014-12-03 | Anect A.S. | Způsob autentizace bezpečného datového kanálu |
-
2013
- 2013-05-22 CZ CZ2013-373A patent/CZ2013373A3/cs unknown
-
2014
- 2014-05-21 JP JP2016514275A patent/JP2016522637A/ja active Pending
- 2014-05-21 EP EP14741499.9A patent/EP3000216B1/en active Active
- 2014-05-21 KR KR1020157036277A patent/KR20160013135A/ko not_active Application Discontinuation
- 2014-05-21 RU RU2015150542A patent/RU2645597C2/ru active
- 2014-05-21 WO PCT/CZ2014/000058 patent/WO2014187436A1/en active Application Filing
- 2014-05-21 BR BR112015028638A patent/BR112015028638A2/pt not_active IP Right Cessation
- 2014-05-21 US US14/893,058 patent/US10091189B2/en active Active
- 2014-05-21 CN CN201480029542.XA patent/CN105612728B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040034776A1 (en) * | 2002-08-14 | 2004-02-19 | Microsoft Corporation | Authenticating peer-to-peer connections |
| CN1883176A (zh) * | 2003-12-01 | 2006-12-20 | 思科技术公司 | 用于经由网络进行供给和认证的系统和方法 |
| US20090288143A1 (en) * | 2008-05-16 | 2009-11-19 | Sun Microsystems, Inc. | Multi-factor password-authenticated key exchange |
| US20100042838A1 (en) * | 2008-08-12 | 2010-02-18 | Texas Instruments Incorporated | Public Key Out-of-Band Transfer for Mutual Authentication |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3000216A1 (en) | 2016-03-30 |
| JP2016522637A (ja) | 2016-07-28 |
| CN105612728B (zh) | 2019-04-23 |
| RU2645597C2 (ru) | 2018-02-21 |
| KR20160013135A (ko) | 2016-02-03 |
| US20160119317A1 (en) | 2016-04-28 |
| US10091189B2 (en) | 2018-10-02 |
| EP3000216B1 (en) | 2018-01-31 |
| RU2015150542A (ru) | 2017-06-27 |
| CZ2013373A3 (cs) | 2014-12-03 |
| WO2014187436A1 (en) | 2014-11-27 |
| BR112015028638A2 (pt) | 2017-07-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6226197B2 (ja) | 証明書発行システム、クライアント端末、サーバ装置、証明書取得方法、及び証明書発行方法 | |
| CN108599925B (zh) | 一种基于量子通信网络的改进型aka身份认证系统和方法 | |
| CN100558035C (zh) | 一种双向认证方法及系统 | |
| CN105612728A (zh) | 隐含共享密钥的安全数据通道鉴权 | |
| KR20190073472A (ko) | 데이터 송신 방법, 장치 및 시스템 | |
| US20180131511A1 (en) | Systems and Methods for Dynamic Cypher Key Management | |
| CN108494551A (zh) | 基于协同密钥的处理方法、系统、计算机设备及存储介质 | |
| CN104821933A (zh) | 证书生成的设备和方法 | |
| CN108471352A (zh) | 基于分布式私钥的处理方法、系统、计算机设备及存储介质 | |
| CN109474419A (zh) | 一种活体人像照片加密、解密方法及加解密系统 | |
| CN110519300A (zh) | 基于口令双向认证的客户端密钥安全存储方法 | |
| CN113411187B (zh) | 身份认证方法和系统、存储介质及处理器 | |
| CN111740995B (zh) | 一种授权认证方法及相关装置 | |
| CN110022320A (zh) | 一种通信配对方法及通信装置 | |
| CN110383755A (zh) | 网络设备和可信第三方设备 | |
| CN111416712B (zh) | 基于多个移动设备的量子保密通信身份认证系统及方法 | |
| CN116388995A (zh) | 一种基于puf的轻量级智能电网认证方法 | |
| US20210044435A1 (en) | Method for transmitting data from a motor vehicle and method for another vehicle to receive the data through a radio communication channel | |
| CN105162592B (zh) | 一种认证可穿戴设备的方法及系统 | |
| CN106209384B (zh) | 使用安全机制的客户终端与充电装置的通信认证方法 | |
| WO2017109058A1 (en) | Security management system for securing a communication between a remote server and an electronic device | |
| CN108768958B (zh) | 基于第三方不泄露被验信息的数据完整性和来源的验证方法 | |
| CN113014376A (zh) | 一种用户与服务器之间安全认证的方法 | |
| CN104579692A (zh) | 一种基于智能卡的信息处理方法 | |
| CN110138544A (zh) | 一种物联网设备的加密解密系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190423 |