CZ2012717A3 - Způsob zajištění bezpečné komunikace v nedůvěryhodných sítích a zařízení k provedení tohoto způsobu - Google Patents

Způsob zajištění bezpečné komunikace v nedůvěryhodných sítích a zařízení k provedení tohoto způsobu Download PDF

Info

Publication number
CZ2012717A3
CZ2012717A3 CZ2012-717A CZ2012717A CZ2012717A3 CZ 2012717 A3 CZ2012717 A3 CZ 2012717A3 CZ 2012717 A CZ2012717 A CZ 2012717A CZ 2012717 A3 CZ2012717 A3 CZ 2012717A3
Authority
CZ
Czechia
Prior art keywords
data
network
secure
key
communication channel
Prior art date
Application number
CZ2012-717A
Other languages
English (en)
Inventor
Kamil Knotek
Filip Sobol
Original Assignee
Pramacom Prague Spol. S R.O.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Pramacom Prague Spol. S R.O. filed Critical Pramacom Prague Spol. S R.O.
Priority to CZ2012-717A priority Critical patent/CZ2012717A3/cs
Priority to PCT/CZ2012/000115 priority patent/WO2014059952A1/en
Publication of CZ2012717A3 publication Critical patent/CZ2012717A3/cs

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Zařízení k tomuto způsobu je tvořeno nejméně jedním počítačem klienta, dále veřejným nezabezpečeným komunikačním kanálem pro přenos zašifrovaných dat, bezpečným komunikačním kanálem pro přenos šifrovacího klíče, dále šifrujícím mezi privátní a nedůvěryhodnou sítí, správcem spojení na bezpečné síti a šifrovacím zařízením mezi veřejnou sítí a klientským zařízením. Způsob bezpečného přenosu dat v nedůvěryhodných sítích se provádí tak, že data určená k přenosu jsou zašifrována šifrou dostatečně bezpečnou, aby se v zašifrovaném stavu mohla odeslat nezabezpečeným širokopásmovým komunikačním kanálem a nehrozilo nebezpečí jejích dešifrování při zachycení neoprávněnou osobou. Klíč, kterým jsou odesílaná data zašifrována, je jednorázový, vygenerovaný pro každé spojení náhodně a individuálně, jeho délka je řádově menší, než délka přenášených dat, je odeslán příjemci prostřednictvím pomalé bezpečné a důvěryhodné sítě, aby nemohl být klíč v průběhu přenosu nebo užití kompromitován. Platnost každého klíče vyprší vždy po ukončení spojení. Příjemce použije klíč, který obdržel prostřednictvím důvěryhodné sítě k dešifrování dat, která přijal ze sítě nedůvěryhodné. Tímto způsobem dojde rovněž k ověření autenticity přijatých dat a je tak zároveň zamezeno možnosti cíleného podvrhu či manipulace daty v průběhu jejich přenosu.

Description

Způsob zajištění bezpečné komunikace v nedůvěryhodných sítích a zařízení k provedení tohoto způsobu.
Oblast techniky
Vynález se týká komunikační techniky s využitím elektroniky, výpočetní techniky a bezdrátové komunikace, konkrétně zajištění bezpečné datové komunikace, prostřednictvím nedůvěryhodných komunikačních sítí.
Dosavadní stav techniky
V současné době je možné pro realizaci zabezpečené bezdrátové datové komunikace využít řadu profesionálních prostředků a sítí, které poskytují odpovídající požadovanou úroveň zabezpečení přenášených dat proti neoprávněnému přístupu k jejich obsahu. Příkladem takovýchto sítí jsou například systém Tetrapol využívaný policií a armádou České Republiky a ostatními složkami IZS. Dalším příkladem mohou být proprietární komunikační systémy využívané zejména armádou. Společným jmenovatelem těchto prostředků je však relativně nízká datová prostupnost, která je důsledkem toho, že tyto systémy byly navrhovány především pro bezpečnou a spolehlivou hlasovou komunikaci a že spolehlivost a bezpečnost zde jsou od počátku kladeny vysoko nad datovou propustnost.
Naproti tomu existuje celá řada komerčně dostupných bezdrátových datových sítí, dosahujících přenosových rychlostí v řádech jednotek až desítek Mb, avšak tyto sítě jsou bez výjimky provozovány soukromými subjekty, a proto musí být z hlediska bezpečnosti dat považovány za nedůvěryhodné. Nemáme-li kontrolu nad tím, kdo má k datům v průběhu jejich přenosu přístup, musíme předpokládat, že ho má kdokoli. Tyto sítě jsou tedy pro přenos dat podléhajících zabezpečení nevhodné.
Máme zde tedy bezpečné sítě s nedostatečnou přenosovou kapacitou a dále sítě s velkou přenosovou kapacitou, ale nedostatečnou bezpečností.
Některé existující systémy využívají kombinace dvou různých komunikačních kanálů pro realizaci procedur sloužících pro ověření autenticity komunikujících stran. Jediný doposud známý systém kombinující bezpečnou a širokopásmovou síť využívá bezpečnou síť pro přenos jednorázového klíče, sloužícího pro dešifrování dokumentu přeneseného širokopásmovou sítí avšak není schopen vytvořit plnohodnotné obousměrné, bezpečné spojení.
Podstata vynálezu
Cílem vynálezu bylo vytvoření jednotné komunikační platformy pro profesionální mobilní datové služby, a to formou plnohodnotného obousměrného datového připojení.
Nevýhody obou výše uvedených kategorií, tedy pomalých bezpečných a rychlých nedůvěryhodných komunikačních kanálů, odstraňuje systém bezpečné komunikace prostřednictvím nedůvěryhodných sítí, jehož podstata spočívá v tom, že odděluje zabezpečenou informaci od prostředků k jejímu zabezpečení. Data určená k přenosu jsou zašifrována šifrou dostatečně bezpečnou, aby se v zašifrovaném stavu mohla odeslat nezabezpečeným širokopásmovým komunikačním kanálem a nehrozilo nebezpečí jejích •·· ······ •· · · · · · · ··« · • · · ··· ·· • · · · · · · · ·· • · · · · ·· • · · · · ··· · · ······· dešifrování při zachycení neoprávněnou osobou. Klíč, kterým jsou odesílaná data zašifrována je jednorázový, vygenerovaný pro každé sestavené spojení náhodně a individuálně. Klíč, jehož délka je řádově menší, než délka přenášených dat je odeslán příjemci prostřednictvím pomalé bezpečné a důvěryhodné sítě. Nehrozí proto, že by byl tento klíč v průběhu přenosu nebo užití kompromitován. Platnost každého klíče vyprší vždy po ukončení spojení, nebo po nastaveném časovém intervalu. Příjemce použije klíč, který obdržel prostřednictvím důvěryhodné sítě k dešifrování datového provozu, který probíhá prostřednictvím sítě nedůvěryhodné. Tímto způsobem dojde rovněž k ověření autenticity přijatých dat a je tak zároveň zamezeno možnosti cíleného podvrhu či manipulace daty v průběhu jejich přenosu.
Způsob bezpečného přenosu dat v nedůvěryhodných sítích a zařízení k tomuto způsobu se skládá z následujících prvků:
• Datová brána. Datová brána je technologický prostředek zajišťující šifrování provozu mezi vnitřní sítí (cíl zabezpečené komunikace) a nedůvěryhodnou (veřejnou) sítí.
• Správce klíčů. Správce klíčů je technologický prostředek přijímající požadavky na vytvoření spojení prostřednictvím důvěryhodného spojení, na jejich základě pak generuje jednorázové klíče pro šifrování vytvářených datových kanálů datovou bránou.
• Radiový terminál. Radiový terminál je hardwarové zařízení připojené do důvěryhodné bezdrátové sítě, zajišťující odesílání požadavků na data a příjem klíčů k šifrování dat přenášených prostřednictvím širokopásmového spojení.
• Datový terminál. Datový terminál je elektronické zařízení - přenosný počítač vybavený prostředky pro komunikaci prostřednictvím širokopásmové sítě a prostředky pro komunikaci s radiovým terminálem. Datový terminál je rovněž vybaven uživatelským rozhraním umožňující uživateli zadávat požadavky na data a prezentaci přijatých dat v otevřeném tvaru.
Vzhledem k tomu, že přenos dat v širokopásmových sítích bývá zpoplatněn, může systém optimalizovat strategii datových přenosů na základě objemu dat tak, že kratší datové relace, realizuje prostřednictvím důvěryhodné sítě a širokopásmové spojení použije pouze v případě požadavků na přenos většího množství dat.
Způsob bezpečného přenosu dat v nedůvěryhodných sítích, může být samozřejmě realizován oběma směry, tedy ne jen z datového portálu na datový terminál, ale rovněž z datového terminálu na datový portál.
Výhody nového řešení jsou následující:
1. Zachování bezpečnosti datových přenosů odpovídajících bezpečnosti důvěryhodné sítě
2. Přenosová rychlost odpovídající širokopásmovému datovému spojení
3. Optimalizace nákladů na datové komunikace
4. Vysoká flexibilita
5. Zachování možnosti datových komunikací i při výpadku širokopásmové sítě
Hlavní přínosy systému zajištění bezpečné komunikace v nedůvěryhodných sítích • Možnost zavedení nových mobilních datových služeb vyžadující větší objemy dat
• Výrazné zrychlení odezvy systému při dotazech do databází • Výrazné zvýšení celkové kapacity v systému mobilních datových služeb • Optimalizace a snížení zatížení datového provozu v důvěryhodné síti • Výrazné zvýšení propustnosti celého systému (zvýšeni rychlosti) • Výrazné zkrácení reakčních časů (doby čekání na odpověď)
Systém umožňuje realizaci vysokorychlostních datových přenosů při současném zachování bezpečnosti na úrovni bezpečné sítě. Systém umožňuje realizaci datových přenosů, nejvyšší dostupnou rychlostí při součastném zachování vysokých bezpečnostních standardů a požadavků na utajeni v bezpečných sítích.
Hlavní přínosy
Způsob zajištění bezpečné komunikace v nedůvěryhodných sítích a zařízení k provedení tohoto způsobu přináší oproti stávajícímu stavu následující výhody:
• Možnost zavedení nových mobilních datových služeb vyžadující větší objemy dat • Výrazné zrychlení odezvy systému při dotazech do databází • Výrazné zvýšení celkové kapacity v systému mobilních datových služeb • Optimalizace a snížení zatížení datového provozu v důvěryhodné síti • Výrazné zvýšení propustnosti celého systému (zvýšení rychlosti) • Výrazné zkrácení reakčních časů (doby čekání na odpověď)
Systém umožňuje realizaci systémů vzdáleného přístupu k datům, které doposud nebylo možno realizovat žádným jiným způsobem. Mezi tyto aplikace patří například:
• Aplikace přenosu rozsáhlých taktických informací, jako například map, situačních plánů, fotografií, popisů událostí, atd.
• Průběžné monitorování aktivity terminálů včetně jejich provozního stavu, datových přenosů a polohy • Koordinace a hromadná distribuce informací rozsáhlým týmům • Plnohodnotné, bezpečné využití intranetových aplikaci ve vzdálených terminálech
Současně se výrazně zkvalitní stávající datové služby jako například:
• Aplikace vzdáleného přístupu do databází • Přenos fotografií z dokladů
Vlastnosti řešení
Mezi základní vlastnosti našeho řešení profesionálních mobilních služeb patří:
• Zabezpečení dat odpovídající bezpečnosti důvěryhodné sítě • Přenosová rychlost odpovídající maximální komerčně dostupné přenosové rychlosti pro mobilní data (v současné době 24 Mbit/s) • Plná integrace do platforem Windows, WCE, Windows Mobile • · • · • · • Plná integrace do platforem Linux a Android
Technologie
Použitá technologie kombinuje bezpečné a širokopásmové komunikační kanály takovým způsobem, aby měl uživatel pocit, že má k dispozici jediný širokopásmový bezpečný komunikační prostředek.
Veškerá data související s klíčovým hospodářstvím jsou přenášena bezpečnou sítí. Je-li délka odpovědi vhodná pro přenos bezpečnou sítí, mohou být touto sítí také přenesena. Pokud by však délka přenášených dat způsobila zpoždění odpovědi či neúměrné zatížení bezpečné sítě nebo jejich povaha vyžaduje širokopásmové spojení, jsou data přenesena v zašifrované podobě vysokorychlostní sítí. Bezpečnou sítí je pak přenesena pouze informace nutná k jejich šifrování. Veškerá komunikace na vysokorychlostní síti je navíc zabezpečena protokolem SSL.
Systém je rovněž zabezpečen proti případnému výpadku vysokorychlostní sítě, například z důvodu přírodní katastrofy, výstupu z pokrytí, atd. V takovém případě systém buďto přenese veškerá data prostřednictvím bezpečné sítě anebo umožní uživateli zpřesnit dotaz a omezit tak přenášený objem dat.
Přehled obrázků na výkrese
Předmět vynálezu bude blíže objasněn na přiložených výkresů, kde na obr 1 je schematicky znázorněn způsob zajištění bezpečné komunikace v nedůvěryhodných sítích a zařízení k tomuto způsobu.
Příklad uskutečnění vynálezu
Příklad uskutečnění předmětu vynálezu, znázorněný na obr. 1 je způsob vytvoření bezpečného spojení v nedůvěryhodné síti s využitím bezpečného komunikačního kanálu 3 a veřejného komunikačního kanálu 2. Bezpečný - úzkopásmový komunikační kanál 3 slouží k předávání požadavků na spojení a výměně klíčů určených k šifrování přenášených dat. Veřejný - širokopásmový komunikační kanál 2 přenáší vlastní šifrovaná data.
Postup
1. Klient 7 požádá bezpečným - bezpečným komunikačním kanálem 3 o vytvoření zabezpečeného spojení.
2. Správce spojení 6 přijme požadavek a vygeneruje unikátní, jednorázový klíč. Tento klíč použije k vytvoření šifrovaného virtuálního spojení prostřednictvím šifrujícího zařízení 4.
3. Klič použitý k vytvoření šifrovaného spojení je zaslán zpět do vzdáleného šifrujícího zařízení 5 prostřednictvím bezpečného komunikačního kanálu 3.
4. Vzdálené šifrující zařízeni 5 využije přijatý klíč k navázání bezpečného spojení se šifrujícím zařízením privátní sítě 4.
Kompromitace privátní sítě se nepředpokládá.
Navržená platforma umožňuje rychlou, levnou, modulární a snadno rozšiřitelnou implementaci systému.
Průmyslová využitelnost
Způsob zajištění bezpečné komunikace v nedůvěryhodných sítích a zařízení k tomuto způsobu, který je předmětem tohoto vynálezu má širokou průmyslovou využitelnost a to zejména v aplikacích policie, armády, hasičů a ostatních složek integrovaného záchranného systému, kde umožní přenos dat, jako jsou fotografie, situační plány, mapy, aplikace operačního řízení atd., které zefektivní práci záchranných složek a umožní tak účinnější ochranu majetku, zdraví a života.

Claims (4)

1. Způsob zajištění bezpečné komunikace v nedůvěryhodných sítích a zařízení k tomuto způsobu, který je tvořen nejméně jedním počítačem klienta, dále veřejným nezabezpečeným komunikačním kanálem, pro přenos zašifrovaných dat, bezpečným komunikačním kanálem, pro přenos šifrovacího klíče vyznačující se tím, že dále je systém tvořen správcem spojení (6) na zabezpečeném komunikačním kanálu (3), šifrovacím zařízením (4) mezi veřejným komunikačním kanálem (3) a privátní sítí (1) a šifrovacím zařízením (5) mezi veřejnou sítí a klientským zařízením 171.
2. Způsob zajištění bezpečné komunikace v nedůvěryhodných sítích a zařízení k tomuto způsobu, podle nárokul ..vyznačující se tím, že bezpečný komunikační kanál (3) je realizován prostřednictvím neveřejného digitálního radiového systému a nezabezpečený širokopásmový kanál (2) je realizován prostřednictvím některého z datových režimů sítě GSM, UMTS a HSDPA, satelitním spojením, případně jiným vhodným nosičem.
3. Způsob zajištění bezpečné komunikace v nedůvěryhodných sítích a zařízení k tomuto způsobu podle nároku 1,vyznačující se tím, že data určená k přenosu jsou zašifrována šifrou dostatečně bezpečnou, aby se v zašifrovaném stavu mohla odeslat nezabezpečeným širokopásmovým komunikačním kanálem a nehrozilo nebezpečí jejích dešifrování při zachycení neoprávněnou osobou, přičemž klíč, kterým jsou odesílaná data zašifrována je jednorázový, vygenerovaný pro každé spojení náhodně a individuálně, jeho délka je řádově menší, než délka přenášených dat, je odeslán příjemci prostřednictvím pomalé bezpečné a důvěryhodné sítě, přičemž platnost každého klíče vyprší vždy po ukončení spojení, příjemce použije klíč, který obdržel prostřednictvím důvěryhodné sítě k dešifrování dat, která přijal ze sítě nedůvěryhodné, přičemž tímto způsobem dojde rovněž k ověření autenticity přijatých dat a je tak zároveň zamezeno možnosti cíleného podvrhu či manipulace daty v průběhu jejich přenosu.
4. Způsob zajištění bezpečné komunikace v nedůvěryhodných sítích a zařízení k tomuto způsobu podle nárokul .a 2., vyznačující se tím, že jsou správce spojení (6), šifrovací zařízení (4) a šifrovací zařízeni (5) realizovány softwarově.
CZ2012-717A 2012-10-19 2012-10-19 Způsob zajištění bezpečné komunikace v nedůvěryhodných sítích a zařízení k provedení tohoto způsobu CZ2012717A3 (cs)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CZ2012-717A CZ2012717A3 (cs) 2012-10-19 2012-10-19 Způsob zajištění bezpečné komunikace v nedůvěryhodných sítích a zařízení k provedení tohoto způsobu
PCT/CZ2012/000115 WO2014059952A1 (en) 2012-10-19 2012-11-16 Method of ensuring the safe communication in untrusted networks and equipment for the implementation of this method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CZ2012-717A CZ2012717A3 (cs) 2012-10-19 2012-10-19 Způsob zajištění bezpečné komunikace v nedůvěryhodných sítích a zařízení k provedení tohoto způsobu

Publications (1)

Publication Number Publication Date
CZ2012717A3 true CZ2012717A3 (cs) 2014-06-04

Family

ID=47562891

Family Applications (1)

Application Number Title Priority Date Filing Date
CZ2012-717A CZ2012717A3 (cs) 2012-10-19 2012-10-19 Způsob zajištění bezpečné komunikace v nedůvěryhodných sítích a zařízení k provedení tohoto způsobu

Country Status (2)

Country Link
CZ (1) CZ2012717A3 (cs)
WO (1) WO2014059952A1 (cs)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11582204B2 (en) * 2017-12-19 2023-02-14 Mobulus Net. Ltd Systems, and methods for transferring data between secure networks through less secure networks
US11194918B2 (en) 2019-07-10 2021-12-07 International Business Machines Corporation Data transmission based on verification codes

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7242772B1 (en) * 2000-09-07 2007-07-10 Eastman Kodak Company Encryption apparatus and method for synchronizing multiple encryption keys with a data stream
US20070271106A1 (en) * 2006-05-19 2007-11-22 Lee David H System and method for secure internet channeling agent
US8254579B1 (en) * 2007-01-31 2012-08-28 Hewlett-Packard Development Company, L.P. Cryptographic key distribution using a trusted computing platform

Also Published As

Publication number Publication date
WO2014059952A1 (en) 2014-04-24

Similar Documents

Publication Publication Date Title
CN109600350B (zh) 用于车辆网络中的控制器间的安全通信的系统和方法
CN107105060A (zh) 一种实现电动汽车信息安全的方法
CN101946454B (zh) 允许通信单元之间的安全通信的方法
CN109981639B (zh) 基于区块链的分布式可信网络连接方法
CN103118363B (zh) 一种互传秘密信息的方法、系统、终端设备及平台设备
CN102035845B (zh) 支持链路层保密传输的交换设备及其数据处理方法
CN103036867A (zh) 基于相互认证的虚拟专用网络服务设备和方法
CN102780698A (zh) 物联网平台中用户终端安全通信的方法
KR20130098368A (ko) 공유 비밀 확립 및 분배
CN101707767B (zh) 一种数据传输方法及设备
US20100031337A1 (en) Methods and systems for distributed security processing
MX2008015298A (es) Metodo y aparato para comunicaciones encriptadas utilizando claves de ipsec.
CN102348210A (zh) 一种安全性移动办公的方法和移动安全设备
CN101895882A (zh) 一种WiMAX系统中的数据传输方法、系统及装置
CN112688945A (zh) 一种物联网终端数据的传输方法和传输系统
Baee et al. ALI: Anonymous lightweight inter-vehicle broadcast authentication with encryption
CN101741548B (zh) 交换设备间安全连接的建立方法及系统
CN104270380A (zh) 基于移动网络和通信客户端的端到端加密方法和加密系统
US20120129485A1 (en) Medical data access system
CZ2012717A3 (cs) Způsob zajištění bezpečné komunikace v nedůvěryhodných sítích a zařízení k provedení tohoto způsobu
CN101437228B (zh) 基于智能卡的无线业务的实现方法、装置和系统
CN105827601A (zh) 移动设备数据加密应用方法及系统
KR20190115489A (ko) 보안기술을 활용한 iot기기 보안인증 시스템
CN112069487B (zh) 一种基于物联网的智能设备网络通讯安全实现方法
CN103986736A (zh) 用于网络安保的通信接口及通信方法