CN116455561A - 用于轻量装置的嵌入式tls协议 - Google Patents
用于轻量装置的嵌入式tls协议 Download PDFInfo
- Publication number
- CN116455561A CN116455561A CN202310046805.9A CN202310046805A CN116455561A CN 116455561 A CN116455561 A CN 116455561A CN 202310046805 A CN202310046805 A CN 202310046805A CN 116455561 A CN116455561 A CN 116455561A
- Authority
- CN
- China
- Prior art keywords
- server
- public key
- digital certificate
- key
- client device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 63
- 230000004044 response Effects 0.000 claims abstract description 21
- 238000004891 communication Methods 0.000 claims description 17
- 238000004422 calculation algorithm Methods 0.000 claims description 9
- 238000003860 storage Methods 0.000 description 33
- 230000015654 memory Effects 0.000 description 31
- 230000006870 function Effects 0.000 description 10
- 238000012545 processing Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 6
- 238000004590 computer program Methods 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000005236 sound signal Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Algebra (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本公开涉及用于轻量装置的嵌入式TLS协议。本公开涉及对安全信道建立的改进。在一些方面中,本文中所描述的技术涉及一种方法,其包含:由客户端装置向服务器发布建立安全连接的请求;由所述客户端装置从所述服务器接收对建立安全连接的所述请求的响应,所述响应包含与由所述服务器存储的公钥相关联的数字证书,所述公钥用以建立对称密钥;由所述客户端装置验证所述数字证书;以及由所述客户端装置使用由所述服务器存储的所述公钥和由所述客户端装置生成的私钥来计算共享秘密。
Description
技术领域
本文中所公开的至少一些实施例大体上涉及半导体装置,并且尤其涉及使用密码术改进半导体装置之间的安全通信。
背景技术
一些存储器装置可存储密码密钥以执行密码操作。在安全通信会话期间,可能需要会话双方来执行各种不对称密码操作(例如,密钥生成、加密、解密等)。当一个装置为低功率的或缺乏资源时,此类操作可能是不可行的或不可能的。
发明内容
在一个方面,本公开涉及一种方法,其包括:由客户端装置向服务器发布建立安全连接的请求;由所述客户端装置从所述服务器接收对建立安全连接的所述请求的响应,所述响应包含与由所述服务器存储的公钥相关联的数字证书,所述公钥用以建立对称密钥;由所述客户端装置验证所述数字证书;以及由所述客户端装置使用由所述服务器存储的所述公钥和由所述客户端装置生成的私钥来计算共享秘密。
在另一方面,本公开涉及一种装置,其包括:处理器,其被配置成:向服务器发布建立安全连接的请求;从所述服务器接收对建立安全连接的所述请求的响应,所述响应包含与由所述服务器存储的公钥相关联的数字证书,所述公钥用以建立对称密钥;验证所述数字证书;以及使用由所述服务器存储的所述公钥和由所述装置生成的私钥来计算共享秘密。
附图说明
图1是根据一些范例性实施例的存储器装置的框图。
图2是示出根据一些范例性实施例的用于建立安全信道的方法的流程图。
图3是示出根据一些范例性实施例的存储器系统的框图。
图4是示出根据一些范例性实施例的计算装置的框图,其展示计算装置的范例性实施例。
具体实施方式
在传输层安全性(TLS)会话中,两个装置同意加密密钥对在会话期间传输的数据进行加密和解密。在一些实施例中,此加密密钥包括由客户端和服务器独立地生成的共享(通常对称)密钥。因而,共享密钥不能够被第三方拦截。
在建立TLS会话的期间,进行握手程序,其中装置传送允许其生成共享密钥的信息。可使用两个密钥交换算法Diffie-Hellman(DH)和椭圆曲线DH(ECDH),并且可使用两个算法Rivest-Shamir-Adleman(RSA)和椭圆曲线数字签名算法(ECDSA)来认证通信。此类协议在建立安全信道时通常依赖于所存储的私钥数据。私钥的存储可能较昂贵且易于发生无意的或归因于恶意行为者的数据泄漏。为了补救这些问题,可使用短暂DH(DHE)密钥交换协议。DHE与DH的不同之处在于,DHE利用用于每一连接的临时私钥。因此,在给定握手期间使用的私钥从未重复使用,从而允许前向安全性(即,如果服务器的长期私钥泄漏,过去的通信仍安全)。
在DHE握手期间,装置在彼此之间传输数据。响应于起始消息(例如,ClientHello),服务器将传输响应消息(例如,ServerHello),所述响应消息包含数字证书、DH参数(例如,G、N和Gx)以及使用DH参数生成的数字签名。在一些实施例中,数字证书可包括针对ECDSA密钥对而生成的证书。在一些实施例中,服务器生成具有与SSL证书中的ECDSA公钥相对应的ECDSA私钥的数字签名。使用服务器响应中的数字证书,客户端可确认服务器正使用恰当的公钥。此外,客户端可通过使用数字证书中的公钥验证数字签名(针对DH参数)来确认服务器持有恰当的私钥。
在验证服务器的身份之后,客户端将其自身的DH参数发送到服务器。因此,在此阶段,客户端和服务器两者具有两个(客户端、服务器)DH参数的副本。根据这两个DH参数,客户端和服务器可独立地生成预主秘密。最后,客户端和服务器可使用预主秘密、客户端随机和服务器随机独立地生成会话密钥。会话密钥可随后用于在会话期间在两个方向上加密数据。
虽然DHE握手协议实现前向安全性和安全通信,但这些益处是有代价的。具体地说,不对称密码术的使用在计算上昂贵且需要不可忽略的计算能力。虽然此类成本可为高功率装置(例如,商业服务器、膝上型计算机、台式计算机等)可承受的,但轻量装置通常不具有有效地执行此类操作的资源。举例来说,物联网(IoT)装置通常具有最小存储容量和较慢的处理元件。不对称密码操作(例如,加密、解密、签名验证等)通常可消耗所有这些资源或相当大的部分。在最差情况下,此类装置仅不可执行不对称密码术操作且将未能建立安全会话。在此情境下,此类装置可恢复到不安全通信信道(因此暴露数据)或可仅停止响应。给定许多IoT装置的关键性质(例如,在医疗、制造或类似环境中),此类故障可能很严重。
因而,需要允许与轻量装置进行安全通信,同时保持例如DHE密钥交换协议等安全协议的益处。
以下实施例修改TLS握手以减少建立安全连接所需的不对称加密操作的数目。具体地说,服务器装置存储椭圆曲线密钥交换算法(ECDH)公钥-私钥对,并且生成和/或存储用于ECDH密钥对的数字证书。当响应于ClientHello或类似消息时,服务器包含ECDH证书而不是ECDSA证书(或类似证书)。客户端接着可使用ECDH证书来获得服务器的公共ECDH密钥。ECDH证书还可充当服务器的数字签名。客户端接着可使用服务器的ECDH公钥来生成对称密钥,并且服务器还可独立地生成相同对称密钥。
在一些方面中,本文中所描述的技术涉及一种方法,其包含:由客户端装置向服务器发布建立安全连接的请求;由所述客户端装置从所述服务器接收对建立安全连接的所述请求的响应,所述响应包含与由所述服务器存储的公钥相关联的数字证书,所述公钥用以建立对称密钥;由所述客户端装置验证所述数字证书;以及由所述客户端装置使用由所述服务器存储的所述公钥和由所述客户端装置生成的私钥来计算共享秘密。
在一些方面中,本文中所描述的技术涉及一种方法,其中建立安全连接的所述请求包含使用TLS协议的ClientHello消息。
在一些方面中,本文中所描述的技术涉及一种方法,其中由所述服务器存储的所述公钥包含ECDH公钥。
在一些方面中,本文中所描述的技术涉及一种方法,其中与由所述服务器存储的公钥相关联的所述数字证书是由受信任证书颁发中心签署。
在一些方面中,本文中所描述的技术涉及一种方法,其进一步包含生成用于与由所述客户端装置生成的所述私钥相对应的客户端公钥的第二数字证书,以及在验证从所述服务器接收的所述数字证书之后将所述第二数字证书传输到所述服务器。
在一些方面中,本文中所描述的技术涉及一种方法,其进一步包含由所述客户端装置使用所述共享秘密来加密会话通信。
在一些方面中,本文中所描述的技术涉及一种非暂时性计算机可读存储介质,所述非暂时性计算机可读存储介质用于有形地存储能够由计算机处理器执行的计算机程序指令,所述计算机程序指令限定以下步骤:由客户端装置向服务器发布建立安全连接的请求;由所述客户端装置从所述服务器接收对建立安全连接的所述请求的响应,所述响应包含与由所述服务器存储的公钥相关联的数字证书,所述公钥用以建立对称密钥;由所述客户端装置验证所述数字证书;以及由所述客户端装置使用由所述服务器存储的所述公钥和由所述客户端装置生成的私钥来计算共享秘密。
在一些方面中,本文中所描述的技术涉及一种非暂时性计算机可读存储介质,其中建立安全连接的所述请求包含使用TLS协议的ClientHello消息。
在一些方面中,本文中所描述的技术涉及一种非暂时性计算机可读存储介质,其中由所述服务器存储的所述公钥包含ECDH公钥。
在一些方面中,本文中所描述的技术涉及一种非暂时性计算机可读存储介质,其中与由所述服务器存储的公钥相关联的所述数字证书是由受信任证书颁发中心签署。
在一些方面中,本文中所描述的技术涉及一种非暂时性计算机可读存储介质,其进一步包含生成用于与由所述客户端装置生成的所述私钥相对应的客户端公钥的第二数字证书,以及在验证从所述服务器接收的所述数字证书之后将所述第二数字证书传输到所述服务器。
在一些方面中,本文中所描述的技术涉及一种非暂时性计算机可读存储介质,其进一步包含由所述客户端装置使用所述共享秘密来加密会话通信。
在一些方面中,本文中所描述的技术涉及一种装置,其包含:处理器,其被配置成:向服务器发布建立安全连接的请求;从所述服务器接收对建立安全连接的所述请求的响应,所述响应包含与由所述服务器存储的公钥相关联的数字证书,所述公钥用以建立对称密钥;验证所述数字证书;以及使用由所述服务器存储的所述公钥和由所述客户端装置生成的私钥来计算共享秘密。
在一些方面中,本文中所描述的技术涉及一种装置,其中建立安全连接的所述请求包含使用TLS协议的ClientHello消息。
在一些方面中,本文中所描述的技术涉及一种装置,其中由所述服务器存储的所述公钥包含ECDH公钥。
在一些方面中,本文中所描述的技术涉及一种装置,其中与由所述服务器存储的公钥相关联的所述数字证书是由受信任证书颁发中心签署。
在一些方面中,本文中所描述的技术涉及一种装置,所述处理器进一步被配置成生成用于与由所述客户端装置生成的所述私钥相对应的客户端公钥的第二数字证书,并且在验证从所述服务器接收的所述数字证书之后将所述第二数字证书传输到所述服务器。
图1是根据一些范例性实施例的计算装置的框图。
在所示出的实施例中,计算装置100包含处理器102、网络接口104、存储装置106、密钥生成器112和物理不可克隆函数114。在所示出的实施例中,计算装置100可被配置成执行图2中所描述的所有操作中的一些操作,所述操作在本文中不再重复。在一些实施例中,计算装置100可包括如在图2的描述中所使用的客户端或服务器。
在实施例中,存储装置106存储包含但不限于密钥108和证书110的数据。在一些实施例中,存储装置106可包括安全存储装置,例如硬件安全模块(HSM)。替代地或结合前述内容,存储装置106可包括通用存储装置,其具有用于安全存储的专用区域(例如,受写入保护的区域)。在一些实施例中,存储装置106可存储其它不敏感数据(例如,用户数据、操作系统等)。在一些实施例中,存储装置106可包括快闪存储器装置或类似的永久性存储装置。
在实施例中,密钥108可包括不对称密钥对。在一些实施例中,不对称密钥对可包括ECDH密钥对。在一些实施例中,可在制造存储装置106或计算装置100期间将ECDH密钥对写入到存储装置106。替代地,在一些实施例中,计算装置100可生成其自身的ECDH密钥。在一些实施例中,可安全地存储ECDH密钥对的私钥,而公钥部分可存储在任何存储区域中。
在实施例中,证书110包括数字证书。在一些实施例中,可由证书颁发中心(CA)或类似的受信任方来颁发数字证书。在一些实施例中,数字证书可为自签名的。在一些实施例中,数字证书可与密钥108中的密钥对相关联。在一些实施例中,可将数字证书存储在安全位置中。替代地或结合前述内容,可将数字证书存储在计算装置100的任何存储区域中。
在实施例中,密钥生成器112可被配置成生成密钥。在一些实施例中,密钥生成器112可生成不对称和对称密钥和密钥对两者,包含ECDH密钥对。密钥生成器112可实施用于生成密钥的任何安全算法。在一些实施例中,密钥生成器112可使用由物理不可克隆函数114提供的值来生成密钥。
在一个实施例中,计算装置100可包含物理不可克隆函数114。在所示出的实施例中,物理不可克隆函数114可包括物理硬件电路,所述物理硬件电路利用在制造期间引入的固有随机性以给予物理实体唯一“指纹”或信任锚。在所示出的实施例中,物理不可克隆函数114产生一致且可重复的值。在一些实施例中,物理不可克隆函数114可包括实施于计算装置100上的静态随机存取存储器(SRAM)、物理不可克隆函数(PUF)、延迟PUF或任何其它PUF技术。在所示出的实施例中,密钥生成器112可从物理不可克隆函数114读取PUF值且在密钥生成期间将PUF值用作种子值。在一些实施例中,密钥生成器112可写入(或覆写)密钥108。
在所示出的实施例中,处理器102可被配置成处置TLS握手。也就是说,处理器102可被配置成存取密钥108和证书110以生成封包以供在握手过程期间传输到外部装置。在实施例中,处理器102可经由网络接口104与其它此类装置通信。完成TLS握手的细节提供于图2中且在本文中不再重复。
图2是示出根据一些范例性实施例的用于建立安全信道的方法200的流程图。
在步骤202中,方法200可包含客户端装置将消息传输到服务器。在实施例中,在步骤202中的消息可包含发布ClientHello消息以起始TLS握手。在一些实施例中,所述消息可包含协议版本、随机值(被称作“客户端随机”)和密码套件列表。在一些实施例中,密码套件列表可包含识别使用ECDH证书交换的特殊密码套件串。
在步骤204中,方法200读取数字证书,并且在步骤206中将数字证书传输到客户端装置。
在一些实施例中,数字证书可包括与同服务器相关联的ECDH密钥对相关联的数字证书(被称作ECDH数字证书)。
如本文中所使用,ECDH密钥对包括使用输入参数集合而生成的公钥和私钥。输入参数的实例可包括有限域中一致同意的椭圆曲线的域参数,例如针对域(p)定义的素数、曲线系数(a,b)、生成器点G、椭圆曲线(n)的次序以及椭圆曲线(h)的辅因子。在一些实施例中,这些输入参数可形成命名曲线的部分。在一些实施例中,私钥部分(d)可包括在范围[0,n)内的随机数。在一些实施例中,公钥部分(Q)可计算为d*G。对于双方(例如,客户端和服务器),输入参数可以纯文本共享,并且每一装置可在客户端处独立地生成ECDH密钥对(dc,Qc)且在服务器处独立地生成ECDH密钥对(ds,Qs)。
在一些实施例中,ECDH密钥对可包括预生成的ECDH密钥对。在其它实施例中,可以特用方式(例如,按需)生成ECDH密钥对。在一些实施例中,ECDH密钥对可生成和/或存储在以通信方式耦合到服务器的存储装置(例如,快闪存储装置)中。在一些实施例中,此存储装置可将ECDH密钥对存储在安全位置(例如,硬件安全模块、受写入保护的存储器等)中以防止篡改。
在一些实施例中,ECDH数字证书可包括X.509数字证书。在一些实施例中,ECDH数字证书可包含指示包含在数字证书中的密钥的使用可用于密钥协定的字段。举例来说,当实施为X.509证书时,密钥使用位串可被配置成指示用于密钥协定的公钥的使用。举例来说,可将密钥使用位串中的位位置四可被设定为一。
在一些实施例中,ECDH数字证书可由服务器(或服务器信任的另一计算装置)生成。具体地说,服务器的拥有者可使计算装置生成证书签名请求(CSR)且将CSR发布到可生成ECDH数字证书的CA。在一些实施例中,可使用自签名的ECDH数字证书。在一些实施例中,ECDH数字证书可由除服务器或ECDH密钥对存储装置的拥有者以外的实体生成。在一些实施例中,ECDH数字证书可存储在存储器装置的安全位置中。然而,在其它实施例中,ECDH数字证书可存储在对于服务器来说方便的任何位置中。
在一些实施例中,在步骤204中,方法200可另外在数字证书旁边包含其它数据。举例来说,方法200可传输选定密码套件和随机值(被称作“服务器随机”)。在一些实施例中,可以纯文本将服务器随机传输到客户端装置。在替代性实施例中,方法200可传输服务器随机作为单独传输(未示出)而非与数字证书一起传输。在又一替代方案中,方法200可将服务器随机包含为数字证书的额外表达,这防止篡改服务器随机值。
在步骤208中,方法200可包含验证ECDH数字证书。在一些实施例中,客户端可验证ECDH数字证书。在实施例中,客户端可使用生成数字证书的CA的公钥来验证ECDH数字证书。在验证ECDH数字签名之后,客户端可读取ECDH公钥。在验证ECDH数字签名之后,在步骤210中客户端可将其自身的DH参数(例如,公钥)以纯文本传输到服务器。
在步骤210之后,方法200可包含分别在步骤212A和步骤212B中独立地生成预主秘密的客户端和服务器。
具体地说,客户端使用其私钥和从ECDH数字证书提取的公钥来生成预主秘密,而服务器使用其私钥和客户端的DH参数来生成预主秘密。在一些实施例中,步骤212A和步骤212B两者可独立地进一步包含在客户端和服务器处独立地生成会话密钥。任何会话密钥生成算法(例如,AES)可用于生成会话密钥,前提是在TLS握手期间一致同意所述会话密钥。
如上文所论述,在步骤210中,客户端具有dc,Qc,和Qs的明文版本,而服务器具有ds,Qs,和Qc的明文版本。在步骤210中,客户端可将预主秘密计算为dc*Qs,而服务器可将预主秘密计算为ds*Qc。给定通过强行攻击计算ds或dc的复杂性,方法200可以纯文本并且在没有如现有DHE协议中的额外加密操作的情况下传输对应公钥。此外,当传输公钥时,数字证书用于验证Qs的真实性。
在步骤214中,方法200可包含客户端和服务器,两者均向彼此指示成功地生成会话密钥。在此确认之后,在步骤216中,方法200可包含使用会话密钥加密和解密数据以及在客户端与服务器之间传送数据。
虽然前述实施例利用TLS,但相同方法可同等地应用于相互TLS(mTLS)会话。具体地说,客户端可被配置成在步骤208之后(例如,类似于步骤204和步骤206)生成其自身的ECDH数字证书并将其传输到服务器。服务器可随后被配置成验证客户端的ECDH数字证书且继续进行以生成预主秘密。
与方法200相比,现有TLS握手程序通常在响应消息中(例如,在步骤206中)返回较高层级数字证书。举例来说,服务器可返回ECDSA证书,因为底层ECDSA密钥对用于在安全信道上加密/解密消息。仅在此证书交换(和验证)之后为从服务器发送到客户端的ECDH密钥。然而,值得注意的是,在现有TLS握手中,以使用ECDSA私钥加密的加密形式传输任何ECDH密钥。
具体来说,在DHE密钥交换的现有实施方案中,服务器必须用被验证的TLS证书(含有例如ECDSA公共加密密钥)答复。随后,服务器传输第二消息,所述第二消息包含加密的服务器侧DH参数(以及加密的客户端随机和服务器随机)以证实私用加密密钥的所有权。这接着需要客户端对第二消息进行解密以获得服务器的DH参数。因此,客户端必须执行两个不对称密码术操作:验证TLS证书且接着解密服务器的DH参数。
前述方法去除对用于ECDH密钥交换中的DH参数的解密。
前述实施例极大地减少服务器装置所需的处理。具体地说,在短暂密钥交换算法握手的现有实施方案中,服务器将通常以SSL证书作出响应。
图3是示出根据本公开的一些实施例的存储器系统的框图。
如图3中所示出,计算系统300包含经由总线304以通信方式耦合到存储器装置302的主机处理器310。存储器装置302包括控制器306,所述控制器经由接口312以通信方式耦合到形成存储器阵列的一或多个存储器组(例如,组308A、组308B、组308C、组308D、组308N等)。如所示出,控制器306包含本地高速缓存器314、固件316和ECC模块318。
在所示出的实施例中,主机处理器310可包括任何类型的计算机处理器,例如中央处理单元(CPU)、图形处理单元(GPU)或其它类型的通用或专用计算装置。主机处理器310包含允许在主机处理器310与存储器装置302之间传输地址、用户和控制数据的一或多个输出端口。在所示出的实施例中,经由总线304执行此通信。在一个实施例中,总线304包括输入/输出(I/O)总线或类似类型的总线。
存储器装置302负责管理一或多个存储器组(例如,组308A、组308B、组308C、组308D、组308N等)。在一个实施例中,存储器组(例如,组308A、组308B、组308C、组308D、组308N等)包括NAND快闪裸片或非易失性存储器的其它配置。在一个实施例中,存储器组(例如,组308A、组308B、组308C、组308D、组308N等)包括存储器阵列。
存储器组(例如,组308A、组308B、组308C、组308D、组308N等)由控制器306管理。在一些实施例中,控制器306包括计算装置,所述计算装置被配置成调解进出组(例如,组308A、组308B、组308C、组308D、组308N等)的存取。在一个实施例中,控制器306包括安装在容纳存储器组(例如,组308A、组308B、组308C、组308D、组308N等)的印刷电路板上的ASIC或其它电路系统。在一些实施例中,控制器306可与存储器组(例如,组308A、组308B、组308C、组308D、组308N等)物理上分离。控制器306通过接口312与存储器组(例如,组308A、组308B、组308C、组308D、组308N等)通信。在一些实施例中,此接口312包括物理上有线的(例如,带迹线的)接口。在其它实施例中,接口312包括用于与存储器组(例如,组308A、组308B、组308C、组308D、组308N等)通信的标准总线。
控制器306包括各种模块,包含本地高速缓存器314、固件316和ECC模块318。在一个实施例中,各种模块(例如,本地高速缓存器314、固件316和ECC模块318)包括各种物理上不同的模块或电路。在其它实施例中,所述模块(例如,本地高速缓存器314、固件316和ECC模块318)可完全(或部分)在软件或固件中实施。
如所示出,固件316包括控制器的核心且管理控制器306的所有操作。固件316可实施上文所描述的方法中的一些或全部。具体地说,固件316可实施前述图式中所描述的方法。
图4是示出计算装置400的框图,其展示用于本公开的各种实施例中的计算装置的范例性实施例。
计算装置400可包含比图4中所展示的更多或更少的组件。举例来说,服务器计算装置可不包含音频接口、显示器、小键盘、照明器、触觉接口、GPS接收器、相机或传感器。
如图中所展示,计算装置400包含经由总线424与大容量存储器430通信的处理单元,例如CPU 422。计算装置400还包含一或多个网络接口450、音频接口452、显示器454、小键盘456、照明器458、输入/输出接口460、触觉接口462、全球定位系统收发器(GPS收发器464)以及一或多个传感器466,例如相机或其它光学、热或电磁。计算装置400上的一或多个传感器466的定位可根据计算装置400模型、根据计算装置400能力及其类似者或其某一组合而改变。
计算装置400可任选地与基站(未展示)或直接与另一计算装置通信。网络接口有时称为收发器、收发装置或网络接口卡(NIC)。
音频接口452产生并接收音频信号,例如人类话音的声音。举例来说,音频接口452可耦合到扬声器和麦克风(未展示)以实现与其它人的电信或生成用于一些动作的音频确认。显示器454可为液晶显示器(LCD)、气体等离子体、发光二极管(LED)或与计算装置一起使用的任何其它类型的显示器。显示器454还可包含触敏屏幕,其被布置成从例如触控笔或来自人手的手指等对象接收输入。
小键盘456可包括被布置成从用户接收输入的任何输入装置。照明器458可提供状态指示或提供光。
计算装置400还包括用于使用例如USB、红外、BluetoothTM等通信技术与外部装置通信的输入/输出接口460。触觉接口462将触觉反馈提供到客户端装置的用户。
GPS收发器464可确定地球表面上的计算装置400的物理坐标,其通常将位置输出为纬度和经度值。GPS收发器464还可采用其它地理位置定位机构,包含但不限于三角测量、辅助GPS(AGPS)、E-OTD、CI、SAI、ETA、BSS或其类似者,以进一步确定地球表面上的计算装置400的物理位置。然而,在一个实施例中,计算装置400可经由其它组件提供可用于确定装置的物理位置的其它信息,包含例如MAC地址、因特网协议(IP)地址或其类似者。
大容量存储器430包含RAM 432、ROM 434和其它存储装置。大容量存储器430示出用于存储例如计算机可读指令、数据结构、程序模块或其它数据等信息的计算机存储介质的另一实例。大容量存储器430存储用于控制计算装置400的低层级操作的基本输入/输出系统(BI0S 440)。大容量存储器还存储操作系统441以用于控制计算装置400的操作。
应用442可包含计算机可执行指令,所述计算机可执行指令在由计算装置400执行时执行先前在先前图式的描述中所描述的方法(或方法的部分)中的任一者。在一些实施例中,实施方法实施例的软件或程序可从硬盘(未展示)读取且由CPU 422临时存储于RAM 432中。CPU 422接着可从RAM 432读取软件或数据,处理所述软件或数据,且将所述软件或数据再次存储到RAM 432。
本公开包含执行所述方法且实施上文所描述的系统的各种装置,包含执行这些方法的数据处理系统,以及含有指令的计算机可读介质,所述指令当在数据处理系统上执行时使所述系统执行这些方法。
描述和附图是说明性的并且不应被解释为限制性的。描述了许多特定细节以提供透彻理解。然而,在某些情况下,未对熟知或常规的细节进行描述,以避免模糊描述。本公开中对“一个”或“一”实施例的参考未必参考相同实施例,并且此类参考意味着至少一个。
在本说明书中对“一个实施例”或“一实施例”的参考意味着结合实施例描述的特定特征、结构或特性包含在本公开的至少一个实施例中。在本说明书中各个地方出现的短语“在一个实施例中”不一定全部指代相同实施例,也不是与其它实施例相互排斥的单独实施例或替代实施例。此外,描述了可由一些实施例但不由其它实施例展现的各种特征。类似地,描述各种要求,所述要求可为对于一些实施例而非其它实施例的要求。
在本说明书中,各种功能和操作可被描述为由软件代码执行或由软件代码引起以简化描述。然而,所属领域的技术人员将认识到,这类表达的意思是所述功能由一或多个处理器执行代码所引起,所述处理器例如为微处理器、专用集成电路(ASIC)、图形处理器或现场可编程门阵列(FPGA)。替代地或组合地,可使用专用电路系统(例如,逻辑电路系统)在有或没有软件指令的情况下实施功能和操作。实施例可使用不具有软件指令的硬连线电路系统或与软件指令组合来实施。因此,所述技术既不限于硬件电路系统与软件的任何特定组合,也不限于由计算装置执行的指令的任何特定来源。
尽管一些实施例可在功能全面的计算机和计算机系统中实施,但是各种实施例能够以多种形式分布为计算产品,并且能够不论用于实现分布的机器或计算机可读介质的特定类型如何都适用。
所公开的至少一些方面可至少部分地实施于软件中。也就是说,可在计算装置或其它系统中响应于其例如微处理器等处理器执行例如ROM、易失性RAM、非易失性存储器、高速缓存器或远程存储装置等存储器中所包含的指令序列而进行所述技术。
经执行以实施实施例的例程可实施为操作系统、中间件、业务交付平台、软件开发工具包(SDK)组件、网络服务或被称为“计算机程序”的其它特定应用、组件、程序、对象、模块或指令序列的一部分。这些例程的调用接口可作为应用编程接口(API)暴露于软件开发团体。计算机程序通常在各种时间在计算机中的各种存储器和存储装置中包括一或多个指令集,并且所述指令集在由计算机中的一或多个处理器读取和执行时使所述计算机执行对进行涉及各个方面的要素来说必要的操作。
机器可读介质可用于存储在由计算装置执行时使所述装置执行各种方法的软件和数据。可执行的软件和数据可被存储在各种位置中,包含例如ROM、易失性RAM、非易失性存储器或高速缓存器。此软件或数据的部分可存储在这些存储装置中的任一者中。此外,可从集中式服务器或对等网络获得数据和指令。可在不同时间且在不同通信会话或相同通信会话中从不同集中式服务器或对等网络获得数据和指令的不同部分。可在执行应用之前完整地获得数据和指令。替代地,可动态地、及时地在需要执行时获得数据和指令的部分。因此,并不要求数据和指令在特定时刻全部处于机器可读介质上。
计算机可读介质的实例包含但不限于可记录和不可记录类型的介质,例如易失性和非易失性存储器装置、只读存储器(ROM)、随机存取存储器(RAM)、快闪存储器装置、固态硬盘存储介质、抽取式磁盘、磁盘存储介质、光学存储介质(例如,光盘只读存储器(CD-ROM)、数字多功能盘(DVD)等)等等。计算机可读介质可存储指令。
一般来说,有形或非暂时性机器可读介质包含以机器(例如,计算机、移动装置、网络装置、个人数字助理、制造工具、具有一组一或多个处理器的任何装置等)可存取的形式提供(例如,存储)信息的任何机构。
在各种实施例中,硬连线电路系统可与软件和固件指令组合使用以实施所述技术。因此,所述技术既不限于硬件电路系统与软件的任何特定组合,也不限于由计算装置执行的指令的任何特定来源。
可使用多种不同类型的计算装置来实施本文中所阐述的各种实施例。如本文中所使用,“计算装置”的实例包含但不限于服务器、集中式计算平台、多个计算处理器或移动装置的系统、用户终端、车辆、个人通信装置、可穿戴数字装置、电子自助服务终端、通用计算机、电子文档阅读器、平板计算机、膝上型计算机、智能手机、数码相机、住宅家用电器、电视或数字音乐播放器。计算装置的额外实例包含所谓的IoT的部分的装置。此类“事物”可与其拥有者或管理员偶然交互,所述拥有者或管理员可监控所述事物或修改这些事物上的设置。在一些情况下,此类拥有者或管理员扮演关于“事物”装置的用户的角色。在一些实例中,用户的主要移动装置(例如,苹果iPhone)可为关于用户佩戴的配对的“事物”装置(例如,苹果手表)的管理员服务器。
在一些实施例中,计算装置可为计算机或主机系统,其例如实施为台式计算机、膝上型计算机、网络服务器、移动装置,或包含存储器和处理装置的另一计算装置。主机系统可包含或耦合到存储器子系统,以使得主机系统可从存储器子系统读取数据或将数据写入到存储器子系统。主机系统可经由物理主机接口耦合到存储器子系统。一般来说,主机系统可经由相同通信连接、多个单独通信连接和/或通信连接的组合来存取多个存储器子系统。
在一些实施例中,计算装置是包含一或多个处理装置的系统。处理装置的实例可包含微控制器、CPU、专用逻辑电路系统(例如,FPGA、专用集成电路(ASIC)等)、芯片上系统(SoC)或另一合适的处理器。
尽管一些图式以特定次序示出多个操作,但可将不依赖于次序的操作重新排序,并且可组合或分解其它操作。虽然具体提及了一些重新排序或其它分组,但其它重新排序或分组对于所属领域的普通技术人员来说是显而易见的,并且因此不提供详尽的替代方案列表。此外,应认识到,阶段可以硬件、固件、软件或其任何组合实施。
在前文说明书中,本公开已参考其具体示范性实施例进行描述。将显而易见的是,可在不脱离如所附权利要求书中所阐述的较广泛精神和范围的情况下对其作出各种修改。因此,应在说明性意义上而非限制性意义上看待本说明书和图式。
Claims (10)
1.一种方法,其包括:
由客户端装置向服务器发布建立安全连接的请求;
由所述客户端装置从所述服务器接收对建立安全连接的所述请求的响应,所述响应包含与由所述服务器存储的公钥相关联的数字证书,所述公钥用以建立对称密钥;
由所述客户端装置验证所述数字证书;以及
由所述客户端装置使用由所述服务器存储的所述公钥和由所述客户端装置生成的私钥来计算共享秘密。
2.根据权利要求1所述的方法,其中建立安全连接的所述请求包括使用传输层安全性TLS协议的ClientHello消息。
3.根据权利要求1所述的方法,其中由所述服务器存储的所述公钥包括椭圆曲线密钥交换算法ECDH公钥。
4.根据权利要求1所述的方法,其中与由所述服务器存储的公钥相关联的所述数字证书是由受信任证书颁发中心签署。
5.根据权利要求1所述的方法,其中与由所述服务器存储的公钥相关联的所述数字证书包含密钥使用位串,所述密钥使用位串被配置成指示对用于密钥协定的所述公钥的使用。
6.根据权利要求1所述的方法,其进一步包括生成用于与由所述客户端装置生成的所述私钥相对应的客户端公钥的第二数字证书,以及在验证从所述服务器接收的所述数字证书之后将所述第二数字证书传输到所述服务器。
7.根据权利要求1所述的方法,其进一步包括由所述客户端装置使用所述共享秘密来加密会话通信。
8.一种装置,其包括:
处理器,其被配置成:
向服务器发布建立安全连接的请求;
从所述服务器接收对建立安全连接的所述请求的响应,所述响应包含与由所述服务器存储的公钥相关联的数字证书,所述公钥用以建立对称密钥;
验证所述数字证书;以及
使用由所述服务器存储的所述公钥和由所述装置生成的私钥来计算共享秘密。
9.根据权利要求8所述的装置,其中建立安全连接的所述请求包括使用传输层安全性TLS协议的ClientHello消息。
10.根据权利要求8所述的装置,其中由所述服务器存储的所述公钥包括椭圆曲线密钥交换算法ECDH公钥。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/576,889 US20230231712A1 (en) | 2022-01-14 | 2022-01-14 | Embedded tls protocol for lightweight devices |
| US17/576,889 | 2022-01-14 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116455561A true CN116455561A (zh) | 2023-07-18 |
Family
ID=87124433
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310046805.9A Pending CN116455561A (zh) | 2022-01-14 | 2023-01-13 | 用于轻量装置的嵌入式tls协议 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20230231712A1 (zh) |
| CN (1) | CN116455561A (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230344812A1 (en) * | 2022-04-20 | 2023-10-26 | Bank Of America Corporation | System and method for establishing a secure session to authenticate dns requests via dynamically configurable trusted network interface controllers |
Family Cites Families (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6085320A (en) * | 1996-05-15 | 2000-07-04 | Rsa Security Inc. | Client/server protocol for proving authenticity |
| US6704871B1 (en) * | 1997-09-16 | 2004-03-09 | Safenet, Inc. | Cryptographic co-processor |
| US7181762B2 (en) * | 2001-01-17 | 2007-02-20 | Arcot Systems, Inc. | Apparatus for pre-authentication of users using one-time passwords |
| US20030035547A1 (en) * | 2001-03-27 | 2003-02-20 | John Newton | Server with multiple encryption libraries |
| JP3897613B2 (ja) * | 2002-02-27 | 2007-03-28 | 株式会社日立製作所 | 公開鍵暗号方式における登録局サーバの運用方法、登録局サーバ、及びプログラム |
| US7366906B2 (en) * | 2003-03-19 | 2008-04-29 | Ricoh Company, Ltd. | Digital certificate management system, digital certificate management apparatus, digital certificate management method, program and computer readable information recording medium |
| US20040117626A1 (en) * | 2003-09-12 | 2004-06-17 | Pioneer Research Center Usa, Inc. | Key exchange based on dsa type certificates |
| CN101127107A (zh) * | 2006-08-16 | 2008-02-20 | 鸿富锦精密工业(深圳)有限公司 | 电子文档自动签名系统及方法 |
| EP2073430B1 (en) * | 2007-12-21 | 2013-07-24 | Research In Motion Limited | Methods and systems for secure channel initialization transaction security based on a low entropy shared secret |
| US8707043B2 (en) * | 2009-03-03 | 2014-04-22 | Riverbed Technology, Inc. | Split termination of secure communication sessions with mutual certificate-based authentication |
| EP2334008A1 (en) * | 2009-12-10 | 2011-06-15 | Tata Consultancy Services Limited | A system and method for designing secure client-server communication protocols based on certificateless public key infrastructure |
| WO2012173667A2 (en) * | 2011-02-10 | 2012-12-20 | Trilliant Holdings, Inc. | Device and method for facilitating secure communications over a cellular network |
| EP2608477B1 (en) * | 2011-12-23 | 2014-03-19 | BlackBerry Limited | Trusted certificate authority to create certificates based on capabilities of processes |
| US9026789B2 (en) * | 2011-12-23 | 2015-05-05 | Blackberry Limited | Trusted certificate authority to create certificates based on capabilities of processes |
| US20130268755A1 (en) * | 2012-04-06 | 2013-10-10 | Microsoft Corporation | Cross-provider cross-certification content protection |
| US9350550B2 (en) * | 2013-09-10 | 2016-05-24 | M2M And Iot Technologies, Llc | Power management and security for wireless modules in “machine-to-machine” communications |
| US9954848B1 (en) * | 2014-04-04 | 2018-04-24 | Wells Fargo Bank, N.A. | Central cryptographic management for computer systems |
| US10652240B2 (en) * | 2014-05-29 | 2020-05-12 | Entersekt International Limited | Method and system for determining a compromise risk associated with a unique device identifier |
| CN113630416A (zh) * | 2015-06-30 | 2021-11-09 | 维萨国际服务协会 | 机密认证和供应 |
| CN105429760B (zh) * | 2015-12-01 | 2018-12-14 | 神州融安科技(北京)有限公司 | 一种基于tee的数字证书的身份验证方法及系统 |
| US10129223B1 (en) * | 2016-11-23 | 2018-11-13 | Amazon Technologies, Inc. | Lightweight encrypted communication protocol |
| US10374809B1 (en) * | 2016-12-13 | 2019-08-06 | Amazon Technologies, Inc. | Digital signature verification for asynchronous responses |
| GB2561822B (en) * | 2017-04-13 | 2020-02-19 | Arm Ip Ltd | Reduced bandwidth handshake communication |
| US10505917B2 (en) * | 2017-06-05 | 2019-12-10 | Amazon Technologies, Inc. | Secure device-to-device process for granting access to a physical space |
| US11863663B2 (en) * | 2018-03-20 | 2024-01-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Initial network authorization for a communications device |
| US20190327220A1 (en) * | 2018-04-23 | 2019-10-24 | Slack Technologies, Inc. | Method, apparatus, and computer program product for secure direct remote server communication of encrypted group-based communication data with security controls |
| US11324960B2 (en) * | 2018-04-26 | 2022-05-10 | West Affum Holdings Corp. | Permission-based control of interfacing components with a medical device |
| CN108833431B (zh) * | 2018-06-29 | 2020-11-17 | 腾讯科技(深圳)有限公司 | 一种密码重置的方法、装置、设备及存储介质 |
| CN109088870B (zh) * | 2018-08-14 | 2021-05-04 | 国网甘肃省电力公司电力科学研究院 | 一种新能源厂站发电单元采集终端安全接入平台的方法 |
| US11063760B2 (en) * | 2018-08-22 | 2021-07-13 | Sasken Technologies Ltd | Method for ensuring security of an internet of things network |
| CN109347809B (zh) * | 2018-09-25 | 2021-01-08 | 北京计算机技术及应用研究所 | 一种面向自主可控环境下的应用虚拟化安全通信方法 |
| US10666431B1 (en) * | 2019-03-11 | 2020-05-26 | Capital One Services, Llc | Systems and methods for enhancing web security |
| CN110912707B (zh) * | 2019-11-22 | 2021-09-10 | 腾讯科技(深圳)有限公司 | 基于区块链的数字证书处理方法、装置、设备及存储介质 |
| US20210184863A1 (en) * | 2019-12-11 | 2021-06-17 | Mastercard Asia/Pacific Pte. Ltd. | Method and system for regulation of blockchain-based payments |
| CN113132323B (zh) * | 2019-12-31 | 2022-11-18 | 华为技术有限公司 | 一种通信方法及装置 |
| US11516206B2 (en) * | 2020-05-01 | 2022-11-29 | Forcepoint Llc | Cybersecurity system having digital certificate reputation system |
| CN111740989B (zh) * | 2020-06-19 | 2021-05-07 | 大连理工大学 | 一种面向区块链的物联网芯片轻量级数据加密方法 |
| US11265156B2 (en) * | 2020-07-24 | 2022-03-01 | Salesforce.Com, Inc. | Secrets management using key agreement |
| US11233636B1 (en) * | 2020-07-24 | 2022-01-25 | Salesforce.Com, Inc. | Authentication using key agreement |
| CN112311531B (zh) * | 2020-11-05 | 2023-05-30 | 重庆邮电大学 | 一种可控的前后端安全通信方法 |
| CN112565213B (zh) * | 2020-11-25 | 2022-10-14 | 青岛海尔科技有限公司 | 认证方法及装置、存储介质、电子装置 |
| TWI748925B (zh) * | 2021-06-09 | 2021-12-01 | 中華電信股份有限公司 | 端對端加密通訊的金鑰交換系統、方法及其電腦可讀媒介 |
-
2022
- 2022-01-14 US US17/576,889 patent/US20230231712A1/en active Pending
-
2023
- 2023-01-13 CN CN202310046805.9A patent/CN116455561A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20230231712A1 (en) | 2023-07-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11323276B2 (en) | Mutual authentication of confidential communication | |
| US10785019B2 (en) | Data transmission method and apparatus | |
| US8621210B2 (en) | Ad-hoc trust establishment using visual verification | |
| US9467430B2 (en) | Device, method, and system for secure trust anchor provisioning and protection using tamper-resistant hardware | |
| US10142107B2 (en) | Token binding using trust module protected keys | |
| CN106416121B (zh) | 用于签名产生和加密/解密的共模rsa密钥对 | |
| KR102015201B1 (ko) | 보안 접속 및 관련 서비스를 위한 효율적인 개시 | |
| AU2016211551A1 (en) | Methods for secure credential provisioning | |
| WO2019209168A2 (zh) | 数据处理方法、相关装置及区块链系统 | |
| EP2737656A1 (en) | Credential validation | |
| US11057196B2 (en) | Establishing shared key data for wireless pairing | |
| CN113302871A (zh) | 与可信执行环境的安全通信 | |
| WO2019110018A1 (zh) | 通信网络系统的消息验证方法、通信方法和通信网络系统 | |
| TWI807103B (zh) | 用於共享公共秘密之電腦實施系統及方法 | |
| WO2023174038A9 (zh) | 数据传输方法及相关设备 | |
| US11528127B2 (en) | Computer-implemented system and method for highly secure, high speed encryption and transmission of data | |
| WO2019093963A1 (zh) | 基于异构身份的交互系统及方法 | |
| EP3673610A1 (en) | Computer-implemented system and method for highly secure, high speed encryption and transmission of data | |
| KR101952329B1 (ko) | 블록체인 기반 암호화폐의 트랜잭션에 이용되는 주소 정보 생성 방법, 전자 장치 및 컴퓨터 판독 가능한 기록 매체 | |
| US9800410B1 (en) | Data encryption system and method | |
| CN116455561A (zh) | 用于轻量装置的嵌入式tls协议 | |
| US20230421372A1 (en) | Accessory assisted account recovery | |
| US11496287B2 (en) | Privacy preserving fully homomorphic encryption with circuit verification | |
| US20230155811A1 (en) | Encrypted information sharing with lightweight devices | |
| TWI761243B (zh) | 群組即時通訊的加密系統和加密方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |