CN107534555B - 一种用于证书验证的方法及装置 - Google Patents
一种用于证书验证的方法及装置 Download PDFInfo
- Publication number
- CN107534555B CN107534555B CN201580079062.9A CN201580079062A CN107534555B CN 107534555 B CN107534555 B CN 107534555B CN 201580079062 A CN201580079062 A CN 201580079062A CN 107534555 B CN107534555 B CN 107534555B
- Authority
- CN
- China
- Prior art keywords
- node
- interface
- certificate
- connection
- protocol connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/326—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the transport layer [OSI layer 4]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
根据示例方面提供了一种装置,其包括至少一个处理核心、至少一个包括计算机程序代码的存储器,所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理核心一起致使所述装置至少:参与安全协议连接的建立,与该安全协议连接的建立有关地通过第一接口接收证书,与安全协议连接的建立有关地通过第二接口接收关于该证书的信息,以及将该证书与关于该证书的信息进行比较。
Description
技术领域
本发明涉及通信安全的领域。
背景技术
窃听电子通信对使用通信网络传送的信息的机密性构成风险。为了防止未经授权对机密信息进行访问,比如文档或电话讨论,可以避免用不安全的网络来传送机密信息。
仅使用安全网络,意味着潜在的窃听者无法访问的网络,可能是困难的。例如,单独的安全网络可能不可用,或者它们的使用或实现可能是困难、缓慢或昂贵的。
当通过不安全的网络进行通信时可以采用加密。可以预先交换对称加密密钥,使得对称密钥可以用于将明文内容转换为密文。通过在不安全网络上发送密文而不是明文,可以保留内容的机密性,因为加密算法被设计成在没有加密密钥的情况下从密文获取明文是非常困难的。对称加密算法的一个示例是Blowfish算法。
预先交换对称加密密钥可以在带外发生,这意味着加密密钥不在不安全网络上传送。加密密钥可以经由纸质邮件、信使、外交邮袋或其他合适的方法进行交换。
当使用公钥加密时不需要带外加密密钥交换,其中,可以使用公钥进行加密,公钥不需要保密并且可以通过不安全的网络传送。然而,用公钥生成的密文不能通过使用公钥来解密以来获得明文,而是需要单独的私钥,该私钥由接收者保护并且不通过不安全的连接进行传送。在一些通信协议中,公钥加密被用来传送随后用于保护协议连接的对称加密密钥。
传输层安全性TLS是用于互联网通信的密码协议。TLS采用加密证书和公钥加密技术致使共享密钥在通信节点之间建立,该共享密钥随后允许使用对称加密来保护协议连接。
发明内容
本发明由独立权利要求的特征限定。在从属权利要求中限定了一些具体实施例。
根据本发明的第一方面提供了一种装置,其包括至少一个处理核心、至少一个包括计算机程序代码的存储器,所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理核心一起致使所述装置至少:参与安全协议连接的建立;通过第一接口接收与所述安全协议连接的建立有关的证书;与所述安全协议连接的建立有关地,通过第二接口接收关于所述证书的信息;以及将所述证书与关于所述证书的信息进行比较。
第一方面的各种实施例可以包括以下项目符号列表中的至少一个特征:
·所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理核心一起,致使所述装置由通过所述第一接口接收和发送消息来参与所述安全协议连接的建立
·所述第一接口包括与通信节点的互联网协议连接,所述第一接口穿过第一收发器,所述安全协议连接被建立在所述装置和所述通信节点之间
·所述第二接口包括与网络接入设备的连接,所述第二接口穿过第二收发器
·所述第二接口包括与网络接入设备的基于分组的连接,所述第二接口穿过所述第一收发器
·与所述网络接入设备的所述基于分组的连接由共享秘密保护
·所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理核心一起,致使所述装置接收作为来自用户的输入的所述共享秘密
·所述安全协议连接包括传输层安全连接
·所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理核心一起,致使所述装置验证所述证书和关于所述证书的所述信息中的至少一个的加密签名
·所述装置被配置为至少部分地作为对关于所述证书的信息与所述证书一致的确定的响应,完成所述安全协议连接的建立
·所述装置被配置为响应于关于所述证书的信息被确定为与所述证书不一致,参与通过第二接口建立所述安全协议连接
根据本发明的第二方面提供了一种装置,包括至少一个处理核心、至少一个包括计算机程序代码的存储器,所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理核心一起致使所述装置至少:在第一节点和第二节点之间中继消息,所述消息与安全协议连接的建立有关;与所述安全协议连接的建立有关地,从所述第二节点接收证书;以及通过第一接口并且通过第二接口向所述第一节点提供所述证书。
第二方面的各种实施例可以包括来自以下项目符号列表的至少一个特征:
·所述装置被配置为向所述第一节点提供网络接入
·所述第一接口包括所述第一节点和所述第二节点之间的互联网协议连接的支路
·所述第二接口包括与所述第一节点的短程无线电接口
·所述第二接口包括与所述第一节点的基于分组的连接,所述装置是与所述第一节点的基于所述分组的连接的端点
·所述安全协议连接包括传输层安全连接
根据本发明的第三方面提供了一种方法,包括由装置来参与安全协议连接的建立;通过第一接口接收与所述安全协议连接的建立有关的证书;与所述安全协议连接的建立有关地,通过第二接口接收关于所述证书的信息;以及将所述证书与关于所述证书的信息进行比较。
第三方面的各种实施例可以包括对应于与第一方面相关地布置的前面的项目符号列表的特征的至少一个特征。
根据本发明的第四方面提供了一种方法,包括:由装置在第一节点和第二节点之间中继消息,所述消息与安全协议连接的建立有关;与所述安全协议连接建立有关地,接收来自所述第二节点的证书;以及通过第一接口并且通过第二接口从所述装置向第一节点提供证书。
第四方面的各种实施例可以包括对应于与第二方面有关地布置的前面的项目符号列表的特征的至少一个特征。
根据本发明的第五方面提供了一种装置,包括用于参与安全协议连接的建立的部件;用于通过第一接口接收与所述安全协议连接的建立有关的证书的部件;用于与所述安全协议连接的建立有关地,通过第二接口接收关于所述证书的信息的部件;和用于将所述证书与关于所述证书的信息进行比较的部件
根据本发明的第六方面提供了一种装置,包括用于在第一节点和第二节点之间中继消息的部件,所述消息与安全协议连接的建立有关;用于与所述安全协议连接建立有关地,接收来自所述第二节点的证书的部件;以及用于通过第一接口并且通过第二接口从所述装置向第一节点提供证书的部件。
根据本发明的第七方面提供了一种非暂时性计算机可读介质,其上存储有一组计算机可读指令,所述计算机可读指令当由至少一个处理器执行时致使装置至少:参与安全协议连接的建立;通过第一接口接收与所述安全协议连接的建立有关的证书;与所述安全协议连接的建立有关地,通过第二接口接收关于所述证书的信息;以及将所述证书与关于所述证书的信息进行比较。
根据本发明的第八方面提供了一种非暂时性计算机可读介质,其上存储有一组计算机可读指令,所述计算机可读指令在由至少一个处理器执行时致使装置至少:在第一节点和第二节点之间中继消息,所述消息与安全协议连接的建立有关;与所述安全协议连接的建立有关地,从所述第二节点接收证书;以及通过第一接口并且通过第二接口向所述第一节点提供所述证书。
根据本发明的第九方面提供了一种计算机程序,其被配置为致使根据第二和第三方面中的至少一个的方法被执行。
附图说明
图1图示了根据本发明的至少一些实施例的第一系统;
图2图示了根据本发明的至少一些实施例的第二系统;
图3图示了能够支持本发明的至少一些实施例的示例装置;
图4图示了根据本发明的至少一些实施例的信令;
图5是根据本发明的至少一些实施例的第一流程图;以及
图6是根据本发明的至少一些实施例的第二流程图。
具体实施方式
通过经由第二接口获得加密证书的第二副本,可以发现当诸如TLS连接之类的安全协议连接正在建立时,对于用户的计算设备中的第一接口是否正在进行中间人MITM攻击。
图1示出了根据本发明的至少一些实施例的第一系统。图1的系统包括设备110,其可以包括用户设备,比如膝上型计算机、台式计算机、平板计算机或其他类型的计算机、智能电话或其他类型的合适的计算设备。图1的设备110包括第一收发器114和第二收发器118。第一收发器114 可以包括例如以太网端口、也被称为Wi-Fi的无线局域网WLAN、收发器或另一类型的适合的端口或收发器。第二收发器118可以包括通信收发器,比如,例如有线或无线收发器。例如,第二收发器118可以包括低功率无线接口,或以太网接口。低功耗无线接口的示例包括蓝牙、Wibree、ZigBee 和红外接口。
在设备110中运行的是程序112,其例如可以包括浏览器。浏览器可以包括程序,该程序被配置为在万维网上检索随后被呈现或显示给用户的页面。程序112的其他示例包括网络银行应用、消息传递应用和启用双方之间的语音通信的电话应用。例如,这样的语音通信可以是基于分组的。
程序112可以被配置为发起与通信节点140的安全协议连接。例如,安全协议连接可以包括传输层安全性、TLS、连接。TLS由互联网工程任务组IETF指定,并且存在于版本1.0、1.1和1.2中。通常,安全协议连接可以包括使用至少一个加密证书来验证节点的至少一个身份的任何协议连接。替代于TLS,安全协议连接可以包括例如安全套接字层、SSL、连接。程序112可以被配置为使用默认联网选项。建立安全协议连接可以通过第一接口发生,比如,例如互联网协议,IP,连接。图1中图示了设备110 和通信节点140之间的IP连接,包括支路(leg)101C、101D和101E。此外,在设备110内部,支路101B和101A在程序112和通信节点140之间传达信息。详细而言,分支101C将设备110连接到互联网接入设备120。互联网接入设备120可以包括WLAN基站、以太网路由器或被配置为向设备110提供互联网连接性的其他接入设备。支路101D将互联网接入设备120连接到网络130。网络130可以包括互联网,至少部分地以及/或者公司网络。支路101E将通信节点140连接到网络130。支路101A被包括在程序112具有的第一接口中。例如,互联网接入设备120可以被配置为在设备110和通信节点140之间中继分组连接中包含的分组,而不用作分组连接中的端点。
程序112可以由通过第一接口向通信节点140发送初始分组来发起安全协议连接的建立。初始分组的示例是TLS握手中的ClientHello分组。关于由初始分组触发的诸如握手之类的建立过程,通信节点140可以向设备110发送通信节点140的加密证书。在一些实施例中,是通信节点140 而不是程序112来发起安全协议连接的建立。通信节点140的加密证书可以包括以下各项中的至少一个:公钥、加密签名、加密签名算法的标识符、通信节点140的标识符和操作通信节点140的一方的标识符。一旦程序112 具有加密证书,它就可以验证证书上的签名是否有效。例如,签名可以由程序112已知的签名机构施加。程序112可以具有该签名机构的公钥或可以访问这样的密钥,程序112可将该公钥或密钥用于验证证书的加密签名。
在签名有效的情况下,程序112可以信任证书来自通信节点140,并且例如在通过第一接口(即支路101E、101D、101C)的传输期间或在设备110自身内部没有被篡改。程序112可以被配置为使用证书中的公钥向通信节点140发送用该公钥加密的信息,该信息只能由拥有对应私钥的通信节点140解密。例如,程序112可以被配置为在用公钥加密它之前使用随机数生成器生成信息。该信息可以用作程序112和通信节点140之间的安全协议连接上的对称加密密钥,或者可以用于生成这样的对称加密密钥。通常,对称加密密钥是与对称加密算法一起使用的加密密钥,使得可以使用相同的密钥来加密和解密。一般来说,程序112发送给通信节点140的、用来自从通信节点140接收的证书的公钥加密的信息,可以用于至少部分地建立安全协议连接。
一旦建立了安全协议连接,它就可以被用于以端到端的加密方式进行通信,使得只有程序112和通信节点140具有访问该通信的内容所需的加密密钥。
建立如上所述的安全协议连接的风险是中间人攻击,也被称为首字母缩略词MITM。在图1的系统中,设备110包括MITM元件116,其可能由设备110的制造商安装在其中,或者可能在制造之后安装在其中,设备 110的用户却不知道。MITM元件116可以被包括在第一收发器114中,或者它可以区别于第一收发器114。MITM元件116可以被配置为监视程序112和第一收发器114之间的连接,并且响应于在程序112和通信节点之间正在进行安全协议连接建立的确定,MITM元件116可以被配置为拦截来自包括加密证书的通信节点的消息。然后,MITM元件116可以生成新的伪造证书,其包括伪造的公钥。MITM元件116可以用MITM元件 116本身的私钥对该伪造的证书进行签名,使得与该私钥相对应的公钥已被包括在程序112用于验证传入加密证书的可信签名机构公钥的列表中。可信签名机构公钥列表的示例是Windows证书存储。
然后,MITM元件116可以向程序112提供伪造和签名的加密证书,使得程序112将以与将处理真实证书相同的方式处理伪造的证书,MITM 元件116已经存储了该真实证书但未提供给程序112。程序112可以用包含用伪造的公钥加密的信息的消息向对方节点140答复。MITM单元116 然后可以拦截该消息,用MITM单元116的私钥对其中的加密信息进行解密,并且在MITM单元116和程序112之间建立安全协议连接。MITM单元116还可以完成与通信节点140的安全协议连接的建立,而不通知程序 112。结果,替代于一个安全协议连接,将存在两个安全协议连接,程序 112和MITM单元116之间的第一连接,以及MITM单元116和通信节点140之间的第二连接。MITM元件116可以在安全协议连接之间中继分组,使得程序112和通信节点140可以都相信它们彼此直接通信。然而,实际上在程序112和通信节点140之间交换的所有信息在MITM单元116 中都被解密,并且在发送给预期的接收者之前被重新加密。这样的中间人攻击向MITM元件116提供了对程序112和通信节点140之间交换的加密信息的访问,严重地破坏了该协议连接的机密性。
程序112将伪造的证书验证为有效,因为MITM元件116具有用于签署伪造证书的专用密钥,其对应于程序112认为是有效签名密钥的公钥。由于在网络中无论如何都存在端到端的延迟,因此程序112不可能注意到 MITM元件116在生成伪造证书中导致的延迟。
互联网接入设备120可以被配置为监视设备110和网络130之间的连接,并且响应于在程序112和通信节点之间正在进行安全协议连接建立的确定,互联网访问设备120可以被配置为存储来自包含加密证书的通信节点的消息的副本。例如,程序112可以例如经由第二收发器118提醒互联网接入设备120程序112要发起或刚刚发起安全协议连接的建立。
互联网接入设备120可以经由它与第二收发器118具有的连接102向程序112提供它从通信节点接收的加密证书的副本。证书副本在程序112 的第二接口上从第二收发器118被提供给程序112。图1的系统中的第二接口经由第二收发器118将程序112连接到互联网接入设备120。程序112 可以将通过第二接口接收到的该副本与它通过第一接口接收到的副本进行比较,第一接口也就是它正在用来建立安全协议连接的接口。在设置在互联网接入设备120和程序112之间的MITM元件116活动的情况下,程序 112可以检测其存在,因为由MITM单元116提供给程序112的伪造证书不同于程序112经由第二接口接收到的真实证书的副本。因此,程序112 例如可以提醒用户或中止安全协议连接的建立。
程序112和互联网接入设备120之间的连接可以被保护。例如,互联网接入设备可以具有显示器,其被配置为显示诸如数字或字母数字代码之类的代码,用户可以经由用户界面读取该代码并将其提供给程序112。替代于显示器,可以在其上打印了代码的互联网访问设备120上放置标签。作为另一替代方案,可以互联网接入设备120的序列号可以被用作为代码。例如通过在程序112和互联网访问设备120之间的通信中将该代码用作对称加密密钥,该代码可以用于保护连接。替代地,该代码可以至少部分地用于生成加密密钥,该加密密钥然后被用于对在程序112和互联网接入设备120之间的通信进行加密。使程序112和互联网接入设备120之间的连接安全可以防止设备110内的恶意代码干扰连接以隐藏MITM单元116的存在。例如,32个8位字符的字母数字代码对应于128位的长度。
因此,在图1的系统中,程序112具有穿过第一收发器114的与通信节点140的第一接口,并且程序112具有穿过第二收发器118的与互联网接入设备120的第二接口。
图2图示了根据本发明的至少一些实施例的第二系统。图2的系统与图1的系统共享元件,并且类似的编号表示图1中的类似结构。与图1不同,在图2中,第一接口和第二接口均穿过第一收发器114。详细而言,第二接口包括通信支路201A、201B和201C。第二接口可以包括分组连接,比如例如IP连接,其中互联网接入设备120是分组连接的端点。由于第二接口穿过第一收发器,所以第二接口也可以穿过MITM元件116。虽然在图2中未图示第二收发器118,但是在布置为如在此结合图2所描述的功能的实施例中,并不排除它的存在。
由于图2的实施例中的第二接口可以穿过MITM实体116,所以如上文结合图1所讨论的,可以用代码来保护第二接口。程序112可以向互联网接入设备120发信号来提醒网络接入设备120,程序120意图建立安全的分组连接,之后,互联网接入设备120可以经由第二接口向程序112发送通信节点140的加密证书的副本,该副本用代码或从该代码导出的共享密钥进行加密。由于MITM实体116不知道该代码,所以它不能篡改第二接口,详细而言,因为它不知道代码,所以它不能加密它用该代码创建的伪造证书。
在一些实施例中,第二接口虽然穿过MITM实体116,然而它可能没有用代码进行保护。这可能是有效的,因为在MITM实体116仅被配置为拦截诸如握手之类的特定密码协议的建立过程的情况下,MITM实体116 可能没有被配置为对在程序112和互联网访问设备120之间交换的消息进行反应。
总的来说,在图1和图2的实施例中,互联网接入设备120可以通过第二接口向程序112提供证书的副本,或者更一般地,提供关于证书的信息。关于证书的信息可以包括证书本身的副本、证书的至少一部分的哈希、或者已经签署了证书的签名机构的身份,或其组合。类似地,在图1或图 2的实施例中,响应于通过第一接口接收到的证书与通过第二接口接收到的关于证书的信息之间的不匹配,程序112可被配置为通过第二接口建立安全协议连接。这可以包括重新启动安全协议连接的建立,或通过经由第二接口向证书发送响应来完成已经启动的安全协议连接的建立。类似地,在图1和图2的实施例中,实体120可以更一般地包括网络接入设备,互联网接入设备是网络接入设备的示例。然而,本发明的原理也适用于不使用互联网的实施例。网络访问设备120可以在设备110的外部。
图3图示了能够支持本发明的至少一些实施例的示例设备。图示了设备300,其可以包括例如图1或图2的设备110。包含在设备300中的处理器310可以包括例如单核或多核处理器,其中,单核处理器包括一个处理核心,而多核处理器包括一个或多个处理核心。处理器310可以包括多于一个的处理器。例如,处理核心可以包括由ARM控股公司制造的Cortex-A8处理核心或由超微半导体公司(Advanced Micro Devices Corporation)生产的Steamroller处理核心。处理器310可以包括至少一个高通骁龙(Qualcomm Snapdragon)和/或因特尔酷睿(Intel Core)处理器。处理器310可以包括至少一个专用集成电路ASIC。处理器310可以包括至少一个现场可编程门阵列FPGA。处理器310可以是用于执行设备300中的方法步骤的部件。处理器310可以至少部分地由计算机指令来配置以执行动作。
设备300可以包括存储器320。存储器320可以包括随机存取存储器和/或永久存储器。存储器320可以包括至少一个RAM芯片。存储器320 可以包括例如固态、磁性、光学和/或全息存储器。存储器320可以至少部分地可被处理器310访问。存储器320可以是用于存储信息的部件。存储器320可以包括处理器310被配置为执行的计算机指令。当配置为致使处理器310执行某些动作的计算机指令被存储在存储器320中,并且设备300 整体被配置为使用来自存储器320的计算机指令在处理器310的指挥下运行时,处理器310和/或其至少一个处理核心的可被认为被配置为执行所述的某些动作。存储器320可以被至少部分地包括在处理器310中。存储器 320可以至少部分地在设备300的外部,但是可以被设备300访问。
设备300可以包括发送器330。设备300可以包括接收器340。发送器 330和接收器340可以被配置为分别根据至少一个蜂窝或非蜂窝标准来发送和接收信息。发送器330可以包括多于一个的发送器。接收器340可以包括多于一个的接收器。发送器和接收器的组合可以被称为收发器。发送器330和/或接收器340可以被配置为根据全球移动通信系统、GSM、宽带码分多址、WCDMA、长期演进、LTE、IS-95、无线局域网、WLAN、以太网和/或全球微波接入互操作性、WiMAX、标准等。
设备300可以包括近场通信NFC收发器350。NFC收发器350可以支持至少一种NFC技术,例如NFC、蓝牙、Wibree或类似技术。
设备300可以包括用户接口UI 360。UI 360可以包括显示器、键盘、触摸屏、被布置为通过致使设备300振动来向用户发信号的振动器、扬声器和麦克风中的至少一个。用户可以能够经由UI 360操作设备300,例如以浏览互联网或处理网络银行。
处理器310可以配备有发送器,其被布置成经由设备300内部的电引线从处理器310向设备300中包括的其他设备输出信息。这样的发送器可以包括串行总线发送器,其例如被布置成经由至少一个电引线将信息输出到存储器320以存储在存储器320中。替代于串行总线,发送器可以包括并行总线发送器。类似地,处理器310可以包括接收器,其被布置为经由设备300内部的电引线从设备300中包括的其他设备接收处理器310中的信息。这样的接收器可以包括串行总线接收器,其被布置为例如经由来自接收器340的至少一个电引线来接收信息以用于在处理器310中进行处理。作为串行总线的替代,接收器可以包括并行总线接收器。
设备300可以包括未在图3中图示的其他设备。例如,在设备300包括智能电话的情况下,其可以包括至少一个数字摄像头。一些设备300可以包括后置摄像头和前置摄像头,其中后置摄像头可用于数字摄影,前置摄像头可用于视频电话。设备300可以包括指纹传感器,其被布置为至少部分地认证设备300的用户。在一些实施例中,设备300缺少至少一个上述设备。例如,一些设备300可能缺少NFC收发器350。
处理器310、存储器320、发送器330、接收器340、NFC收发器350 和/或UI 360可以以多种不同的方式通过设备300内部的电引线互连。例如,上述每个设备可以分别连接到设备300内部的主总线,以允许设备交换信息。然而,如本领域技术人员将理解的,这仅是一个示例,并且取决于实施例,在不脱离本发明的范围的情况下,可以选择互连上述设备中的至少两个的各种方式。
图4图示了根据本发明的至少一些实施例的信令。按照图1和/或图2,程序112、MITM实体116、互联网接入设备120以及最后的通信节点140 从左到右在垂直轴上布置。在该图中,时间从顶部向底部前进。
在阶段410中,程序112可以发起与通信节点140的连接,比如例如安全协议连接。发起连接可以包括触发连接的建立过程。阶段410可以通过第一接口发生。在可选阶段420中,程序112可以例如通过第一接口或第二接口来提醒互联网接入设备120,将通过第一接口建立安全协议连接。作为响应,互联网接入设备120可以开始监视传入的加密证书。在存在的情况下,阶段420可以在阶段410之前或之后发生。在阶段420不存在的情况下,互联网接入设备120可以连续监视传入的加密证书。
在阶段430中,通信节点140向程序112发送其加密证书,其中,程序112将通过第一接口接收加密证书,但是MITM实体116被配置为拦截该消息,从而阻止程序112接收到该加密证书。响应地,在阶段440中, MITM实体440生成伪造证书,MITM实体116使用私钥对该伪造证书进行签名。在阶段460,MITM实体116将伪造证书作为来自通信节点140 的明显消息提供给程序112。
在阶段450中,互联网接入设备120检测到通信节点140的加密证书在阶段430在其朝向设备110的路径中穿过互联网接入设备120,程序112 在设备110上运行。互联网接入设备120存储加密证书的副本,并且在阶段470中,互联网接入设备120通过第二接口向程序112发送关于加密证书的信息,加密证书如上所述例如可以包括加密证书本身。
在阶段480中,程序112可以将通过第一接口在阶段460中接收到的证书与通过第二接口在阶段470中接收到的关于证书的信息进行比较。根据比较结果,例如如上所述,程序112可以中止安全协议连接的建立,完成通过第一接口建立安全协议连接,通过第二接口完成建立安全协议连接或者提醒用户。
图5是根据本发明的至少一些实施例的第一流程图。例如,所图示方法的各个阶段可以在设备110中被执行,或者在被配置为在植入设备110 时控制设备110的功能的控制装置中被执行。
阶段510包括由装置参与建立安全协议连接。该装置可以包括例如设备110。阶段520包括通过第一接口接收与安全协议连接的建立有关的证书。阶段530包括通过第二接口接收关于证书的信息。阶段530的接收可以与建立安全协议连接有关地发生。例如,接收可以在安全协议连接的建立期间进行,其可以包括在建立安全协议连接的握手过程期间发生该接收。该方法可以包括延迟安全协议连接的建立的完成,以等待关于证书的信息的接收。最后,阶段540包括将证书与有关证书的信息进行比较。参与安全协议连接的建立可以包括例如在安全协议连接的握手过程中,例如TLS 握手,执行客户端或服务器的角色。
图6是根据本发明的至少一些实施例的第二流程图。所图示方法的各个阶段可以例如在互联网接入设备120中执行,或者被配置为当植入互联网接入设备120时控制互联网接入设备120的功能的控制设备中执行。
阶段610包括通过装置在第一节点和第二节点之间中继消息,该消息涉及安全协议连接的建立。该装置可以包括例如互联网或网络接入设备 120。阶段620包括与安全协议连接的建立有关地从第二节点接收证书。最后,阶段630包括通过第一接口和通过第二接口从装置向第一节点提供证书。
应当理解,所公开的本发明的实施例不限于本文公开的特定结构,工艺步骤或材料,而是延伸到其相关领域的普通技术人员将认识到的等同物。还应当理解,本文采用的术语仅用于描述特定实施例的目的,而不是限制性的。
在整个说明书中对于一个实施例或实施例的参考意味着结合实施例描述的特定特征,结构或特性包括在本发明的至少一个实施例中。因此,贯穿本说明书的各处的短语“在一个实施例中”或“在实施例中”的出现不一定都指代相同的实施例。当使用诸如例如大约或基本上之类的术语对数值进行参考时,也公开了精确的数值。
如本文所使用的,为方便起见可以在公共列表中呈现多个项目、结构元件、组成元件和/或材料。但是,这些列表应该被解释为列表中的每个成员被单独标识为独立且唯一的成员。因此,仅基于在没有相反的指示的情况下它们在一个共同组中的呈现,这种列表的任何个别成员都不应该被理解为与同一列表中任何其他成员的事实上的等同物。此外,本发明的各种实施例和示例可以与其各种组分的替代方案一起提及。应当理解,这样的实施例,示例和替代方案不应被解释为彼此的事实上的等同物,而是被认为是本发明的单独和自主的表示。
此外,所描述的特征、结构或特性可以以任何合适的方式组合在一个或多个实施例中。在下面的描述中提供了许多具体细节,比如长度、宽度、形状等的示例,以提供对本发明实施例的透彻理解。然而,相关领域的技术人员将认识到,本发明可以在没有一个或多个具体细节的情况下实践,或者与其他方法、组件、材料等一起实践。在其他情况下,公知的结构、材料或操作没有详细示出或描述以避免模糊本发明的方面。
虽然上述示例在一个或多个特定应用中说明了本发明的原理,但是对于本领域普通技术人员来说显而易见的是,在不脱离本发明的原理和概念的情况下,不付出创造性的劳动就可以做出形式、用途和细节方面的许多修改。因此,除了以下所述的权利要求之外,并不意图限制本发明。
在本文档中,动词“包括”和“包含”被用作开放限制,其既不排除也不要求未引用的特征的存在。权利要求中记载的特征是相互可自由组合的,除非另有明确说明。此外,应当理解,贯穿本文档的单数形式“一个”或“一”的使用不排除多个。
工业实用性
本发明的至少一些实施例在增加通信安全性方面发现了工业应用。
缩略语列表
IETF 互联网工程任务组
IP 互联网协议
MITM 中间人攻击
Wi-Fi 无线局域网
WLAN 无线局域网
SSL 安全套接字层
TLS 传输层安全
参考标志列表
| 101A-E | 程序112和通信节点140之间的连接 |
| 102 | 互联网接入设备和第二收发器之间的连接 |
| 110 | 设备 |
| 112 | 程序 |
| 114 | 第一收发器 |
| 116 | MITM实体 |
| 118 | 第二收发器 |
| 120 | 互联网接入设备,更一般的指网络接入设备 |
| 130 | 网络 |
| 140 | 通信节点 |
| 201A-C | 图2实施例中的第二接口 |
| 300-360 | 图3设备的结构 |
| 410-480 | 图4方法的阶段 |
| 510-540 | 图5方法的阶段 |
| 610-640 | 图6方法的阶段 |
Claims (37)
1.一种装置,包括:至少一个处理核心、至少一个包括计算机程序代码的存储器,所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理核心一起致使所述装置至少:
参与安全协议连接的建立;
在所述安全协议连接的建立期间,通过第一接口接收证书;
通过第二接口接收关于所述证书的信息;以及
将所述证书与关于所述证书的信息进行比较,
其中,关于所述证书的信息在所述安全协议连接的建立期间接收,并且所述装置被配置为经由在所述装置外部的网络接入设备接收所述证书和关于所述证书的信息。
2.根据权利要求1所述的装置,其中,所述网络接入设备是以太网路由器。
3.根据权利要求1所述的装置,其中,所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理核心一起,致使所述装置提醒所述网络接入设备所述计算机程序代码刚刚发起所述安全协议连接的建立。
4.根据权利要求1所述的装置,其中,所述第二接口包括与所述网络接入设备的连接,所述第二接口穿过第二收发器。
5.根据权利要求1所述的装置,其中,所述第二接口包括与所述网络接入设备的基于分组的连接,所述第二接口穿过第一收发器。
6.根据权利要求5所述的装置,其中,与所述网络接入设备的所述基于分组的连接由共享秘密保护。
7.根据权利要求6所述的装置,其中,所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理核心一起,致使所述装置接收作为来自用户的输入的所述共享秘密。
8.根据权利要求1所述的装置,其中,所述安全协议连接包括传输层安全连接。
9.根据权利要求1所述的装置,其中,所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理核心一起,致使所述装置验证所述证书和关于所述证书的所述信息中的至少一个的加密签名。
10.根据权利要求1所述的装置,其中,所述装置被配置为:
至少部分地作为对关于所述证书的信息与所述证书一致的确定的响应,完成所述安全协议连接的建立。
11.根据权利要求1-10中任一项所述的装置,其中,所述装置被配置为:
响应于关于所述证书的信息被确定为与所述证书不一致,参与通过第二接口建立所述安全协议连接。
12.一种装置,包括至少一个处理核心、至少一个包括计算机程序代码的存储器,所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理核心一起致使所述装置至少:
在第一节点和第二节点之间中继消息,所述消息与安全协议连接的建立有关,所述第一节点和所述第二节点在所述装置的外部;
在所述安全协议连接的建立期间,从所述第二节点接收证书;
其中,所述装置被配置为在所述安全协议连接的建立期间,通过第一接口并且通过第二接口向所述第一节点提供所述证书,以使得所述第一节点能够将它通过所述第一接口接收的证书与所述第一节点通过所述第二接口接收的证书进行比较。
13.根据权利要求12所述的装置,其中,所述装置是被配置为向所述第一节点提供网络接入的以太网路由器。
14.根据权利要求12所述的装置,其中,所述第一接口包括所述第一节点和所述第二节点之间的互联网协议连接的支路。
15.根据权利要求12所述的装置,其中,所述第二接口包括与所述第一节点的短程无线电接口。
16.根据权利要求12所述的装置,其中,所述第二接口包括与所述第一节点的基于分组的连接,所述装置是与所述第一节点的基于所述分组的连接的端点。
17.根据权利要求12-16中任一项所述的装置,其中,所述安全协议连接包括传输层安全连接。
18.一种用于证书验证的方法,包括:
由装置来参与安全协议连接的建立;
在所述安全协议连接的建立期间,通过第一接口接收证书;
通过第二接口接收关于所述证书的信息;以及
将所述证书与关于所述证书的信息进行比较,
其中,关于所述证书的信息在所述安全协议连接的建立期间接收,并且所述证书和关于所述证书的信息经由在所述装置外部的网络接入设备接收。
19.根据权利要求18所述的方法,其中,所述网络接入设备是以太网路由器。
20.根据权利要求18所述的方法,还包括致使所述装置提醒所述网络接入设备计算机程序代码刚刚发起所述安全协议连接的建立。
21.根据权利要求18所述的方法,其中,所述第二接口包括与所述网络接入设备的连接,所述第二接口穿过第二收发器。
22.根据权利要求18所述的方法,其中,所述第二接口包括与所述网络接入设备的基于分组的连接,所述第二接口穿过第一收发器。
23.根据权利要求22所述的方法,其中,与所述网络接入设备的基于所述分组的连接由共享秘密保护。
24.根据权利要求23所述的方法,还包括致使所述装置接收作为来自用户的输入的所述共享秘密。
25.根据权利要求18所述的方法,其中,所述安全协议连接包括传输层安全连接。
26.根据权利要求18所述的方法,还包括致使所述装置验证所述证书和关于所述证书的信息中的至少一个的加密签名。
27.根据权利要求18-26中任一项所述的方法,其中,所述装置被配置为:
至少部分地作为对关于所述证书的信息与所述证书一致的确定的响应,完成所述安全协议连接的建立。
28.一种用于证书验证的方法,包括:
由装置在第一节点和第二节点之间中继消息,所述消息与安全协议连接的建立有关,所述第一节点和所述第二节点在所述装置的外部;
在所述安全协议连接建立期间,接收来自所述第二节点的证书;
其中,所述证书在所述安全协议连接建立期间通过第一接口并且通过第二接口向所述第一节点提供,以使得所述第一节点能够将它通过所述第一接口接收的证书与所述第一节点通过所述第二接口接收的证书进行比较。
29.根据权利要求28所述的方法,其中,所述装置是被配置为向所述第一节点提供网络接入的以太网路由器。
30.根据权利要求28所述的方法,其中,所述第一接口包括在所述第一节点和所述第二节点之间的互联网协议连接的支路。
31.根据权利要求28所述的方法,其中,所述第二接口包括与所述第一节点的短程无线电接口。
32.根据权利要求28所述的方法,其中,所述第二接口包括与所述第一节点的基于分组的连接,所述装置是与所述第一节点的基于所述分组的连接的端点。
33.根据权利要求28-32中任一项所述的方法,其中,所述安全协议连接包括传输层安全连接。
34.一种装置,包括:
用于参与安全协议连接的建立的部件;
用于在所述安全协议连接的建立期间通过第一接口接收证书的部件;
用于通过第二接口接收关于所述证书的信息的部件;以及
用于将所述证书与关于所述证书的信息进行比较的部件,
其中,关于所述证书的信息在所述安全协议连接的建立期间接收,并且所述装置被配置为经由在所述装置外部的网络接入设备接收所述证书和关于所述证书的信息。
35.一种装置,包括:
用于在第一节点和第二节点之间中继消息的部件,所述消息与安全协议连接的建立有关,所述第一节点和所述第二节点在所述装置的外部;
用于在所述安全协议连接建立期间,接收来自所述第二节点的证书的部件;
其中,所述装置被配置为在所述安全协议连接的建立期间,通过第一接口并且通过第二接口从所述装置向所述第一节点提供证书,以使得所述第一节点能够将它通过所述第一接口接收的证书与所述第一节点通过所述第二接口接收的证书进行比较。
36.一种非暂时性计算机可读介质,其上存储有一组计算机可读指令,所述计算机可读指令当由至少一个处理器执行时使装置执行权利要求18至27中任一项所述的方法的步骤。
37.一种非暂时性计算机可读介质,其上存储有一组计算机可读指令,所述计算机可读指令在由至少一个处理器执行时使装置执行权利要求28至33中任一项所述的方法的步骤。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/FI2015/050273 WO2016170222A1 (en) | 2015-04-21 | 2015-04-21 | Certificate verification |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107534555A CN107534555A (zh) | 2018-01-02 |
| CN107534555B true CN107534555B (zh) | 2021-04-06 |
Family
ID=57142903
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580079062.9A Active CN107534555B (zh) | 2015-04-21 | 2015-04-21 | 一种用于证书验证的方法及装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10944577B2 (zh) |
| EP (1) | EP3286874B1 (zh) |
| CN (1) | CN107534555B (zh) |
| WO (1) | WO2016170222A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3286874B1 (en) * | 2015-04-21 | 2022-08-03 | Nokia Technologies Oy | Certificate verification |
| JP7208707B2 (ja) * | 2017-02-17 | 2023-01-19 | キヤノン株式会社 | 情報処理装置及びその制御方法とプログラム |
| US11418352B2 (en) * | 2018-02-21 | 2022-08-16 | Akamai Technologies, Inc. | Certificate authority (CA) security model in an overlay network supporting a branch appliance |
| EP3804263A1 (en) * | 2018-06-01 | 2021-04-14 | Nokia Technologies Oy | A method for message filtering in an edge node based on data analytics |
| US12041450B2 (en) * | 2022-01-18 | 2024-07-16 | Okta, Inc. | Computer network-based service for generation and installation of digital certificates of a public key infrastructure seamlessly integrating with multiple mobile device management systems |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7111162B1 (en) * | 2001-09-10 | 2006-09-19 | Cisco Technology, Inc. | Load balancing approach for scaling secure sockets layer performance |
| CN101299667A (zh) * | 2008-06-05 | 2008-11-05 | 华为技术有限公司 | 一种认证方法、系统、客户端设备和服务器 |
| KR101316059B1 (ko) * | 2011-11-24 | 2013-10-18 | 숭실대학교산학협력단 | 인증서 검증 장치 및 방법, 그리고 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체 |
| CN104301107A (zh) * | 2013-07-17 | 2015-01-21 | 阿瓦亚公司 | 经由相应WebRTC数据信道验证WebRTC媒体信道私密性的方法、系统 |
Family Cites Families (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7848940B1 (en) * | 1999-11-15 | 2010-12-07 | Priceline.Com Incorporated | Method, system and apparatus to facilitate conditional purchase orders with bounce back functionality |
| US7505426B2 (en) * | 2000-12-29 | 2009-03-17 | Tropos Networks | Multi-channel mesh network |
| GB2386522B (en) | 2002-03-14 | 2005-04-27 | Livedevices Ltd | Improvements relating to secure internet communication with small embedded devices |
| US20030231627A1 (en) | 2002-06-04 | 2003-12-18 | Rajesh John | Arbitration logic for assigning input packet to available thread of a multi-threaded multi-engine network processor |
| US7392375B2 (en) | 2002-09-18 | 2008-06-24 | Colligo Networks, Inc. | Peer-to-peer authentication for real-time collaboration |
| US7814538B2 (en) * | 2005-12-13 | 2010-10-12 | Microsoft Corporation | Two-way authentication using a combined code |
| US8984280B2 (en) | 2007-02-16 | 2015-03-17 | Tibco Software Inc. | Systems and methods for automating certification authority practices |
| US8315951B2 (en) * | 2007-11-01 | 2012-11-20 | Alcatel Lucent | Identity verification for secure e-commerce transactions |
| US8214890B2 (en) * | 2008-08-27 | 2012-07-03 | Microsoft Corporation | Login authentication using a trusted device |
| US8561181B1 (en) | 2008-11-26 | 2013-10-15 | Symantec Corporation | Detecting man-in-the-middle attacks via security transitions |
| US8677466B1 (en) * | 2009-03-10 | 2014-03-18 | Trend Micro Incorporated | Verification of digital certificates used for encrypted computer communications |
| US9602499B2 (en) * | 2009-04-07 | 2017-03-21 | F-Secure Corporation | Authenticating a node in a communication network |
| US8140900B2 (en) * | 2009-06-15 | 2012-03-20 | Nokia Corporation | Establishing a connection between a testing and/or debugging interface and a connector |
| US9215220B2 (en) * | 2010-06-21 | 2015-12-15 | Nokia Solutions And Networks Oy | Remote verification of attributes in a communication network |
| US8984562B2 (en) * | 2011-01-13 | 2015-03-17 | Verizon Patent And Licensing Inc. | Method and apparatus for interacting with a set-top box using widgets |
| US8763097B2 (en) * | 2011-03-11 | 2014-06-24 | Piyush Bhatnagar | System, design and process for strong authentication using bidirectional OTP and out-of-band multichannel authentication |
| US8843740B2 (en) * | 2011-12-02 | 2014-09-23 | Blackberry Limited | Derived certificate based on changing identity |
| US9026789B2 (en) * | 2011-12-23 | 2015-05-05 | Blackberry Limited | Trusted certificate authority to create certificates based on capabilities of processes |
| CN104115464B (zh) * | 2012-02-22 | 2017-09-29 | 诺基亚通信公司 | 控制访问 |
| US20130282903A1 (en) * | 2012-04-20 | 2013-10-24 | Research In Motion Limited | Method, system and apparatus for accessing a communications network |
| US9363240B2 (en) * | 2012-08-30 | 2016-06-07 | Excalibur Ip, Llc | Method and system for reducing network latency |
| US9077546B1 (en) * | 2012-11-27 | 2015-07-07 | Symnatec Corporation | Two factor validation and security response of SSL certificates |
| US9088555B2 (en) * | 2012-12-27 | 2015-07-21 | International Business Machines Corporation | Method and apparatus for server-side authentication and authorization for mobile clients without client-side application modification |
| US8966659B2 (en) | 2013-03-14 | 2015-02-24 | Microsoft Technology Licensing, Llc | Automatic fraudulent digital certificate detection |
| US20140298415A1 (en) * | 2013-03-28 | 2014-10-02 | Research In Motion Limited | Method and system for providing connectivity for an ssl/tls server behind a restrictive firewall or nat |
| FI125146B (fi) * | 2013-04-22 | 2015-06-15 | Elisa Oyj | Autentikointimenetelmä |
| US9112854B1 (en) * | 2013-09-11 | 2015-08-18 | Amazon Technologies, Inc. | Secure communication between applications on untrusted platforms |
| US9628333B2 (en) | 2013-12-04 | 2017-04-18 | International Business Machines Corporation | Operating a dual chipset network interface controller (‘NIC’) that includes a high performance media access control chipset and a low performance media access control chipset |
| US9143504B1 (en) * | 2013-12-23 | 2015-09-22 | Emc Corporation | Secure communication infrastructure |
| US9455979B2 (en) * | 2014-07-31 | 2016-09-27 | Nok Nok Labs, Inc. | System and method for establishing trust using secure transmission protocols |
| US10219310B2 (en) * | 2014-12-12 | 2019-02-26 | Alcatel Lucent | WiFi boost with LTE IP anchor |
| EP3286874B1 (en) * | 2015-04-21 | 2022-08-03 | Nokia Technologies Oy | Certificate verification |
-
2015
- 2015-04-21 EP EP15889784.3A patent/EP3286874B1/en active Active
- 2015-04-21 US US15/566,741 patent/US10944577B2/en active Active
- 2015-04-21 WO PCT/FI2015/050273 patent/WO2016170222A1/en active Application Filing
- 2015-04-21 CN CN201580079062.9A patent/CN107534555B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7111162B1 (en) * | 2001-09-10 | 2006-09-19 | Cisco Technology, Inc. | Load balancing approach for scaling secure sockets layer performance |
| CN101299667A (zh) * | 2008-06-05 | 2008-11-05 | 华为技术有限公司 | 一种认证方法、系统、客户端设备和服务器 |
| KR101316059B1 (ko) * | 2011-11-24 | 2013-10-18 | 숭실대학교산학협력단 | 인증서 검증 장치 및 방법, 그리고 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체 |
| CN104301107A (zh) * | 2013-07-17 | 2015-01-21 | 阿瓦亚公司 | 经由相应WebRTC数据信道验证WebRTC媒体信道私密性的方法、系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10944577B2 (en) | 2021-03-09 |
| EP3286874A1 (en) | 2018-02-28 |
| US20180139059A1 (en) | 2018-05-17 |
| EP3286874A4 (en) | 2018-12-19 |
| EP3286874B1 (en) | 2022-08-03 |
| CN107534555A (zh) | 2018-01-02 |
| WO2016170222A1 (en) | 2016-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10097525B2 (en) | System, apparatus and method for generating dynamic IPV6 addresses for secure authentication | |
| EP2950506B1 (en) | Method and system for establishing a secure communication channel | |
| Shen et al. | Secure key establishment for device-to-device communications | |
| EP3051744B1 (en) | Key configuration method and apparatus | |
| TWI514896B (zh) | 可信賴聯合身份方法及裝置 | |
| EP3205048B1 (en) | Generating a symmetric encryption key | |
| CN107534555B (zh) | 一种用于证书验证的方法及装置 | |
| WO2020174121A1 (en) | Inter-mobile network communication authorization | |
| EP3108633B1 (en) | Key management | |
| US10135618B2 (en) | Method for using dynamic Public Key Infrastructure to send and receive encrypted messages between software applications | |
| EP2399376A1 (en) | User authentication | |
| WO2016018714A1 (en) | Apparatus and method for sharing a hardware security module interface in a collaborative network | |
| EP2717539B1 (en) | Method and system for hypertext transfer protocol digest authentication | |
| US10356090B2 (en) | Method and system for establishing a secure communication channel | |
| BRPI0418366B1 (pt) | Sistema e método para gerar chaves de sessão reproduzíveis | |
| CN101183942A (zh) | 基于客户端证书的安全会话认证方法及设备 | |
| CN104735037A (zh) | 一种网络认证方法、装置及系统 | |
| US9356931B2 (en) | Methods and apparatuses for secure end to end communication | |
| CN109756324A (zh) | 一种Mesh网络中的密钥协商方法、终端及网关 | |
| Wanda et al. | Efficient data security for mobile instant messenger | |
| WO2016003310A1 (en) | Bootstrapping a device to a wireless network | |
| JP2005323149A (ja) | 無線通信システム | |
| WO2016176902A1 (zh) | 一种终端认证方法、管理终端及申请终端 | |
| Nayak et al. | An application for end to end secure messaging service on Android supported device | |
| US11791994B1 (en) | Quantum cryptography in an internet key exchange procedure |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |