CN1846397A - 二因子验证式密钥交换方法和使用它的验证方法以及存储包括它的程序的记录媒体 - Google Patents

二因子验证式密钥交换方法和使用它的验证方法以及存储包括它的程序的记录媒体 Download PDF

Info

Publication number
CN1846397A
CN1846397A CNA2004800244373A CN200480024437A CN1846397A CN 1846397 A CN1846397 A CN 1846397A CN A2004800244373 A CNA2004800244373 A CN A2004800244373A CN 200480024437 A CN200480024437 A CN 200480024437A CN 1846397 A CN1846397 A CN 1846397A
Authority
CN
China
Prior art keywords
key
authentication server
subscriber station
password
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2004800244373A
Other languages
English (en)
Other versions
CN1846397B (zh
Inventor
朴永晚
李圣春
车镕柱
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KT Corp
Original Assignee
KT Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KT Corp filed Critical KT Corp
Publication of CN1846397A publication Critical patent/CN1846397A/zh
Application granted granted Critical
Publication of CN1846397B publication Critical patent/CN1846397B/zh
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

一种二因子验证式密钥交换方法。用户站把通过使用识别符和验证服务器的公开密钥所产生的一个值经接入点发送给验证服务器。验证服务器使用该值来检测用户的密码,存储在标记中的密钥,和验证服务器的秘密密钥,产生随机数。用户站使用随机数,密码,和密钥来发送加密的值和用户的验证码到验证服务器。验证服务器建立通过使用被解密密钥的密码密钥和随机数所产生的第二值以便解密该加密的值,验证用户的验证码,并发送验证服务器的验证码到用户站。用户站通过使用密钥和密码验证验证服务器的验证码。

Description

二因子验证式密钥交换方法和使用它的 验证方法以及存储包括它的程序的记录媒体
发明领域
本发明涉及一种AKE(验证和密钥建立)协议。特别的是,本发明涉及业务中的TAKE(二因子验证式密钥交换)方法,比如因特网,无线LAN,和公众访问无线LAN,一种用于验证实体和使用TAKE方法建立密钥的安全方法,以及存储包括TAKE方法的程序的记录媒体。
背景技术
常规的验证和密钥建立方法包括使用认证的TLS(传送层安全性)方法,使用密码的SRP(安全远程密码)方法和EAP(可扩展的验证协议)-MD5方法,和使用认证和密码的PEAP(保护的EAP)方法和EAP-TTLS(隧道的TLS),这些方法分别具有优缺点。就是说,TLS方法需要复杂而花费大量成本的PKI(公开密钥体系结构),并且认证管理系统,SRP方法需要从用户终端大量的取幂并无力抵抗2-对-1推测攻击。此外,PEAP和EAP-TTLS方法无力抵抗MitM(人在中间)攻击并在交换消息上花费大量的时间,而且EAP-MD5具有的缺点是,不提供共有的验证和会话密钥。
特别的是,不容易发现802.1xEAP验证方法,该方法在(公众访问)无线LAN上使用PDA(个人数字助理)的情况下是安全和有效的,验证因为当执行诸如取幂和逆运算的复杂的操作时,PDA需要很长的时间和耗费很多的功率。
通常的验证因子包括(1)用户存储的因子(例如密码)和(2)用户拥有的因子(例如,记号或移动设备)。
因为下列问题的缘故,使用项目(1)的密码的单一因子的验证方法是不安全。首先,当用户输入密码时,在用户后面的一个人可以骗取密码,并且通过击键监视可以暴露密码。第二,通过社会工程(比如,欺骗手段或威胁),密码会暴露给攻击者。第三,密码无力抵抗字典攻击,因为就信息量而言它具有低的平均信息量。第四,因为用户的坏习惯会暴露密码,比如把密码写在纸上或在许多地方使用密码而没有更新。特别的是,在热点区域用于试图网络访问的公众访问无线LAN对于攻击是更危险的,因为通过击键监视或社会工程可以获得脱机离线的密码,即使通过密码来验证用户的EAP-SRP、PEAP和EAP-TTLS方法是抵抗字典攻击的安全协议。
此外,使用标记或移动设备的单因子验证方法需要标记和用于读取标记的输入设备(例如,读卡器)。作为第二因子的标记包括移动设备,比如智能卡,USB(通用串行总线)密钥和PDA。因此,在无线环境中用于标记的USB密钥的使用不需要太多成本,这是由于不需要附加额外的硬件。在此情形下,在具有韧度坚固特性的安全模块中存储标记,由于标记具有有关对称密钥或个人验证的秘密的信息。
因而,因特网或(公众访问)无线LAN需要一种比上述验证部件所执行的验证更好的验证系统,特别是,需要用于解决未来技术需求的验证方法。
(1)身份保护:需要使客户身份免受被动攻击,比如出于秘密目的的搭线窃听。特别的,该保护用于通过DHCP(动态主机配置协议)接收IP地址的用户。
(2)强大的相互验证:需要用户和网络之间的相互验证,由于攻击者可以执行MitM攻击,同时他们位于用户和验证服务器之间。
(3)会话密钥建立:建立会话密钥以便保护在用户和网络之间通信的数据。
(4)FS(转送保密):提供一种FS,其特性是当参与协议的对象的长期的密钥材料被暴露时,它避免攻击者根据先前的搭线窃听的会话来计算过去的会话密钥。FS被分类成半FS和全FS。前一种表示当包括用户和验证服务器的对象的其中之一的密钥被暴露时,攻击者不能诱导出过去的会话密钥,而后一种表示当两个对象的密钥被暴露时会话密钥是安全的。
(5)脱机字典攻击的安全性:设计该协议以便当攻击者攻击脱机字典以试图获得秘密信息时,攻击者不能获得由用户和服务器共享的秘密信息。
(6)关于MitM攻击的安全性:必须设计(公众访问)无线LAN以便确保抵抗使用路由AP(接入点)或路由无线NIC的MitM攻击。
(7)关于重放攻击的安全性:需要防止攻击者重发使用的消息以及成功地验证和建立密钥。
(8)有效性:
-将操作负载最小化:要求较少量的可应用于(公众访问)无线LAN中的PDA的操作是必要的。通过使用预先运算来将在线运算的负载最小化。
-将消息交换的次数最小化:考虑到网络资源的有效性和网络上的延迟,减少通信循环次数是更加有利的。因此,将减少在用户和验证服务器之间交换消息的次数。
-将通信带宽的使用最小化:协议消息的长度将是小的。
(9)密钥确认:参与协议的合法的用户被确认他共享具有期望的同等的秘密会话密钥。
(10)不可抵赖:不可抵赖功能,用于防止用户抵赖帐单数据,比如服务使用的时间和网络访问的次数。
公开
技术问题
本发明的优点是提供一种用于通过使用存储在密码中的密钥和标记(两个独立的验证因子)来验证用户的TAKE方法,验证,和使用TAKE方法的验证方法以及存储包括TAKE方法的程序的记录媒体。
技术解决方案
在本发明的一个方面中,在通过有线/无线通信在访问到验证服务器的用户站上相互验证式密钥交换方法中,验证二因子验证式密钥交换方法包括:(a)用户站发送密钥到验证服务器,使用用户站的识别符和验证服务器的公开密钥产生该密钥;(b)用户站接收通过验证服务器产生的随机数;(c)使用接收的随机数、用户站中预定的密码和存储在标记中的密钥,发送加密的第一特定值和产生的用户验证码到验证服务器;(d)根据验证服务器对所发送的用户验证码的成功验证,用户站接收验证服务器的验证码;和(e)用户站使用秘密密钥和密码,验证接收的验证服务器验证码,并且当验证成功时,接收验证服务器的验证码。
二因子验证式密钥交换方法进一步包括:在(a)之前,用户站确定对称密钥和用于对称密钥算法的密码并在注册处理期间与验证服务器共享对称密钥和密码;和当用户站不交换用于利用验证服务器进行验证的密钥时,用户站产生随机数并且预运算第一确定值。
用户站在标记中存储验证服务器的密码和公开密钥。
在(a)中,所述生成密钥是通过把单向散列函数应用到用户站识别符单向和验证服务器的公开密钥而产生的。
(c)包括:把散列函数应用到接收的随机数、密码和存储在标记中的密钥,并产生第二预定值;使用第二预定值和加密第一预定值;使用随机数和第一预定值,并产生用户的会话密钥;把散列函数应用到产生的会话密钥、密码、存储在标记中的密钥和用户站的识别符,并产生用户的验证码;以及把加密的第一预定值和用户的验证码发送到验证服务器。
(e)包括:将散列函数应用到用户的会话密钥、密码、存储在标记中的密钥和验证服务器的公开密钥,并产生第三预定值;确定是否产生的第三预定值对应于从验证服务器接收的验证服务器的验证码;和确定用户站和验证服务器之间的验证是成功的,并且当发现产生的第三预定值对应于验证服务器的验证码时,接收验证服务器的验证码。
在本发明的另一个方面中,在验证服务器访问用户站以便进行用于交换相互验证的密钥的有线/无线通信的方法中,二因子验证式密钥交换方法包括:(a)验证服务器接收一个密钥,该密钥是由用户站通过使用验证服务器的识别符和公开密钥产生的;(b)验证服务器使用从用户站接收的值,检测用户的密码、标记中的密钥和验证服务器的公开密钥,产生随机数,并把随机数发送到用户站;(c)基于发送的随机数,验证服务器接收通过用户站产生的加密的值和用户的验证码;(d)验证服务器确定通过使用密码、存储在标记中的密钥和随机数所产生的第一预定值作为秘密密钥,解密在(c)中接收的加密的值以产生第二预定值,基于第二预定值验证所述接收的用户验证码,并且当验证成功时接收用户的验证码;和(e)验证服务器使用密码、存储在标记中的密钥和公开密钥,并把验证服务器的验证码发送到用户站。
二因子验证式密钥交换方法进一步包括:在(a)之前,验证服务器确定对称密钥和用于对称密钥密码系统的密码并在注册处理期间与用户站共享对称密钥和密码。
验证服务器把存储在标记中的密钥、密码和验证服务器的秘密密钥存储在安全文件数据库中。
(d)包括:把散列函数应用到密码、存储在标记中的密钥和随机数,并产生第一预定值;确定所述产生的第一预定值作为秘密密钥,解密所述接收的加密值,并产生第二预定值;使用产生的第二预定值、验证服务器的公开密钥和随机数,产生验证服务器的会话密钥;确定通过把散列函数应用到产生的会话密码、密码、标记中存储的密钥和用户站的识别符所获得的值是否对应于接收的用户验证码;以及当所述值对应于接收的用户验证码时确定发现对用户的验证是成功的并接收用户验证码。
验证服务器的会话密钥用来产生(e)中的验证服务器验证码。
在(a)中,当用户的识别符使用NAI(网络访问ID)格式以便支持全球漫游和记帐时,用户站把用户名称、验证服务器的公开密钥的散列值和域名发送到验证服务器。
在本发明的又另一个方面中,在其中通过接入点访问用户站和验证服务器的无线通信系统中,在通过二因子验证式密钥交换而在用户站和验证服务器之间进行相互验证的方法中,通过二因子验证式密钥交换的验证方法包括:(a)用户站从接入点接收识别符请求;(b)用户站通过接入点把通过使用用户站的识别符和验证服务器的公开密钥所产生的密钥发送到验证服务器;(c)验证服务器使用从用户站接收的密钥、检测用户的密码、秘密密钥和验证服务器的公开密钥,产生随机数,并通过接入点把所述随机数发送到用户站;(d)用户站使用接收的随机数、密码和标记中存储的密钥,并通过接入点把加密的第一预定值和产生的用户验证码发送到验证服务器;(e)验证服务器确定通过使用密码、标记中存储的密钥和随机数所产生的第二预定值作为秘密密钥,解密在(d)中所接收的加密值,基于解密值,验证接收的用户的验证码,并且当发现验证成功时,通过接入点把通过使用密码、标记中存储的密钥和公开密钥所产生的验证服务器验证码发送到用户站;(f)用户站使用标记中存储的密钥和密码,验证接收的验证服务器验证码,并通过接入点把验证结果发送给验证服务器;以及(g)当发现从用户站发送的验证结果是成功的时,验证服务器把用于用户的访问许可通过接入点发送给用户站。
标记中存储的密钥是对称密钥。
在用户站和接入点之间使用可扩展验证协议,而在接入点和验证服务器之间使用RADIUS协议。
附图说明
被包括在本发明中并构成说明书的一部分的附图图解说明了发明的实施例,并和说明书一起用来解释本发明的原理。
图1显示了根据本发明优选实施例的TAKE协议的流程;和
图2显示了根据本发明优选实施例的使用TAKE协议的公众访问无线LAN中的验证和密钥交换流程。
具体实施方式
在下面的详细描述中,仅仅通过图解说明由发明人设想的实现本发明的最佳方式,来显示和描述本发明的优选实施例。应该认识到,在不脱离本发明的情况下,本发明能够在各种显而易见的方面被修改。因而,附图和说明书被认为是示例了实质内容,而并非约束。为清晰起见,在说明书中没有描述的部件被省略,并且为其提供类似描述的那些部件具有相同的标号。
将描述根据本发明实施例的使用TAKE协议的验证方法。
图1显示了根据本发明优选实施例的TAKE协议的流程图。
优选实施例中所描述的符号被如下定义。
A:用户(恳求者或客户)
B:验证服务器
π:密码
t:用于对称密钥加密的对称密钥
IDA:用户A的识别符
EK{}和DK{}:利用对称密钥K的加密和解密
H():单向散列函数
skA:通过A产生的会话密钥
p:大质数
q:用于除(p-1)的大质数
g:是Z* p的一个元素的产生器,具有q的顺序,和
b,gb(modp):静态秘密密钥和验证服务器B的公开密钥
参考图1,根据本发明优选实施例的TAKE协议的操作包括登记阶段、预运算阶段和运行阶段。
现在将描述登记阶段。
实质上是客户的移动终端的用户客户A和服务器B确定用于对称密钥加密系统的对称密钥t和密码π,比如3DES(数据加密标准)或Rijndael,并共享它们。服务器对特定的客户选择服务器的秘密密钥[1~q-l]的范围内的一个数<b>,在安全数据库DB中存储该数,并把服务器的公开密钥gb和域参数p,q和g通知给客户。客户在标记中存储对称密钥。服务器的公开密钥gb和域参数p,q,和g不必被存储在安全地方,这是由于它们是公开信息。
现在将描述预运算阶段。
在协议被执行之前,在线的执行预运算阶段,具体地说,在协议运行期间,它减少时间和所使用的运算。
在空闲时间(其中没有移动网络被使用或当终端被接通时)的情形下,客户的移动终端执行预运算。如图1所示,客户A在[1~q-1]的范围内选择随机数x。就是说,客户选择随机数x∈RZq,并通过使用随机数x预运算gx和gbx=c(此后方式p)。
现在将描述运行阶段,如下所述的执行相互对象验证和会话密钥建立。
(1)客户A发送H(IDA,gb),它是客户的识别符IDA和验证服务器公开密钥gb的散列值,以便访问因特网或(公众访问)无线LAN。
当客户ID使用NAI(网络接入ID)格式以便支持全球漫游和记帐时,例如,当客户ID被给定是userid@realm.com,H(userid,gb),它是用户名称和gb的散列值,则发送域名。
(2)验证服务器B从客户安全文件数据库DB接收H(IDA,gb)并检测<H(IDA,gb)>,<IDA>,<π>,<t>和<b>。验证服务器B在[1~q-1]的范围内选择随机数r∈RZq,并把该数发送到客户A。
(3)客户A从验证服务器B接收数字r,通过使用π和t的值运算f=H(r,π,t)的散列值,通过使用f值来运算e=Ef{gx},作为用于对gx值执行对称密钥加密的对称密钥,运算skA=H(c,gx,r)的会话密钥,它是c,gx和r的散列值,并产生MA=H(skA,π,t,IDA)的验证码,它是π,t,和IDA的散列值。客户A把产生的e和MA发送到验证服务器B。
(4)验证服务器B从客户A接收e和MA,通过使用r,π和t运算f=H(r,π,t),通过使用运算的f的秘密密钥解密接收的e,和发现gx=Df{e}。
验证服务器B通过使用发现的gx和b运算c=gbx,通过使用c和r运算skB=H(c,gx,r),产生H(skB,π,IDA),并检查是否H(skB,π,IDA)对应于接收的MA。当两个值彼此对应时,客户A上的验证被认为是成功的,并且验证服务器B接收客户A发送的MA,运算MB=H(skB,π,t,gb),并发送运算的MB到客户A。
(5)客户A检查从验证服务器B接收的MB是否对应于由客户A运算的H(skB,π,t,gb)。当两个值彼此对应时,验证服务器B上的验证被认为是成功的,并且客户A接收MB。当客户A和验证服务器B分别接收MA和MB时,客户A和验证服务器B之间的相互验证被认为是成功的。
图2显示了根据本发明优选实施例的使用TAKE协议在公众访问无线LAN中验证和密钥交换的流程图。
参考图2,用户(恳求者或客户)100和验证服务器(或RADIUS服务器)300通过接入点200(比如(公众访问)无线LAN)彼此连接,并通过验证服务器300验证用户100。
在该例中,在用户100和接入点200之间使用EAP(可扩展验证协议),而在接入点200和验证服务器300之间使用RADIUS协议。
此外,用户100存储验证服务器300的对称密钥t、密码π、公开密钥gb、DH(Diffle-Hellman)域参数p,q和g,并且,除了验证服务器300的对称密钥t、密码π、公开密钥gb、DH(Diffle-Hellman)域参数p,q和g外,验证服务器300存储服务器秘密密钥b。
当用户100请求对(公众访问)无线LAN的访问业务时,在步骤S100,接入点200利用身份1把EAP请求身份发送给用户100。
在步骤S110,用户100发送EAP-响应/身份H(IDA,gb)到接入点200,EAP-响应/身份H(IDA,gb)定义了用户的识别符IDA的散列值H(IDA,gb)和作为身份的验证服务器300的公开密钥gb
在步骤S120,接入点200通过验证服务器300发送半径-接入-请求H(IDA,gb),包括从用户100发送的身份。
在步骤S130,基于从接入点200发送的H(IDA,gb),验证服务器300从相应的数据库中检测<IDA>、<π>、<t>和<b>,选择随机值r∈RZq,并把作为半径-接入-挑战值的该值发送到接入点200,而在步骤S140,接入点200定义作为TAKE子类型的该值,并把EAP-请求TAKE子类型1(r)发送到用户100。
在步骤S150,用户100从验证服务器300接收r的随机值,通过使用π和t运算f=H(r,π,t)的散列值,通过使用f的值运算e=Ef{gx},作为用于加密对称密钥的秘密密钥,运算作为c、gx和r的散列值的会话密钥skA=H(c,gx,r),产生作为π、t和IDA的散列值的验证码MA=H(skA,π,t,IDA),并且通过TAKE子类型1中的e和MA把EAP-响应/TAKE子类型1(e,MA)发送到接入点200,而在步骤S160,接入点200发送包括从用户100发送的(e,MA)的半径-接入-请求(e,MA)到验证服务器300。
在步骤S170,验证服务器300从用户100接收e和MA,使用r、π和t运算f=H(r,π,t)的散列值。利用运算的f的秘密密钥解密接收的e,发现gx=Df{e},使用发现的gx和b运算c=gbx,使用c和r运算skB=(c,gx,r),产生H(skB,π,t,IDA),和检查是否H(skB,π,t,IDA)对应于接收的MA。当它们彼此对应时,用户100上的验证被认为是成功的,并且验证服务器300从用户100接收MA,运算MB=H(skB,π,t,gb),以及把作为半径-接入-挑战(MB)的MB发送到接入点200。
在步骤S180,接入点200定义从验证服务器300发送的MB作为TAKE子类型2,以及把EAP-请求TAKE子类型2(MB)发送到用户100。
用户100从验证服务器300接收MB,并检查是否MB对应于由用户100运算的H(skB,π,t,gb)。当它们彼此对应时,验证服务器300上的验证被认为是成功的,用户100接收MB。当用户100和验证服务器300分别接收了MA和MB时,用户100和验证服务器300之间的相互验证被认为是成功的。
在步骤S190,用户100通过表示认可的TAKE子类型2把EAP-响应/TAKE子类型2发送到接入点200,并且在步骤S200,接入点200发送包括从用户100发送的消息的半径-接入-请求到验证服务器300。
当通过接入点200从用户发送的验证结果是成功的时,在步骤S210,验证服务器300发送半径-接入-接受消息到接入点200,并且在步骤S220,接入点200根据该结果发送EAP-成功消息到用户100,而在步骤S230,发送EAPOL(经LAN协议的EAP封装)-密钥消息到用户100以便通知用户100允许访问。
在该例中,用户100和接入点200之间发送的消息或数据分组包括EAPOL。
现在将描述使用验证方法的TAKE协议是否满足强大验证所需的技术条件。下面给出对根据本发明优选实施例的使用验证方法的TAKE协议的安全性分析。
(1)身份保护:当接收ID请求时,用户发送H(IDA,gb)替代用户的IDA以便诸如搭线窃听的被动攻击者不知道用户的身份。这里,验证服务器利用用户的真实身份匹配用户的匿名。
(2)强大的相互验证:当知道密码π、秘密密钥t和验证服务器的公开密钥gb时,用户能引导验证码MA和获得验证。当知道密码π、秘密密钥t、用户IDA和服务器的秘密密钥b时,验证服务器可以引导MB和获得网络的验证。因此,强大的相互验证是允许的。
(3)会话密钥建立:产生会话密钥skA和skB以保护用户和验证服务器之间的数据。产生的会话密钥提供通过选择各个目标对象的动态数x和r所导致的随机性和新鲜性。
(4)FS(转送保密):当用户拥有的秘密信息<IDA>、<π>、<t>和<gb>暴露给攻击者时,他能解密e加密电文从而得知gx,但难于运算c=gxb的值,这是因为DLP(离散对数问题)的缘故。此外,当服务器的秘密密钥<b>被暴露时,攻击者必须知道gx以便运算c=gxb的值,并必须知道<π>和<t>以便知道gx。就是说,当他知道<b>、<π>和<t>时,攻击者可以运算会话密钥。然而,由于业务提供商是大的公司并被认为在实际的(公众访问)无线LAN环境中具有他们自己的优秀的安全系统,有关安全性的重要的秘密信息暴露给攻击者的概率似乎是很低的。因此,TAKE协议不是普通的半FS,而是(公众访问)无线LAN中实际有用的半FS。
(5)脱机字典攻击:攻击者试图攻击脱机字典以便获得用于成功验证的秘密信息。具有低平均信息量的密码无力抵抗攻击,但这类型的攻击实质上是不可能的,因为存储在标记中的具有高平均信息量的秘密密钥和密码被当作密钥来用于加密TAKE中的gx的随机值。就是说,攻击者必须假定密码、秘密密钥和gx的随机值。
(6)关于MitM攻击的安全性:攻击者可以被定位在用户和服务器之间以执行MitM攻击,但这种攻击是很难成功的,因为TAKE使用强大的二因子验证。
(7)关于重放攻击的安全性:重放攻击表示攻击者重发使用的消息和重新建立先前的会话密钥的一种攻击方法。TAKE安全地抵制重放攻击,这是由于用户和服务器对每个会话分别产生随机数x和r以产生会话密钥。
(8)有效性
-将操作负载最小化:DH(Diffie-Hellman)协议被频繁地用于AKE协议,由于它提供FS,但需要取幂运算和产生大量的运算。多数操作时间被用于取幂、逆元的运算和乘法。特别的是,当计算量被增加时,PDA使用更多的实时的验证时间。因此,TAKE方法用来使用户可以在线地使用一个对称密钥加密和五个散列函数,并执行两次取幂运算来用于离线预运算。服务器需要有关一次取幂、一次对称密钥解密和四个散列函数的运算量。
-将消息交换的次数最小化:由于TAKE具有四次传递,减少了用户和验证服务器之间交换的消息数。
-将通信带宽的使用最小化:五个消息中的三个表示散列函数的输出比特数,其中的一个是随机数的比特数,并且它的最后一个是gx的加密电文的输出比特数。
(9)密钥确认:TAKE包括验证码MA和MB中的会话密钥并执行密钥确认以此检查与期望的验证服务器共享公开秘密会话密钥的参与协议的合法用户。
(10)不可抵赖:TAKE不使用数字签名但使用强大的二因子验证,因此,防止了欺诈的用户使用业务但否认其对业务的使用。
上述本发明的优选实施例可以以程序来实现,并存储在计算机可读的记录媒体中(CD-ROM、RAM、软盘、HDD和光盘)
尽管已经结合所出现的考虑是最实际的和优选实施例描述了本发明,但应该明白的是,本发明不限于公开的实施例。相反,意在覆盖所附权利要求书的精神和范围内所包括的各种修改和等效的安排。

Claims (21)

1.在通过有线/无线通信在接入到验证服务器的用户站上相互验证的密钥交换方法中,,二因子验证式密钥交换方法包括:
(a)所述用户站发送密钥到所述验证服务器,所述密钥是利用所述用户站的识别符和所述验证服务器的公开密钥产生的;
(b)所述用户站接收通过所述验证服务器产生的随机数;
(c)使用所述接收的随机数、所述用户站中预定的密码和存储在标记中的密钥,发送加密的第一特定值和产生的用户验证码到所述验证服务器;
(d)根据所述验证服务器对所述发送的用户的验证码的成功验证,所述用户站接收所述验证服务器的验证码;以及
(e)所述用户站使用秘密密钥和密码,验证所述接收的验证服务器验证码,并且当验证成功时,接收所述验证服务器的验证码。
2.权利要求1的二因子验证式密钥交换方法,其中存储在所述标记中的所述密钥是对称密钥。
3.权利要求1的二因子验证式密钥交换方法,其中还包括;在(a)之前,
所述用户站确定所述对称密钥和用于对称密钥算法的所述密码,并在注册处理期间与所述验证服务器共享所述对称密钥和所述密码;以及
当所述用户站不与所述验证服务器交换用于验证的密钥时,所述用户站产生随机数和预运算第一确定的值。
4.权利要求1或3的二因子验证式密钥交换方法,其中所述用户站在所述标记中存储所述验证服务器的所述密码和公开密钥。
5.权利要求1或3的二因子验证式密钥交换方法,其中,在(a)中,所述产生的密钥是通过把单向散列函数应用到所述用户站的识别符和所述验证服务器的所述公开密钥来产生的。
6.权利要求1或3的二因子验证式密钥交换方法,其中(c)包括:
将所述散列函数应用到所述接收的随机数、所述密码和存储在所述标记中的所述密钥,并产生第二预定值;
使用所述第二预定值和加密所述第一预定值;
使用所述随机数和所述第一预定值,并产生所述用户的会话密钥;
把所述散列函数应用到所述产生的会话密钥、所述密码、存储在所述标记中的所述密钥和所述用户站的所述识别符,并产生所述用户的验证码;以及
把所述加密的第一预定值和所述用户的验证码发送到所述验证服务器。
7.权利要求6的二因子验证式密钥交换方法,其中(e)包括:
把所述散列函数应用到所述用户的会话密钥、所述密码、存储在所述标记中的所述密钥和所述验证服务器的公开密钥,并产生第三预定值;
确定所述产生的第三预定值是否对应于从所述验证服务器接收的所述验证服务器的所述验证码;以及
确定所述用户站和所述验证服务器之间的验证是成功的,并且当发现所述产生的第三预定值对应于所述验证服务器的验证码时,接收所述验证服务器的验证码。
8.在接入用于有线/无线通信的用户站的验证服务器交换用于相互验证的密钥的方法中,二因子验证式密钥交换方法包括:
(a)所述验证服务器接收密钥,所述密钥是由所述用户站通过使用所述验证服务器的识别符和公开密钥而产生的;
(b)所述验证服务器使用从所述用户站接收的值,检测所述用户的密码、所述标记中密钥和所述验证服务器的公开密钥,产生随机数,并把所述随机数发送到所述用户站;
(c)基于所述发送的随机数,所述验证服务器接收由所述用户站产生的加密值和所述用户的验证码;
(d)所述验证服务器确定通过使用所述密码、存储在所述标记中的所述密钥和所述随机数所产生的所述第一预定值作为秘密密钥,解密在(c)中接收的所述加密的值以便产生第二预定值,基于所述第二预定值验证所述接收的用户验证码,并且当验证成功时接收所述用户验证码;以及
(e)所述验证服务器使用所述密码、存储在所述标记中的所述密钥和所述公开密钥,并且把所述验证服务器的验证码发送到所述用户站。
9.权利要求8的二因子验证式密钥交换方法,其中存储在所述标记中的所述密钥是对称密钥。
10.权利要求9的二因子验证式密钥交换方法,其中还包括:在(a)之前,所述验证服务器确定用于对称密钥密码系统的所述对称密钥和所述密码并在注册处理期间与所述用户站共享所述对称密钥和所述密码。
11.权利要求8或10的二因子验证式密钥交换方法,其中所述验证服务器在安全文件数据库中存储所述标记中存储的密钥、所述密码和所述验证服务器的秘密密钥。
12.权利要求8或10的二因子验证式密钥交换方法,其中(d)包括:
把所述散列函数应用到所述密码、存储在所述标记中的所述密钥和所述随机数,并产生所述第一预定值;
确定所述产生的第一预定值作为秘密密钥,将所述接收的加密值解密,并产生所述第二预定值;
使用所述产生的第二预定值、所述验证服务器的公开密钥和所述随机数,并产生所述验证服务器的会话密钥;
确定通过把所述散列函数应用到所述产生的会话密码、所述密码、所述标记中存储的密钥和所述用户站识别符所获得的值是否对应于所述接收的用户验证码;以及
当所述值对应于所述接收的用户验证码时,确定发现对所述用户的验证是成功的,并接收所述用户验证码。
13.权利要求12的二因子验证式密钥交换方法,其中所述验证服务器的所述会话密钥用来产生(e)中的所述验证服务器验证码。
14.权利要求1或8的二因子验证式密钥交换方法,其中在(a)中,当所述用户站的所述识别符使用NAI(网络访问ID)格式以便支持全球漫游和记帐时,所述用户站把所述用户名称、所述验证服务器的公开密钥的散列值和域名发送到所述验证服务器。
15.在通过接入点访问用户站和验证服务器的无线通信系统中在用户站和验证服务器之间通过二因子验证式密钥交换的相互验证方法中,通过二因子验证式密钥交换的验证方法包括:
(a)所述用户站从所述接入点接收识别符请求;
(b)所述用户站通过所述接入点把通过使用所述用户站的所述识别符和所述验证服务器的公开密钥所产生的密钥发送到所述验证服务器;
(c)所述验证服务器使用从所述用户站接收的密钥,检测所述用户的所述密码、秘密密钥和所述验证服务器的公开密钥,产生随机数,并通过所述接入点把所述随机数发送到所述用户站;
(d)所述用户站使用所述接收的随机数、所述密码和所述标记中存储的密钥,并通过所述接入点把加密的第一预定值和所述产生的用户验证码发送到所述验证服务器;
(e)所述验证服务器确定通过使用所述密码、所述标记中存储的密钥和所述随机数所产生的第二预定值作为秘密密钥,解密在(d)中接收的所述加密值,基所述于解密值,验证所述接收的用户验证码,并且当发现验证成功时,通过接入点把通过使用所述密码、所述标记中存储的密钥和所述公开密钥所产生的验证服务器验证码发送到所述用户站;
(f)所述用户站使用所述标记中存储的密钥和所述密码,验证所述接收的验证服务器验证码,并通过所述接入点把验证结果发送给所述验证服务器;以及
(g)当发现从所述用户站发送的所述验证结果是成功的时,所述验证服务器把关于所述用户的访问许可通过所述接入点发送给所述用户站。
16.权利要求15的验证方法,其中所述标记中存储的密钥是对称密钥。
17.权利要求15或16的验证方法,其中在所述用户站和接入点之间使用可扩展的验证协议,和
在接入点和所述验证服务器之间使用RADIUS协议。
18.在用于通过有线/无线通信接入到验证服务器的用户站上交换相互验证的密钥的方法中,存储程序的记录媒体包括:
(a)所述用户站把使用所述用户站的识别符和所述验证服务器的公开密钥产生的密钥发送到所述验证服务器;
(b)所述用户站接收通过所述验证服务器产生的随机数;
(c)所述用户站使用所述接收的随机数、在所述用户站预定的所述密码和存储在所述标记中的所述密钥,并把加密的第一特定值和所述产生的用户验证码发送到所述验证服务器;
(d)根据所述验证服务器对所述发送的用户验证码的成功验证,所述用户站接收由所述验证服务器产生的所述验证服务器验证码;以及
(e)所述用户站使用存储在所述标记中的所述密钥和所述密码,验证所述接收的验证服务器验证码,并且当所述验证成功时,接收所述验证服务器验证码。
19.权利要求18的记录媒体,其中存储在所述标记中的所述密钥是对称密钥。
20.在用于通过有线/无线通信接入到用户站的验证服务器上交换相互验证的密钥的方法中,存储程序的记录媒体包括:
(a)所述验证服务器接收所述用户站通过使用所述验证服务器识别符和公开密钥产生的值;
(b)所述验证服务器使用从所述用户站接收的所述值,检测所述用户的密码、存储在标记中密钥和所述验证服务器的公开密钥,产生随机数,并且把所述随机数发送到所述用户站;
(c)基于所述发送的随机数,所述验证服务器接收由所述用户站产生的加密值和所述用户验证码;
(d)所述验证服务器确定通过使用所述密码、存储在所述标记中的所述密钥和所述随机数所产生的第一预定值作为秘密密钥,解密在(c)中接收的加密值以便产生第二预定值,基于所述第二预定值验证所述接收的用户验证码,并且当发现所述验证成功时接收所述用户的验证码;以及
(e)所述验证服务器把使用所述密码、存储在所述标记中的所述密钥和所述公开密钥产生的所述验证服务器验证码发送到所述用户站。
21.权利要求20的记录媒体,其中存储在所述标记中的密钥是对称密钥。
CN2004800244373A 2003-06-27 2004-06-28 二因子验证式密钥交换方法和使用它的验证方法以及存储包括它的程序的记录媒体 Expired - Fee Related CN1846397B (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
KR10-2003-0042611 2003-06-27
KR1020030042611A KR100581590B1 (ko) 2003-06-27 2003-06-27 이중 요소 인증된 키 교환 방법 및 이를 이용한 인증방법과 그 방법을 포함하는 프로그램이 저장된 기록매체
KR1020030042611 2003-06-27
PCT/KR2004/001569 WO2005002131A1 (en) 2003-06-27 2004-06-28 Two-factor authenticated key exchange method and authentication method using the same, and recording medium storing program including the same

Publications (2)

Publication Number Publication Date
CN1846397A true CN1846397A (zh) 2006-10-11
CN1846397B CN1846397B (zh) 2012-05-30

Family

ID=33550202

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2004800244373A Expired - Fee Related CN1846397B (zh) 2003-06-27 2004-06-28 二因子验证式密钥交换方法和使用它的验证方法以及存储包括它的程序的记录媒体

Country Status (5)

Country Link
US (1) US8352739B2 (zh)
JP (1) JP4847322B2 (zh)
KR (1) KR100581590B1 (zh)
CN (1) CN1846397B (zh)
WO (1) WO2005002131A1 (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101554029A (zh) * 2006-11-21 2009-10-07 汤姆森许可贸易公司 将第一设备与第二设备相关联的方法和设备
CN101431410B (zh) * 2007-11-09 2011-11-30 康佳集团股份有限公司 一种网络游戏客户端与服务器集群的认证方法
CN103079256A (zh) * 2012-03-05 2013-05-01 上海寰创通信科技股份有限公司 一种基于无线网络环境的许可证信息验证方法
CN103795534A (zh) * 2012-10-31 2014-05-14 三星Sds株式会社 基于口令的认证方法及用于执行该方法的装置
CN110177124A (zh) * 2019-06-20 2019-08-27 深圳市网心科技有限公司 基于区块链的身份认证方法及相关设备
WO2024045677A1 (zh) * 2022-08-31 2024-03-07 游湘浓 电子装置及电子装置间的身份识别方法

Families Citing this family (64)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8082506B1 (en) * 2004-08-12 2011-12-20 Verizon Corporate Services Group Inc. Geographical vulnerability mitigation response mapping system
US8572734B2 (en) 2004-08-12 2013-10-29 Verizon Patent And Licensing Inc. Geographical intrusion response prioritization mapping through authentication and flight data correlation
US8631493B2 (en) * 2004-08-12 2014-01-14 Verizon Patent And Licensing Inc. Geographical intrusion mapping system using telecommunication billing and inventory systems
KR100797487B1 (ko) * 2004-08-27 2008-01-24 유넷시스템주식회사 통합인증시스템, 통합인증방법 및 기록매체
KR100694104B1 (ko) 2005-02-23 2007-03-12 삼성전자주식회사 라운드 트립 시간을 측정하는 방법 및 이를 이용한 인접성검사 방법
WO2006137624A1 (en) 2005-06-22 2006-12-28 Electronics And Telecommunications Research Institute Method for allocating authorization key identifier for wireless portable internet system
US8788802B2 (en) * 2005-09-29 2014-07-22 Qualcomm Incorporated Constrained cryptographic keys
US7783041B2 (en) 2005-10-03 2010-08-24 Nokia Corporation System, method and computer program product for authenticating a data agreement between network entities
ATE510396T1 (de) 2006-02-01 2011-06-15 Research In Motion Ltd System und methode für die validierung eines benutzerkontos mit einer drahtlosen vorrichtung
KR100850506B1 (ko) * 2006-05-09 2008-08-05 인하대학교 산학협력단 사용자 인증의 이중 강화를 위한 보안 관리 웹 서비스시스템 및 방법
FI118841B (fi) * 2006-09-13 2008-03-31 Eads Secure Networks Oy Matkaviestimen autentikointi
KR100827187B1 (ko) * 2006-10-11 2008-05-02 엔에이치엔(주) 보안 인증 시스템 및 방법
KR100860573B1 (ko) * 2006-12-01 2008-09-26 (재)대구경북과학기술연구원 사용자 인증 방법
JP5144679B2 (ja) * 2006-12-19 2013-02-13 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 通信ネットワークにおけるユーザアクセス管理
US9008617B2 (en) 2006-12-28 2015-04-14 Verizon Patent And Licensing Inc. Layered graphical event mapping
US7933413B2 (en) 2007-02-02 2011-04-26 Microsoft Corporation Key exchange verification
JP5184627B2 (ja) 2007-06-26 2013-04-17 G3−ビジョン リミテッド コミュニケーション装置、認証システム及び方法、並びにキャリア媒体
WO2009041804A2 (en) * 2007-09-26 2009-04-02 Mimos Berhad Secure instant messaging
US8291231B2 (en) * 2007-11-07 2012-10-16 Nippon Telegraph And Telephone Corporation Common key setting method, relay apparatus, and program
US8205098B2 (en) 2008-02-25 2012-06-19 Microsoft Corporation Secure and usable protection of a roamable credentials store
US8660268B2 (en) 2008-04-29 2014-02-25 Red Hat, Inc. Keyed pseudo-random number generator
US9258113B2 (en) 2008-08-29 2016-02-09 Red Hat, Inc. Username based key exchange
US9225526B2 (en) * 2009-11-30 2015-12-29 Red Hat, Inc. Multifactor username based authentication
KR101038096B1 (ko) * 2010-01-04 2011-06-01 전자부품연구원 바이너리 cdma에서 키 인증 방법
US8842833B2 (en) * 2010-07-09 2014-09-23 Tata Consultancy Services Limited System and method for secure transaction of data between wireless communication device and server
WO2012030624A1 (en) 2010-08-30 2012-03-08 Vmware, Inc. Unified workspace for thin, remote, and saas applications
US20120102324A1 (en) * 2010-10-21 2012-04-26 Mr. Lazaro Rodriguez Remote verification of user presence and identity
JP5895471B2 (ja) 2011-01-17 2016-03-30 株式会社リコー 情報処理装置、プログラム
KR101350984B1 (ko) * 2011-07-06 2014-01-13 삼성에스디에스 주식회사 보안 토큰에 대한 발급자 인증 방법 및 그 장치
CN103117986B (zh) * 2011-11-17 2016-01-13 腾讯科技(深圳)有限公司 无线客户端的验证方法、系统和验证服务器
WO2013132462A1 (en) * 2012-03-08 2013-09-12 Oltio (Proprietary) Limited A method of authenticating a device and encrypting data transmitted between the device and a server
JP2014068140A (ja) * 2012-09-25 2014-04-17 Sony Corp 情報処理装置、情報処理方法及びプログラム
EP2907093B1 (de) * 2012-10-15 2018-07-18 Giesecke+Devrient Mobile Security GmbH Laden und ausgeben eines elektronischen geldbetrags
CN103905388A (zh) * 2012-12-26 2014-07-02 中国移动通信集团广东有限公司 一种认证方法、认证装置、智能卡、服务器
US9350550B2 (en) * 2013-09-10 2016-05-24 M2M And Iot Technologies, Llc Power management and security for wireless modules in “machine-to-machine” communications
US9100175B2 (en) 2013-11-19 2015-08-04 M2M And Iot Technologies, Llc Embedded universal integrated circuit card supporting two-factor authentication
US10498530B2 (en) 2013-09-27 2019-12-03 Network-1 Technologies, Inc. Secure PKI communications for “machine-to-machine” modules, including key derivation by modules and authenticating public keys
KR101495448B1 (ko) * 2013-10-29 2015-02-26 (주) 아이씨티케이 사용자 인증을 위한 ic 칩 및 인증 방법
US10700856B2 (en) * 2013-11-19 2020-06-30 Network-1 Technologies, Inc. Key derivation for a module using an embedded universal integrated circuit card
CN104935555B (zh) * 2014-03-20 2018-06-15 华为技术有限公司 客户端证书认证方法、服务器、客户端及系统
US9240887B2 (en) 2014-05-02 2016-01-19 Dell Products L.P. Off-host authentication system
US9300664B2 (en) 2014-05-02 2016-03-29 Dell Products L.P. Off-host authentication system
US9258303B1 (en) * 2014-08-08 2016-02-09 Cellcrypt Group Limited Method of providing real-time secure communication between end points in a network
US10078425B2 (en) * 2014-11-19 2018-09-18 Imprivata, Inc. Strong authentication via distributed stations
CN105704101B (zh) * 2014-11-27 2019-10-18 华为技术有限公司 一种用于推送消息的方法及设备
WO2016114259A1 (ja) * 2015-01-16 2016-07-21 日本電信電話株式会社 鍵交換方法、鍵交換システム、鍵装置、端末装置、およびプログラム
US9853977B1 (en) 2015-01-26 2017-12-26 Winklevoss Ip, Llc System, method, and program product for processing secure transactions within a cloud computing system
US9838385B2 (en) 2015-06-30 2017-12-05 International Business Machines Corporation Password generation based on dynamic factors
WO2017001972A1 (en) * 2015-06-30 2017-01-05 Raghav Bhaskar User friendly two factor authentication
DE102015220228B4 (de) * 2015-10-16 2019-03-21 Volkswagen Aktiengesellschaft Verfahren und System zur Absicherung einer erstmaligen Kontaktaufnahme eines Mobilgeräts mit einem Gerät
US10218698B2 (en) * 2015-10-29 2019-02-26 Verizon Patent And Licensing Inc. Using a mobile device number (MDN) service in multifactor authentication
DE102016208512A1 (de) * 2016-05-18 2017-11-23 Bundesdruckerei Gmbh Zugangskontrolle mit einem Mobilfunkgerät
US10554641B2 (en) 2017-02-27 2020-02-04 International Business Machines Corporation Second factor authorization via a hardware token device
US10438006B2 (en) 2017-07-27 2019-10-08 Citrix Systems, Inc. Secure information storage
GB2580635A (en) * 2019-01-18 2020-07-29 Stratec Se System for authentification
US11423160B2 (en) 2020-04-16 2022-08-23 Bank Of America Corporation System for analysis and authorization for use of executable environment data in a computing system using hash outputs
US11263109B2 (en) 2020-04-16 2022-03-01 Bank Of America Corporation Virtual environment system for validating executable data using accelerated time-based process execution
US11425123B2 (en) 2020-04-16 2022-08-23 Bank Of America Corporation System for network isolation of affected computing systems using environment hash outputs
US11528276B2 (en) 2020-04-16 2022-12-13 Bank Of America Corporation System for prevention of unauthorized access using authorized environment hash outputs
US11481484B2 (en) 2020-04-16 2022-10-25 Bank Of America Corporation Virtual environment system for secure execution of program code using cryptographic hashes
US11372982B2 (en) 2020-07-02 2022-06-28 Bank Of America Corporation Centralized network environment for processing validated executable data based on authorized hash outputs
CN113472731B (zh) * 2020-12-25 2022-07-22 北京大学 一种针对数据库用户身份验证的双因素认证方法
CN113573307B (zh) * 2021-07-28 2024-01-30 西安热工研究院有限公司 一种基于可扩展认证协议的快速认证方法
CN115277030B (zh) * 2022-09-29 2022-12-30 国网江西省电力有限公司电力科学研究院 一种面向窄带物联网的轻量化安全认证的密钥交换方法

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05281906A (ja) * 1992-04-02 1993-10-29 Fujitsu Ltd 暗号鍵共有方式
US5434918A (en) * 1993-12-14 1995-07-18 Hughes Aircraft Company Method for providing mutual authentication of a user and a server on a network
US5608778A (en) * 1994-09-22 1997-03-04 Lucent Technologies Inc. Cellular telephone as an authenticated transaction controller
JPH09307542A (ja) * 1996-03-15 1997-11-28 Sony Corp データ伝送装置とその方法
JPH10155170A (ja) 1996-11-22 1998-06-09 Toyo Commun Equip Co Ltd ページャ
US5784463A (en) * 1996-12-04 1998-07-21 V-One Corporation Token distribution, registration, and dynamic configuration of user entitlement for an application level security system and method
US5995624A (en) 1997-03-10 1999-11-30 The Pacid Group Bilateral authentication and information encryption token system and method
JPH10340255A (ja) 1997-06-10 1998-12-22 Kyushu Nippon Denki Software Kk ネットワーク利用者認証方式
US6088799A (en) * 1997-12-11 2000-07-11 International Business Machines Corporation Security method and system for persistent storage and communications on computer network systems and computer network systems employing the same
US6173400B1 (en) 1998-07-31 2001-01-09 Sun Microsystems, Inc. Methods and systems for establishing a shared secret using an authentication token
CA2282942A1 (en) 1998-11-09 2000-05-09 Lucent Technologies Inc. Efficient authentication with key update
US6757825B1 (en) 1999-07-13 2004-06-29 Lucent Technologies Inc. Secure mutual network authentication protocol
US7047408B1 (en) * 2000-03-17 2006-05-16 Lucent Technologies Inc. Secure mutual network authentication and key exchange protocol
US7017041B2 (en) * 2000-12-19 2006-03-21 Tricipher, Inc. Secure communications network with user control of authenticated personal information provided to network entities
US7076656B2 (en) * 2001-04-05 2006-07-11 Lucent Technologies Inc. Methods and apparatus for providing efficient password-authenticated key exchange
US7228438B2 (en) 2001-04-30 2007-06-05 Matsushita Electric Industrial Co., Ltd. Computer network security system employing portable storage device
US6986045B2 (en) * 2001-08-17 2006-01-10 Pitney Bowes Inc. Single algorithm cipher suite for messaging
WO2003025771A1 (fr) 2001-09-14 2003-03-27 Yozan Inc. Terminal d'authentification, terminal de reception, serveur d'authentification, procede et systeme d'authentification
US20030093680A1 (en) 2001-11-13 2003-05-15 International Business Machines Corporation Methods, apparatus and computer programs performing a mutual challenge-response authentication protocol using operating system capabilities
US6996714B1 (en) * 2001-12-14 2006-02-07 Cisco Technology, Inc. Wireless authentication protocol

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101554029A (zh) * 2006-11-21 2009-10-07 汤姆森许可贸易公司 将第一设备与第二设备相关联的方法和设备
CN101554029B (zh) * 2006-11-21 2013-08-14 汤姆森许可贸易公司 将第一设备与第二设备相关联的方法和设备
CN101431410B (zh) * 2007-11-09 2011-11-30 康佳集团股份有限公司 一种网络游戏客户端与服务器集群的认证方法
CN103079256A (zh) * 2012-03-05 2013-05-01 上海寰创通信科技股份有限公司 一种基于无线网络环境的许可证信息验证方法
CN103079256B (zh) * 2012-03-05 2016-03-30 上海寰创通信科技股份有限公司 一种基于无线网络环境的许可证信息验证方法
CN103795534A (zh) * 2012-10-31 2014-05-14 三星Sds株式会社 基于口令的认证方法及用于执行该方法的装置
CN110177124A (zh) * 2019-06-20 2019-08-27 深圳市网心科技有限公司 基于区块链的身份认证方法及相关设备
WO2024045677A1 (zh) * 2022-08-31 2024-03-07 游湘浓 电子装置及电子装置间的身份识别方法

Also Published As

Publication number Publication date
KR20050000481A (ko) 2005-01-05
JP2007520909A (ja) 2007-07-26
US20100325435A1 (en) 2010-12-23
JP4847322B2 (ja) 2011-12-28
WO2005002131A1 (en) 2005-01-06
KR100581590B1 (ko) 2006-05-22
CN1846397B (zh) 2012-05-30
US8352739B2 (en) 2013-01-08

Similar Documents

Publication Publication Date Title
CN1846397A (zh) 二因子验证式密钥交换方法和使用它的验证方法以及存储包括它的程序的记录媒体
EP1589695B1 (en) A method for the access of the mobile terminal to the WLAN and for the data communication via the wireless link securely
US8510556B2 (en) Authentication method, system, server, and user node
US7725730B2 (en) Cryptographic methods and apparatus for secure authentication
US8327143B2 (en) Techniques to provide access point authentication for wireless network
WO2017201809A1 (zh) 终端通信方法及系统
CN1324502C (zh) 鉴别被邀请加入组的潜在成员的方法
JP4801147B2 (ja) 証明を配送するための方法、システム、ネットワーク・ノード及びコンピュータ・プログラム
CN1191703C (zh) 宽带无线ip系统移动终端的安全接入方法
JP4170912B2 (ja) ネットワークプロバイダ及びビジネスパートナーに対する遠隔通信加入者の認証及び許可のための端末における公開鍵ペアの利用
WO2010078755A1 (zh) 电子邮件的传送方法、系统及wapi终端
WO2009082717A2 (en) A method for authenticating a communication channel between a client and a server
CN102082665B (zh) 一种eap认证中的标识认证方法、系统和设备
JP2013504832A (ja) 信頼できる認証およびログオンのための方法および装置
Li et al. A lightweight roaming authentication protocol for anonymous wireless communication
Prakash et al. Authentication protocols and techniques: a survey
WO2003047294A1 (en) Authentication, authorisation and accounting for a roaming user terminal
CN114389808B (zh) 一种基于SM9盲签名的OpenID协议设计方法
Saxena et al. BAS-VAS: A novel secure protocol for value added service delivery to mobile devices
Abbasinezhad‐Mood et al. Novel chaotic map‐based privacy‐preserving authenticated key agreement scheme without the electricity service provider involvement
Wan et al. DoS-resistant access control protocol with identity confidentiality for wireless networks
He et al. An asymmetric authentication protocol for M-Commerce applications
Yalli et al. A Convenient User Three Authentication Levels for Internet of Things (IoT) Devices
Karabulut-Kurt et al. Privacy-Preserving Authentication Scheme for Connected Autonomous Vehicles
Hart et al. Website credential storage and two-factor web authentication with a Java SIM

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20120530

Termination date: 20190628