CN113498058A - 客户端隐私保护会话恢复 - Google Patents

客户端隐私保护会话恢复 Download PDF

Info

Publication number
CN113498058A
CN113498058A CN202110157699.2A CN202110157699A CN113498058A CN 113498058 A CN113498058 A CN 113498058A CN 202110157699 A CN202110157699 A CN 202110157699A CN 113498058 A CN113498058 A CN 113498058A
Authority
CN
China
Prior art keywords
salt
server
identifier
threshold
communication session
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110157699.2A
Other languages
English (en)
Inventor
马塞尔·梅德韦德
斯特芬·勒姆斯泽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NXP BV
Original Assignee
NXP BV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NXP BV filed Critical NXP BV
Publication of CN113498058A publication Critical patent/CN113498058A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

各种实施例涉及一种用于通过装置恢复与服务器的安全通信会话的方法和系统,包括:向请求恢复安全通信会话的所述服务器发送消息;从所述服务器接收服务器标识符、服务器随机数和盐;基于所述服务器标识符确定所述装置与所述服务器具有共享密钥;确定接收到的盐是有效的;基于所述共享密钥和所述盐计算加盐标识符;向所述服务器发送所述加盐标识符;并且恢复与所述服务器的所述安全通信会话。

Description

客户端隐私保护会话恢复
技术领域
本文中所公开的各种示例性实施例大体上涉及在通信会话恢复期间保护客户端隐私。
背景技术
如今,密钥建立和认证通常是通过使用非对称密码来进行的,尤其是在管理密钥成为负担的情况下。然而,与此同时,非对称协议可能代表了用于包括无线连接的自组织连接的不必要长的认证阶段。各种通信协议包括恢复机制,其中使用已建立的对称密码密钥来恢复安全通信会话,而无需重复非对称防议。
发明内容
下文呈现各种示例性实施例的概述。在以下概述中可能进行了一些简化和省略,其意在突出并介绍各种示例性实施例的一些方面,但不限制本发明的范围。将在后续部分呈现足以允许本领域的普通技术人员产生并使用本发明概念的示例性实施例的详细描述。
各种实施例涉及一种用于通过装置恢复与服务器的安全通信会话的方法和系统,包括:向请求恢复安全通信会话的所述服务器发送消息;从所述服务器接收服务器标识符、服务器随机数和盐(salt);基于所述服务器标识符确定所述装置与所述服务器具有共享密钥;确定接收到的盐是有效的;基于所述共享密钥和所述盐计算加盐标识符;向所述服务器发送所述加盐标识符;并且恢复与所述服务器的所述安全通信会话。
描述了各种实施例,其中确定接收到的盐是有效的另外包括:确定所述盐大于或等于盐阈值T;并且将T值更新为所述盐的增加值。
描述了各种实施例,其中确定接收到的盐是有效的另外包括:确定所述盐大于或等于盐阈值T且计数器小于计数器阈值;增加所述计数器;当所述盐大于所述盐阈值T时,将所述盐阈值T设置为等于所述盐并将所述计数器设置为0;并且当所述计数器等于所述计数器阈值时,增加所述盐阈值T并将所述计数器设置为0。
描述了各种实施例,其中确定接收到的盐是有效的另外包括:确定所述盐大于或等于盐阈值T;当所述盐大于所述盐阈值T时,将所述盐阈值T设置为等于所述盐并将当前时间设置为0;并且当所述当前时间大于或等于时间阈值时,执行非对称相互认证。
描述了各种实施例,另外包括建立新会话密钥。
描述了各种实施例,其中所述加盐标识符是所述盐和所述共享密钥的散列。
另外的各种实施例涉及一种用于通过服务器恢复与装置的安全通信会话的方法,包括:将加盐标识符存储在服务器数据库中,其中所述加盐标识符基于共享密钥和盐;从请求恢复安全通信会话的所述装置接收消息;向所述装置发送服务器标识符、服务器随机数和所述盐,并且其中所述盐是有效盐;从所述装置接收加盐标识符;确定接收到的加盐标识符在服务器数据库中存在匹配;并且恢复与所述装置的所述安全通信会话。
描述了各种实施例,其中基于所述盐增加的策略更新所述盐。
描述了各种实施例,其中每进行N次事务所述盐就会增加,其中N是大于或等于1的整数。
描述了各种实施例,其中所述盐在过了指定时间段之后增加。
描述了各种实施例,另外包括建立新会话密钥。
描述了各种实施例,其中所述加盐标识符是所述盐和所述共享密钥的散列。
另外的各种实施例涉及一种被配置成恢复与服务器的安全通信会话的装置,包括:存储器;以及耦合到所述存储器的处理器,其中所述处理器另外被配置成:向请求恢复安全通信会话的所述服务器发送消息;从所述服务器接收服务器标识符、服务器随机数和盐;基于所述服务器标识符确定所述装置与所述服务器具有共享密钥;确定接收到的盐是有效的;基于所述共享密钥和所述盐计算加盐标识符;向所述服务器发送所述加盐标识符;并且恢复与所述服务器的所述安全通信会话。
描述了各种实施例,其中确定接收到的盐是有效的另外包括:确定所述盐大于或等于盐阈值T;并且将T值更新为所述盐的增加值。
描述了各种实施例,其中确定接收到的盐是有效的另外包括:确定所述盐大于或等于盐阈值T且计数器小于计数器阈值;增加所述计数器;当所述盐大于所述盐阈值T时,将所述盐阈值T设置为等于所述盐并将所述计数器设置为0;并且当所述计数器等于所述计数器阈值时,增加所述盐阈值T并将所述计数器设置为0。
描述了各种实施例,其中确定接收到的盐是有效的另外包括:确定所述盐大于或等于盐阈值T;当所述盐大于所述盐阈值T时,将所述盐阈值T设置为等于所述盐并将当前时间设置为0;并且当所述当前时间大于或等于时间阈值时,执行非对称相互认证。
描述了各种实施例,其中所述处理器另外被配置成建立新会话密钥。
描述了各种实施例,其中所述加盐标识符是所述盐和所述共享密钥的散列。
另外的各种实施例涉及一种被配置成恢复与装置的安全通信会话的服务器,包括:存储器;耦合到所述存储器的处理器,其中所述处理器另外被配置成:将加盐标识符存储在服务器数据库中,其中所述加盐标识符基于共享密钥和盐;从请求恢复安全通信会话的所述装置接收消息;向所述装置发送服务器标识符、服务器随机数和所述盐;从所述装置接收加盐标识符;确定接收到的加盐标识符在服务器数据库中存在匹配;并且恢复与所述装置的所述安全通信会话。
描述了各种实施例,其中基于所述盐增加的策略更新所述盐。
描述了各种实施例,其中每进行N次事务所述盐就会增加,其中N是大于或等于1的整数。
描述了各种实施例,其中所述盐在过了指定时间段之后增加。
描述了各种实施例,其中所述处理器另外被配置成建立新会话密钥。
描述了各种实施例,其中所述加盐标识符是所述盐和所述共享密钥的散列。
附图说明
为了更好地理解各种示例性实施例,可以参考附图,在附图中:
图1示出用于恢复无线装置与服务器之间的安全通信会话的流程图;并且
图2示出用于在如上文所描述的无线装置或服务器上实施恢复方法的示例性硬件图。
为了便于理解,相同的附图标记已用于指代具有基本上相同或类似结构和/或基本上相同或类似功能的元件。
具体实施方式
描述和图式示出了本发明的原理。因此将了解,本领域的技术人员将能够设计各种布置,尽管本文中未明确地描述或示出所述布置,但所述布置体现本发明的原理且包括在本发明的范围内。此外,本文中所引述的所有例子主要旨在明确地用于教学目的,以帮助读者理解本发明的原理和由发明人提供的用以深化本领域的概念,并且所有例子应视为并不限于此类特定引述的例子和条件。另外,如本文中所使用,除非另有指示(例如,“或另外”或“或在替代方案中”),否则术语“或”是指非排他性的或(即,和/或)。同样,本文中所描述的各种实施例不一定相互排斥,因为一些实施例可以与一个或多个其它实施例组合以形成新的实施例。
本文中将描述客户端隐私保护会话恢复机制的实施例。如今,密钥建立和认证通常是通过使用非对称密码来进行的,其中非对称密码用于安全地交换通常使用对称密码协议的会话密钥。在管理密钥变成负担的情况下,例如在使用因特网或无线通信信道来建立无线装置的用户与服务器之间的安全通信会话的情况下,使用非对称密码。然而,非对称协议表示用于例如安全无线连接的自组织连接的不必要的长认证阶段。恢复机制使用对称协议来安全地恢复安全连接。在无线情况下,因特网协议(IP)地址不可用于恢复与服务器的连接,但无线装置需要对区域进行探测以标识可用于与所述区域连接的服务器。一旦发现服务器,服务器就需要标识自身。然后,无线装置确定自身是否知道服务器,并且所述无线装置可以向服务器传输与所述服务器的先前会话的标识符并试图恢复与所述服务器的之前的连接。如果没有会话标识符,则服务器无法恢复与无线装置的连接。会话标识符需要以明文形式安全发送,使得无线装置是可跟踪的,因为在会话恢复前这一标识符可能需要被多次发送。另外,例如传输层安全性(TLS)版本1.3(广泛用于web浏览、电子邮件、即时消息、IP承载语音等)中的当前通信会话恢复机制无法在此类自组织无线设置中确保无线装置隐私。本文中将描述可以克服这一问题的会话恢复机制的实施例。
假设已经以隐私保护方式在无线装置与服务器之间建立了会话,并且无线装置和服务器两者已经就共享对称密钥达成约定。双方均希望将来能使用这一密钥恢复会话,而不必再次进行昂贵的非对称认证过程。
此类特征的广泛使用的例子是TLS 1.3会话恢复。与先前的TLS版本相比,TLS版本1.3提供了改进的隐私性。这是通过使用两个特征来实现的。首先,恢复票证(ticket)以加密形式通过已建立的信道从服务器发送到客户端。以此方式,攻击者无法直接将当前会话链接到将来的恢复握手。其次,对将在恢复握手期间以明文传输的票证期进行模糊处理。
然而,稍后传输到服务器的数据还包含静态票证标识符。在无线情境下,无线装置不一定必须寻址特定的服务器/站(例如,通过域名),恶意攻击者可能很容易就能探测到无线装置的票证并对其进行跟踪。应注意,TLS建议票证仅使用一次,但检查多次使用是服务器的任务,而恶意服务器不会进行所述检查。最后,由于无线连接的易失性性质,单次使用票证可能因网络中断等原因而不必要地增加对作为回退机制(fallback mechanism)的非对称认证的需求。
因此,需要以随机方式发送会话恢复标识符,使得服务器仍可以恢复指示会话恢复标识符的数据。这一问题可以通过无线装置生成盐并向服务器发送恢复标识符的加盐散列和盐来克服。以此方式,攻击者无法使无线装置的不同答复像来自同一无线装置一样彼此相关。然后,服务器可以使用盐来对所述服务器存储在其恢复标识符数据库中的每一恢复标识符进行散列。然后,服务器可以将从无线装置接收到的散列恢复标识符与其数据库中的恢复标识符的散列进行比较,以确定是否存在与无线装置的先前会话和使用哪一会话密钥来恢复通信会话。此方法的一个问题在于,恢复标识符的完整数据库必须进行散列和检索直到发现匹配为止。
此方法会在服务器端施加大量的计算开销,以找到相应的恢复标识符。为了解决这一难题,服务器可以保存盐。例如,服务器根据其中盐值增加的策略定期更新盐。这可以包括每N次事务或一旦过了指定时间段后就逐渐增加盐。这一盐随后用于对服务器在其数据库中保存的所有恢复标识符进行散列。然后,当服务器从无线装置接收散列恢复标识符时,其仅需要在数据库中查找就能找到(或视具体情况而定可能会找不到)相应的恢复标识符。此数据库查找比上文所描述的数据库检索快得多。在恢复过程期间,服务器与无线装置共享盐。
当服务器选择盐时,恶意服务器可能会一遍遍地向无线装置发送相同的盐。这可能会导致无线装置可被跟踪,因为无线装置响应在相同的盐用于每一响应的情况下将始终相同。另外,部署了保护机制以防止服务器滥用其选择盐的能力,而这同样会妨碍无线装置的隐私。
图1示出用于恢复无线装置与服务器之间的安全通信会话的流程图。恢复方法100开始于105,无线装置发送请求建立安全通信会话以用于与服务器通信的消息,并且无线装置向服务器110发送装置随机数。在此消息中,无线装置指示其是否想要恢复先前会话以及其是否想要更新对称密钥。
服务器从无线装置接收请求,并确定无线装置是否已请求恢复先前会话115。如果无线装置请求恢复,则服务器用服务器标识符、服务器随机数和盐S 120作出答复。如果没有请求恢复,则服务器将仅建立基于Diffie-Hellman的短暂的安全通信信道,并继续与无线装置155进行非对称相互认证以建立安全通信会话。在此情况下,服务器将不会使用明文清楚地发送其服务器标识符。
一旦无线装置接收服务器标识符、服务器随机数和盐,无线装置就基于服务器标识符125检查其是否具有用于与服务器进行通信的共享密钥K。如果没有,则所述无线装置执行与无线装置155的非对称相互认证。
如果无线装置具有用于与服务器进行通信的共享密钥K,则无线装置检查服务器提供的盐S是否符合下文关于与K 130一起存储的盐阈值T描述的要求。如果没有,则所述无线装置执行与无线装置155的非对称相互认证。
如果接收到的盐S符合指定要求,则无线装置例如通过计算散列H(S,K)135来计算密钥K的加盐标识符。
当无线装置请求新会话密钥时,无线装置可以基于服务器随机数、无线装置随机数、盐S和密钥K 140建立新会话密钥。这可以通过使用密钥导出函数KDF(K,S|device_nonce|server_nonce)来完成,其中密钥导出函数可以是在无线装置与服务器之间约定的任何类型的密钥导出函数。
无线装置用加盐标识符和无线装置随机数145作出答复,并且无线装置可以使用新会话密钥(如果请求的话)或现有会话密钥来开始加密会话。
服务器接收加盐标识符和无线装置随机数,并在其数据库150中查找加盐标识符。如果找到加盐标识符,则在无线装置请求了新会话密钥的情况下,服务器还可以计算新会话密钥,或使用先前建立的密钥并参与加密会话。恢复方法随后在160结束。
如果无线装置请求更新对称密钥,则无线装置和服务器均更新其存储的密钥值K。
无线装置需要实行一种防止恶意攻击者进行探测的策略。具体地,无线装置需要采取措施来阻止值S的不当重放。因此,在已经发送加盐标识符之后,无线装置需要对从服务器接收的盐S执行检查。现将描述由无线装置使用盐阈值T来检查从服务器接收的盐值的有效性的三种不同方法。当装置和服务器就密钥K达成约定时,可以在第一会话建立期间建立T值。与此同时,服务器还发送其当前S值。S可以是由服务器定期(例如,每5分钟或每100次事务)增加的整数。届时,服务器还将更新其加盐散列数据库。所述装置将其值T设置为接收到的值S。
在第一种方法中,无线装置确定是否S≥T。如果是,则对T作出如下更新:T=S+1。如果S不大于或等于T,则对盐S的检查失败,并且如上文所描述,无线装置与无线装置执行非对称相互认证。此方法允许单次使用给定盐值,由此阻止攻击者使用之前的服务器响应的重放,因为随着盐阈值和盐改变,之前的服务器响应的重放会被拒绝。
第二种方法引入计数器(Counter)和计数器阈值(Counter_Threshold)。计数器计算当前盐值已使用的次数。计数器阈值对盐值可以使用的次数作出限制。可以使用以下伪码来描述第二种方法:
Figure BDA0002933916670000081
如伪码中所示,无线装置确定是否S≥T且是否Counter<Counter_Threshold。如果是,则计数器增加1。另外,如果S>T,则T会更新为S值,且Counter复位到零。同样,如果Counter等于Counter_Threshold,则T增加一(或另一约定值)且Counter的值设置为0。如在第一种方法中,如果S不大于或等于T,则对盐S的检查失败,并且如上文所描述,无线装置与无线装置执行非对称相互认证。此方法允许多次使用给定盐值,最多可以使用到由Counter_Threshold指定的预定次数。由此,如果攻击者重放之前的服务器响应以跟踪无线装置,则其仅能进行有限的次数。一旦攻击者探测无线装置且无线装置达到Counter_Threshold,盐就将发生变化且之前的服务器响应的重放会被拒绝,由此攻击者跟踪不到无线装置。
第三种方法引入时间阈值(Time_Threshold)。Time_Threshold为何时盐有效提供时间限制。这意味着无线装置和服务器可以跟踪绝对或流逝时间,然后将所述时间与时间阈值进行比较以验证当前盐的有效性。可以使用以下伪码来描述第三种方法:
Figure BDA0002933916670000091
如伪码中所示,无线装置确定是否S≥T。如果是,则无线装置确定是否S>T,且如果是,则T会更新为S值且Current_Time设置为0。如果Current_Time大于或等于Time_Threshold,则无线装置与无线装置执行非对称相互认证。如在第一种方法中,如果S不大于或等于T,则对盐S的检查失败,并且如上文所描述,无线装置与无线装置执行非对称相互认证。此方法允许在基于Time_Threshold的指定时间周期内多次使用给定盐值。由此,如果攻击者重放之前的服务器响应以跟踪无线装置,则其仅能在有限时间范围这样做。一旦攻击者探测无线装置且时间范围到期,盐就将发生变化且之前的服务器响应的重放会被拒绝,由此攻击者跟踪不到无线装置。
在另一实施例中,当盐无效时,无线装置可以通知服务器盐值无效,但提供其自身的盐值。然后,服务器将需要使用由客户端提供的盐来计算现有会话密钥的加盐散列,并基于由无线装置提供的盐来检索所有这些计算的散列以找到匹配。如上文所论述,此步骤将仍需要大量计算,但仅在存在连接问题或装置尝试连接的频率高于服务器更新其数据库的频率时才会发生,并且与执行非对称相互认证相比,此步骤可能需要更少的计算。例如,如果数据库条目的数量较少,则与执行非对称相互认证相比,更新数据库条目可能会采取更少的计算。因此,服务器可以确定数据库条目的数量,然后基于阈值决定是否更新数据库或执行非对称相互认证。
在另一实施例中,如上文所描述的在会话恢复方法中交换的无线装置随机数和服务器装置随机数已经是短暂的Diffie-Hellman公钥。以此方式,如果无线决定需要回退到非对称认证协议,则其可能已经通过使用Diffie-Hellman密钥交换来导出共享密钥,从而以加密方式进行答复。
描述了用于具有无线装置和服务器的无线通信系统中的恢复方法,但本文中所公开的恢复方法不限于与无线装置一起使用。所述恢复方法也可以用于任何其它通信系统中,其中装置需要质询多个服务器以在攻击者可能有权访问通信信道并试图跟踪装置时恢复安全通信会话。
图2示出用于在如上文所描述的无线装置或服务器上实施恢复方法的示例性硬件图200。如图所示,装置200包括通过一个或多个系统总线210互连的处理器220、存储器230、用户接口240、网络接口250和存储装置260。应理解,在一些方面中,图2构成抽象图,并且装置200的组件的实际组织可能比所示出的更加复杂。
处理器220可以是能够执行存储在存储器230或存储装置260中的指令或以其它方式处理数据的任何硬件装置。因而,所述处理器可以包括微处理器、微控制器、图形处理单元(GPU)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)或其它类似装置。
存储器230可以包括各种存储器,例如,L1、L2或L3高速缓冲存储器或系统存储器。因而,存储器230可以包括静态随机存取存储器(SRAM)、动态RAM(DRAM)、快闪存储器、只读存储器(ROM),或其它类似存储器装置。
用户接口240可以包括用于根据需要实现与用户的通信的一个或多个装置。例如,用户接口240可以包括显示器、触摸接口、鼠标和/或键盘以用于接收用户命令。在一些实施例中,用户接口240可以包括可以通过网络接口250呈现给远程终端的命令行接口或图形用户接口。
网络接口250可以包括用于实现与其它硬件装置的通信的一个或多个装置。例如,网络接口250可以包括被配置成根据以太网协议或其它通信协议(包括无线协议)进行通信的网络接口卡(NIC)。另外,网络接口250可以实施TCP/IP堆栈以根据TCP/IP协议进行通信。用于网络接口250的各种替代或另外的硬件或配置将会显而易见。
存储装置260可以包括一个或多个机器可读存储介质,例如只读存储器(ROM)、随机存取存储器(RAM)、磁盘存储介质、光学存储介质、快闪存储器装置或类似存储介质。在各种实施例中,存储装置260可以存储用于由处理器220执行的指令,或可以存储数据,处理器220可以对所述数据进行操作。例如,存储装置260可以存储用于控制硬件200的各种基本操作的基本操作系统261。存储装置262可以包括用于实施上文所描述的恢复方法的指令。
很明显,描述为存储在存储装置260中的各种信息可以另外或替代地存储在存储器230中。在这方面,存储器230也可以被视为构成“存储装置”,并且存储装置260可以被视为“存储器”。各种其它布置将会显而易见。另外,存储器230和存储装置260都可以被视为“非暂时性机器可读介质”。如本文中所使用,术语“非暂时性”将被理解为不包括暂时信号但包括所有形式的存储装置,包括易失性存储器和非易失性存储器两者。
虽然主机装置200示出为包括每一所描述的组件中的一个组件,但在各种实施例中,各种组件可以重复。例如,处理器220可以包括多个微处理器,所述微处理器被配置成独立地执行本文中所描述的方法或被配置成执行本文中所描述的方法的步骤或子例程,使得多个处理器配合以实现本文中所描述的功能性。另外,当在云计算系统中实施装置200时,各种硬件组件可以属于单独的物理系统。例如,处理器220可以包括在第一服务器中的第一处理器和在第二服务器中的第二处理器。
本文中所描述的恢复系统和方法提供了一种技术解决方案,用于在攻击者有权访问通信信道时提高试图与服务器恢复安全通信会话的装置的用户的隐私。此类攻击者可能会试图从服务器向装置重放消息,以便基于装置对明显有效消息的答复而跟踪所述装置。本文中所描述的恢复系统和方法使用有助于确定服务器所使用的盐是否有效的变化的盐值和阈值。此变化的盐值能防止攻击者有效地使用重放攻击来跟踪装置,由此损害装置的隐私。
在处理器上运行以实施本发明的实施例的特定软件的任何组合构成特定专门机器。
如本文中所使用,术语“非暂时性机器可读存储介质”将理解为排除暂时传播信号但包括所有形式的易失性存储器和非易失性存储器。
本领域的技术人员应了解,本文中任何框图表示体现本发明原理的示意性电路系统的概念图。
尽管已特定参考各种示例性实施例的特定示例性方面详细地描述各种示例性实施例,但应理解,本发明能够容许其它实施例,且能够容许在各种显而易见的方面修改本发明的细节。如本领域的技术人员容易显而易见的,可以实现变化和修改,同时保持在本发明的精神和范围内。因此,前述公开内容、描述和附图仅出于说明目的,并且不以任何方式限制本发明,本发明仅由权利要求书限定。

Claims (10)

1.一种用于通过装置恢复与服务器的安全通信会话的方法,其特征在于,包括:
向请求恢复安全通信会话的所述服务器发送消息;
从所述服务器接收服务器标识符、服务器随机数和盐;
基于所述服务器标识符确定所述装置与所述服务器具有共享密钥;
确定接收到的盐是有效的;
基于所述共享密钥和所述盐计算加盐标识符;
向所述服务器发送所述加盐标识符;并且
恢复与所述服务器的所述安全通信会话。
2.根据权利要求1所述的方法,其特征在于,确定接收到的盐是有效的另外包括:
确定所述盐大于或等于盐阈值T;并且
将T值更新为所述盐的增加值。
3.根据权利要求1所述的方法,其特征在于,确定接收到的盐是有效的另外包括:
确定所述盐大于或等于盐阈值T且计数器小于计数器阈值;
增加所述计数器;
当所述盐大于所述盐阈值T时,将所述盐阈值T设置为等于所述盐并将所述计数器设置为0;并且
当所述计数器等于所述计数器阈值时,增加所述盐阈值T并将所述计数器设置为0。
4.根据权利要求1所述的方法,其特征在于,确定接收到的盐是有效的另外包括:
确定所述盐大于或等于盐阈值T;
当所述盐大于所述盐阈值T时,将所述盐阈值T设置为等于所述盐并将当前时间设置为0;并且
当所述当前时间大于或等于时间阈值时,执行非对称相互认证。
5.根据权利要求1所述的方法,其特征在于,另外包括建立新会话密钥。
6.根据权利要求1所述的方法,其特征在于,所述加盐标识符是所述盐和所述共享密钥的散列。
7.一种用于通过服务器恢复与装置的安全通信会话的方法,其特征在于,包括:
将加盐标识符存储在服务器数据库中,其中所述加盐标识符基于共享密钥和盐;
从请求恢复安全通信会话的所述装置接收消息;
向所述装置发送服务器标识符、服务器随机数和所述盐,并且其中所述盐是有效盐;
从所述装置接收加盐标识符;
确定接收到的加盐标识符在服务器数据库中存在匹配;并且
恢复与所述装置的所述安全通信会话。
8.根据权利要求7所述的方法,其特征在于,基于所述盐增加的策略更新所述盐。
9.一种被配置成恢复与服务器的安全通信会话的装置,其特征在于,包括:
存储器;以及
耦合到所述存储器的处理器,其中所述处理器另外被配置成:
向请求恢复安全通信会话的所述服务器发送消息;
从所述服务器接收服务器标识符、服务器随机数和盐;
基于所述服务器标识符确定所述装置与所述服务器具有共享密钥;
确定接收到的盐是有效的;
基于所述共享密钥和所述盐计算加盐标识符;
向所述服务器发送所述加盐标识符;并且
恢复与所述服务器的所述安全通信会话。
10.一种被配置成恢复与装置的安全通信会话的服务器,其特征在于,包括:
存储器;
耦合到所述存储器的处理器,其中所述处理器另外被配置成:
将加盐标识符存储在服务器数据库中,其中所述加盐标识符基于共享密钥和盐;
从请求恢复安全通信会话的所述装置接收消息;
向所述装置发送服务器标识符、服务器随机数和所述盐;
从所述装置接收加盐标识符;
确定接收到的加盐标识符在服务器数据库中存在匹配;并且
恢复与所述装置的所述安全通信会话。
CN202110157699.2A 2020-04-03 2021-02-04 客户端隐私保护会话恢复 Pending CN113498058A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/839,719 2020-04-03
US16/839,719 US11412373B2 (en) 2020-04-03 2020-04-03 Client privacy preserving session resumption

Publications (1)

Publication Number Publication Date
CN113498058A true CN113498058A (zh) 2021-10-12

Family

ID=75252492

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110157699.2A Pending CN113498058A (zh) 2020-04-03 2021-02-04 客户端隐私保护会话恢复

Country Status (3)

Country Link
US (2) US11412373B2 (zh)
EP (1) EP3890269A1 (zh)
CN (1) CN113498058A (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114244522B (zh) * 2021-12-09 2024-05-03 山石网科通信技术股份有限公司 信息保护方法、装置、电子设备及计算机可读存储介质

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020071563A1 (en) * 2000-12-12 2002-06-13 Kurn David Michael Method and apparatus for cryptographic key rollover during operation
US7509495B2 (en) * 2003-07-10 2009-03-24 Cinnober Financial Technology, Ab Authentication protocol
AU2004305800A1 (en) * 2003-09-12 2005-03-31 Emc Corporation System and method providing disconnected authentication
US20070061571A1 (en) * 2005-09-09 2007-03-15 Hammes Peter S System and method for managing security testing
US7865730B2 (en) * 2006-01-30 2011-01-04 Kronos Technology Systems Limited Partnership Bcencryption (BCE)—a public-key based method to encrypt a data stream
US8156332B2 (en) * 2007-05-29 2012-04-10 Apple Inc. Peer-to-peer security authentication protocol
US9294281B2 (en) * 2012-02-10 2016-03-22 Microsoft Technology Licensing, Llc Utilization of a protected module to prevent offline dictionary attacks
US9935951B2 (en) * 2012-07-18 2018-04-03 TapLink, Inc. Remote blind hashing
US9021269B2 (en) * 2012-07-18 2015-04-28 TapLink, Inc. Blind hashing
US8880885B2 (en) * 2012-10-09 2014-11-04 Sap Se Mutual authentication schemes
US9736131B2 (en) * 2013-09-24 2017-08-15 Cellco Partnership Secure login for subscriber devices
US9077710B1 (en) * 2013-12-18 2015-07-07 Sabaki Corporation Distributed storage of password data
US9536067B1 (en) * 2014-01-01 2017-01-03 Bryant Christopher Lee Password submission without additional user input
US20150278545A1 (en) * 2014-03-28 2015-10-01 Aruba Networks, Inc. Anonymization of client data
US9380054B2 (en) * 2014-04-18 2016-06-28 Cellco Partnership Application signing
US9590950B2 (en) * 2014-04-18 2017-03-07 Locality Systems Inc. Source based anonymity and segmentation for visitors
US9722976B1 (en) * 2015-02-26 2017-08-01 Sonus Networks, Inc. Methods and apparatus for synchronizing decryption state with remote encryption state
US10380098B1 (en) * 2015-09-30 2019-08-13 EMC IP Holding Company LLC Fine-grained shared multi-tenant de-duplication system
US10873458B2 (en) * 2016-04-28 2020-12-22 Arnold G. Reinhold System and method for securely storing and utilizing password validation data
US10057065B2 (en) * 2016-04-28 2018-08-21 Arnold G. Reinhold System and method for securely storing and utilizing password validation data
US20190327310A1 (en) * 2016-12-09 2019-10-24 Nutanix, Inc. Efficient approach for achieving session failover for http traffic in a scale out web tier using a shared salt
EP3528150A1 (en) * 2018-02-14 2019-08-21 OneSpan NV A system, apparatus and method for privacy preserving contextual authentication
US10546444B2 (en) * 2018-06-21 2020-01-28 Capital One Services, Llc Systems and methods for secure read-only authentication

Also Published As

Publication number Publication date
US11412373B2 (en) 2022-08-09
US20210314769A1 (en) 2021-10-07
US11770700B2 (en) 2023-09-26
US20220330016A1 (en) 2022-10-13
EP3890269A1 (en) 2021-10-06

Similar Documents

Publication Publication Date Title
Weimerskirch et al. A distributed light-weight authentication model for ad-hoc networks
US9338150B2 (en) Content-centric networking
Li et al. A secure chaotic maps and smart cards based password authentication and key agreement scheme with user anonymity for telecare medicine information systems
CN109600226B (zh) 基于随机数隐式协商的tls协议会话密钥还原方法
EP3639498B1 (en) Certificate pinning in highly secure network environments using public key certificates obtained from a dhcp (dynamic host configuration protocol) server
CN101815294B (zh) P2p网络的接入认证方法、设备和系统
US10277576B1 (en) Diameter end-to-end security with a multiway handshake
CN113626802B (zh) 一种设备密码的登录验证系统及方法
JP2017130923A (ja) 無線ネットワークにおける高速、安全且つプライバシーフレンドリーなインターネット接続検出の方法
EP3895111A1 (en) System and method for secure sensitive data storage and recovery
KR20150135032A (ko) Puf를 이용한 비밀키 업데이트 시스템 및 방법
Chen et al. A practical authentication protocol with anonymity for wireless access networks
Nam et al. Mitigating ARP poisoning-based man-in-the-middle attacks in wired or wireless LAN
US9118487B1 (en) Asymmetric encryption scheme with expiring revocable certificates having a predefined validity period
CN116318678A (zh) 一种多因子物联网终端动态群组接入认证方法
US11770700B2 (en) Client privacy preserving session resumption
Shen et al. A secure and practical RFID ownership transfer protocol based on Chebyshev polynomials
CN112968910B (zh) 一种防重放攻击方法和装置
CN110784318B (zh) 群密钥更新方法、装置、电子设备、存储介质及通信系统
Sheffer et al. Internet key exchange protocol version 2 (IKEv2) session resumption
KR20210126319A (ko) 키 관리 장치 및 방법
Elamathi et al. Enhanced secure communication over inter-domain routing in heterogeneous wireless networks based on analysis of BGP anomalies using soft computing techniques
Qi VSPAKE: Provably secure verifier-based PAKE protocol for client/server model in TLS ciphersuite
Gupta et al. Security mechanisms of Internet of things (IoT) for reliable communication: a comparative review
CN115150176B (zh) 防重放攻击方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination