CZ2013373A3 - Způsob autentizace bezpečného datového kanálu - Google Patents

Způsob autentizace bezpečného datového kanálu Download PDF

Info

Publication number
CZ2013373A3
CZ2013373A3 CZ2013-373A CZ2013373A CZ2013373A3 CZ 2013373 A3 CZ2013373 A3 CZ 2013373A3 CZ 2013373 A CZ2013373 A CZ 2013373A CZ 2013373 A3 CZ2013373 A3 CZ 2013373A3
Authority
CZ
Czechia
Prior art keywords
shared secret
data channel
data
unauthenticated
authentication
Prior art date
Application number
CZ2013-373A
Other languages
English (en)
Inventor
Libor Neumann
Original Assignee
Anect A.S.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Anect A.S. filed Critical Anect A.S.
Priority to CZ2013-373A priority Critical patent/CZ2013373A3/cs
Priority to PCT/CZ2014/000058 priority patent/WO2014187436A1/en
Priority to US14/893,058 priority patent/US10091189B2/en
Priority to CN201480029542.XA priority patent/CN105612728B/zh
Priority to KR1020157036277A priority patent/KR20160013135A/ko
Priority to JP2016514275A priority patent/JP2016522637A/ja
Priority to EP14741499.9A priority patent/EP3000216B1/en
Priority to RU2015150542A priority patent/RU2645597C2/ru
Priority to BR112015028638A priority patent/BR112015028638A2/pt
Publication of CZ2013373A3 publication Critical patent/CZ2013373A3/cs

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Vynález řeší způsob autentizace bezpečného datového kanálu mezi dvěma stanicemi (A, B). Nejprve se zřídí neautentizovaný zabezpečený datový kanál (1), mající zakončení (3) datového kanálu (1) na první straně (A) a zakončení (4) datového kanálu (1) na druhé straně (B) a mající cílovou aplikaci (7) na první straně (A) a cílovou aplikaci (8) na druhé straně (B). Zakončení (3) a (4) mají neověřené sdílené tajemství (5). Následně se na obou stranách (A, B) datového kanálu (1) vypočtou data odvozená z neověřeného sdíleného tajemství (5), poté se data odvozená z neověřeného sdíleného tajemství (5) předají prostřednictvím externích komunikačních prostředků mimo datový kanál (1) dvěma stranám (11, 12) externího autentizačního systému (2), který poté provede autentizaci komunikujících stran (A, B) včetně autentizace datového kanálu (1).

Description

ZPŮSOB AUTENTIZACE BEZPEČNÉHO DATOVÉHO KANÁLU
Oblast techniky
Vynález se týká způsobu ověření elektronické identity uživatele zabezpečeného datového kanálu při vzdálené elektronické komunikaci mezi dvěma stranami.
Dosavadní stav techniky
Bezpečný datový kanál je používán při vzdáleném přístupu uživatelů nebo systémů k chráněným aktivům na informačním systému poskytovatele služby. Chráněná aktiva mohou mít nejrůznější charakter, může jít o důvěrné nformace, může jít o informace, které jsou určeny ke zveřejnění, ale mohou být měněny jen pověřenými osobami, může jít o provádění nejrůznějších akcí či transakcí pomocí informačních a komunikačních technologií, může jít o zadání pokynů různým zařízením, získávání změřených či jinak získaných informací či dat.
Bezpečnost datového kanálu je limitujícím faktorem úrovně zabezpečení chráněných aktiv při vzdáleném přístupu. Celková úroveň zabezpečení chráněných aktiv nemůže být vyšší, než je bezpečnost datového kanálu. To vyplývá z obecných zákonitostí bezpečnosti, kde celková úroveň bezpečnosti je dána úrovní bezpečnosti nejslabšího článku.
Bezpečnost datového kanálu je limitována autentizací, tedy ověřeným zjištěním identity systémů či uživatelů resp. provozovatelů nebo maj telů systémů na obou zakončeních datového kanálu.
Autentizace, ověření elektronické identity typicky prováděné vzdáleně před použitím cílové elektronické služby, se provádí před vznikem bezpečného datového kanálu nebo jako součást vzniku datového kanálu a to před zahájením přenosu dat tímto datovým kanálem.
Datový kanál je používán k zabezpečení přenosu dí t při vzdáleném přístupu k cílové elektronické službě jako ochrana oprávněného uživatele před přístupem neoprávněných uživatelů, například útočníka, k této službě.
Bezpečný datový kanál je chráněn ověřeným sdíle:iým tajemstvím - authenticated shared secret, které je známo pouze systémům na obou zakončeních datového kanálu. Součástí vzniku ověřeného sdíleného tajemství je ověření identity - autentizace uživatelů resp. systémů na obou zakončeních datového kanálu.
Jinou známou variantou je, že datový kanál je vytvořen bez autentizace nebo s dílčí autentizací a je následně použit k autentizaci uživatele k cílové aplikaci. V tomto případě datový kanál používá neověřené sdílené tajemství a nemůže fungovat jako bezpečný, neboť může být zneužit útočníkem, protože nedošlo k plnohodnotné autentizaci datového kanálu, a útočník může zneužít či jinak napadnout také au:entizaci uživatele k cílové aplikaci a v důsledku toho úspěšně napadnout i cílovou aplikaci.
K zajištění bezpečnosti jak datového kanálu, tak cílové aplikace by bylo nutné provádět dvojí autentizaci - datového kanálu a cílové aplikace nebo jiným způsobem provázat datový kanál a cílovou aplikaci.
Jsou známy metody provázání cílové aplikace s datovým kanálem (Channel Bindings) sloužící k zvýšení bezpečnosti komunikace aplikací, užívající výsledek autentizace datového kanálu provedené před vznikem nebo při vzniku datového kanálu v autentizaci prováděné aplikací.
V současné době se externí autentizace k autentizaci datového kanálu nepoužívá. Uživatel resp. systém, kteří mají být autentizováni, mají k dispozici autentizační tajemství (credentials), které buď přímo použijí k autentizaci, jako v případě autentizace pomocí hesla nebo s pomocí tajemství provedou příslušnou kryptografickou operaci potřebnou k autentizaci, jako v případě použití autentizace pomocí Infrastruktury veřejného klíče - Public Key Infrastructure.
Vynález si klade za cíl odstranit stávající slabé místo bezpečnosti elektronické komunikace, tedy nedostatečnou, nefungující, slabou či špatně použitelnou autentizaci bezpečného kanálu a tím zvýšit odolnost zejména vzdálené elektronické komunikace proti nejrůznějším i velmi kvalifikovaným útokům a tím výrazně snížit rizika elektronické komunikace.
Kromě toho je cílem předkládaného vynálezu zjednodušit používání externí autentizace tím, že zjednodušuje přenos dat mezi externím autentizačním systémem a datovým kanálem, resp. cílovou aplikací na jednosměrný přenos v jediném okamžiku. To umožňuje využití dalších technologií pro přenos dat, které jsou běžně dostupné, a které by pro komplikovanější způsoby přenosu dat nemohly být využity.
Podstata vynálezu
Předmětem vynálezu je způsob autentizace bezpečného datového kanálu vyznačující se tím, že se nejprve vytvoří mezi dvěma stranami ditový neautentizovaný šifrovaný kanál užívající neověřené sdílené tajemství získané užitím běžných kryptografických metod, např. pomocí key-agreement, které zaručují existenci jen dvou zakončení datového kanálu nebo dočasně vygenerovaného páru kryptografických klíčů.
Potom se pomocí neautentizovaného datového kanálu mohou (důvěrně) přenést informace potřebné k autentizaci uživatele i datového kanálu, např. URL externí autentizační služby, výzva, identifikátor autentizační/datové session.
Následně zakončení datového kanálu na obou stranách vytvoří kryptografický derivát neověřeného sdíleného tajemství datového kanálu, napi. pomocí pseudonáhodné kryptografické funkce, pomocí podpisu sdíleným tajemstvím. Způsob vytvoření derivátu například zaručuje, že oba deriváty sdíleného tajemství vypočtené na obou zakončeních datového kanálu mají shodnou hodnotu, pokud jsou sdílená tajemství shodná. K výpočtu je možné použít například běžné asymetrické pseudonáhodné algoritny typu HASH či HMAC.
Potom prostřednictvím externích komunikačních piostředků na obou zakončeních datového kanálu, ale mimo datový kanál, jsou přenesena data odvozená z neověřeného sdíleného tajemství, minimálně derivát neověřeného sdíleného tajemství datového kanálu nebo z něj odvozená informace, na příslušné vstupy externí autentizace externího autentizačního systému nebo služby.
Daty odvozenými z neověřeného sdíleného tajemství mohou být derivát neověřeného sdíleného tajemství nebo modifikovaný derivát neověřeného sdíleného tajemství, například získaný modifikací dodatečnými daty, nebo derivát vypočtený z neověřeného sdíleného tajemství a přídavných dat, nebo derivát vypočtený z neověřeného sdíleného tajemství a přídavných dat a dále modifikovaný, např. dodatečnými daty. Modifikace dodatečnými daty může být prováděna zakončeními datového kanálu a/nebo cílovými aplikacemi na každé straně datového kanálu a/nebo stranou externího au entizačního systému. Modifikaci může provádět na obou stranách datového kanálu stejná komponenta nebo na každé straně datového kanálu jiná komponenta. Přídavná a/nebo dcdatečná data může vytvořit zakončení datového kanálu a/nebo cílová aplikace a/nebo strana externího autentizačního systému. Přídavná a/nebo dodatečná data může vytvářet na obou stranách datového kanálu stejná komponenta nebo na každé straně datového kanálu jiná komponenta.
Poté co externí autentizace dostane data odvozená z neověřeného sdíleného tajemství, a to na obou zakončeních datového kanálu, provede ex.erní autentizace autentizaci předaných dat odvozených z neověřeného sdíleného tajemství datového kanálu, zpravidla využitím uživatelova a poskytovatelova autentizačního tajem ství dostupným externí autentizaci, a to tak, že je kryptograficky spolehlivým způsobem propojena autentizace dat odvozených z neověřeného sdíleného tajemství a autentizace uživatele resp. systému např. pomocí podpisu či zašifrování tímto tajemstvím, nebo jinak autentizovaným tajemstvím.
Externí autentizace je speciální systém, soubor programů a zařízení nebo elektronická služba, která je schopna provádět samostatně autent zaci uživatelů resp. systémů a další autentizované zabezpečené operace včetně autentizace dat odvozených z neověřeného sdíleného tajemství datového kanálu, a který je oddělen od datového kanálu a nepoužívá datový kanál k přenosu informací.
Externí komunikační prostředky mohou např. využívat technologii lokální komunikace, jako je člověkem snadno intuitivně proveditelná optická komunikace užívající zobrazování a snímání QR kódů, jako jsou technologie bezdrátové komunikace na malé vzdálenosti, optická komunikace, lokální síť, vestavěná interní komunikace uvnitř zařízení nebo jiných běžných přiměřených prostředků jako např. interní síť poskytovatele služeb nebo interní zabezpečená síť poskytovatelů „cloudových“ služeb, případně bezpečná vzdálená komunikace.
Autentizace dat odvozených z neověřeného sdíleného tajemství se může provést pomocí Externího autentizačního systému např. pomocí porovnání derivátů vytvořených z dat odvozených z neověřeného sdíleného tajemství a autentizovaného tajemství uživatele a/nebo systému; nebo se může provést prostřednictvím Exrerního autentizačního systému pomocí kryptografického podpisu užívajícího dočasný podpisový klíč autentizovaný při autentizaci uživatele a/nebo systému pomocí Externího autentizačního systému; nebo se může provést pomocí Externího autentizačního systému zašifrováním pomocí dočasného šifrovacího klíče autentizovaného při autentizaci uživatele a/nebo systému pomocí Externího autentizačního systému; nebo se může provést pomocí Externího autentizačního systému porovnáním derivátů vytvořených z dat odvozených z neověřeného sdíleného tajemství a dočasného tajemství autentizovaného při autentizaci uživarele a/nebo systému pomocí Externího autentizačního systému; nebo se může provést poriocí Externího autentizačního systému tak, že předaná data odvozená z neověřeného sdíleného tajemství datového kanálu použije Externí autentizační systém k autentizaci uživatele tak, že jimi nahradí výzvu (challenge) při použití autentizačních protokolů typu výzva-odpověď (challenge-response).
Tím dojde také k autentizaci datového kanálu resp. jeho sdíleného tajemství, tedy jsou autentizovány jak uživatel resp. systém na obou koncích externího autentizačního systému, tak datový kanál.
Výsledek autentizace může následně externí autentizace (autentizační systém/služba) předat cílové aplikaci včetně příslušných dalších informací o autentizovaném uživateli či systému a také uživateli či systému na druhé straně datového kanálu.
Od okamžiku úspěšné autentizace dat odvozených z neověřeného sdíleného tajemství datového kanálu je autentizován datový kanál a stává se bezpečným autentizovaným datovým kanálem, který může být použit autentizovanou cílovou aplikací pro bezpečnou komunikaci s autentizovaným uživatelem cílové aplikace.
Uživatelem se rozumí jak skutečná reálná osoba užívající příslušné elektronické zařízení, tak elektronický systém či elektronické zařízení samotné.
Přehled obrázků na výkresech
Obr.l - Schematické zobrazení způsobu autentizace bezpečného datového kanálu 1, pomocí externí autentizace (Externího autentizačníhc systému 2) podle příkladu provedení vynálezu č. 1.
Obr.2 - Schematické zobrazení způsobu autentizace bezpečného datového kanálu 1, pomocí externí autentizace (Externího autentizačníhc systému 2) podle příkladu provedení vynálezu č. 2.
Obr.3 - Schematické zobrazení způsobu autentizace bezpečného datového kanálu 1, pomocí externí autentizace (Externího autentizačníhc systému 2) podle příkladu provedení vynálezu č. 3.
Obr.4 - Schematické zobrazení způsobu autentizace bezpečného datového kanálu 1, pomocí externí autentizace (Externího autentizačníhc systému 2) podle příkladu provedení vynálezu č. 4.
Příklady provedení vynálezu
Příklad 1
Způsob autentizace bezpečného datového kanálu může být například realizován tak, že nejprve je vytvořen zabezpečený neautentizovaný Datový kanál 1, mezi stranami A a B, a je k dispozici Externí autentizační systém 2. Datový kanál 1 je na obou koncích zakončen Zakončením 3 datového kanálu na straně A a Zako tčením 4 datového kanálu na straně B.
Strany A a B Datového kanálu 1 a strany A a B Externího autentizačního systému 2 mohou komunikovat přes rozsáhlou či lokální síť, např. Internet 10.
Obě zakončení 3 a 4 datového kanálu 1 mají k dispozici tajnou informaci - Sdílené tajemství 5, které bylo vytvořeno běžnou technikou generování neověřeného sdíleného tajemství např. užitím kryptografického algoritmu dohody k íčů (Key-agreement). Toto sdílené tajemství 5 je běžným způsobem užito oběma zakončeními 3 a 4 datového kanálu 1 k zajištění bezpečnosti dat přenášených Datovým kanálem 1. V tomto okamžiku ale není ověřeno, že data pocházejí od toho, od koho mají, re sp., že se dostávají k tomu, komu mají, protože zatím k autentizaci nedošlo.
K zajištění autentizace Datového kanálu 1 je následiě použit Externí autentizační systém 2 tak, že příslušné Zakončení 3 a 4 datového kanálu 1 vypočte ze Sdíleného tajemství 5 Derivát 6 Sdíleného tajemství 5, a to tak, že na žádost Cílové aplikace 7 na straně A je vypočten Derivát 6 Sdíleného tajemství 5 Zakončením 3 datového kanálu 1 na straně A a na žádost Cílové aplikace 8 na straně B je vypočten Derivát 6 sdíleného tajemství 5 Zakončením 4 datového kanálu 1 na straně B. Způsob výpočtu zaručuje, že oba Deriváty 6 sdíleného tajemství 5 vypočtené oběma Zakončeními 3 a 4 datového kanálu 1 mají shodnou hodnotu, pokud jsou Sdílená tajemství 5 shodná. K výpočtu je možné použít například běžné asymetrické pseudonáhodné algoritmy typu HASH resp. f MAC.
Derivát 6 sdíleného tajemství 5 je následně předán Externímu autentizačnímu systému 2 přes Externí rozhraní 15, který potom provede autentizaci obou stran komunikace včetně autentizace Derivátu 6 sdíleného tajemství 5 Datového kanálu 1. Tím dojde k autentizaci Datového kanálu 1 v souvislosti se stranami komur ikace a je ověřeno, zda data přenášená datovým kanálem 1 pocházejí od toho, od koho mají pocházet a jsou přenášena tomu, komu jsou určena.
Derivát 6 sdíleného tajemství je předán Externímu autentizačnímu systému 2 tak, že Zakončení 3 datového kanálu 1 na straně A předá Derivát 6 sdíleného tajemství 5 Cílové aplikaci 7 na straně A, na jejíž žádost byl Derivát 6 sdíleného tajemství 5 vypočten Zakončením 3 datového kanálu 1 na straně A a Cílová apl kace 7 na straně A předá Derivát 6 sdíleného tajemství 5 externími komunikačními prostředky přes Externí rozhraní 15 straně 11 Externího autentizačního systému 2 na straně A. Podobně Zakončení 4 datového kanálu 1 na straně B předá Derivát 6 sdíleného tajemství 5 C lové aplikaci 8 na straně B, na jejíž žádost byl Derivát 6 sdíleného tajemství 5 vypočten Zakončením 4_datového kanálu 1 na straně B a Cílová aplikace 8 na straně B předá Deňvát 6 sdíleného tajemství 5 externími komunikačními prostředky straně 12 Externího autentizačního systému 2 na straně B.
Způsob předání externími komunikačními prostředky Derivátu 6 sdíleného tajemství 5 přes Externí rozhraní 15 je mimo Datový kanál 1 a je poveden běžným způsobem např. využitím technologií lokální komunikace, jako jsou technologie bezdrátové komunikace na malé vzdálenosti, optická komunikace, lokální síť, nebo jiných běžných přiměřených prostředků jako např. interní síť poskytovatele služeb. Způsob zajištění přenosu Derivátu 6 sdíleného tajemství 5 a způsob používání Externího autentizačního systému 2 zajišťuje míru bezpečnosti toho, že Cílová aplikace 7 a_8 na příslušné straně je užívána stejným uživatelem jako Externí autentizační systém 2.
Výsledek 13 autentizace je následně předán cílové aplikaci včetně příslušných dalších informací o autentizovaném uživateli či systému na s raně A a také uživateli (či systému) na straně B.
Příklad 2
Jiný způsob autentizace bezpečného datového kanálu může být například realizován tak, že nejprve je vytvořen zabezpečený neautentizovaný Chatový kanál 1_ mezi stranami A a B například použitím běžně dostupné implementace šifrovaného datového kanálu jako je TLS dle RFC 5246, který nevyužije možnost autentizace, a je k dispozici Externí autentizační systém 2. Datový kanál 1 je na obou koncích zakorčen Zakončením 3_datového kanálu na straně A a Zakončením 4datového kanálu na straně B.
Obě zakončení 3 a 4 datového kanálu 1 mají k dispozici tajnou informaci Sdílené tajemství 5, které bylo vytvořeno běžnou technikou generování neověřeného sdíleného tajemství 5 např. užitím kryptografického algoritmu dohody klíčů (Key-agreement). Sdílené tajemství 5 je běžným způsobem užito oběma zakončeními 3 a 4 datového kanálu 1 k zajištění bezpečnosti dat přenášených Datovým kanálem 1. V tomto okamžiku, ale není ověřeno, že data pocházejí od toho, od koho mají, resp. že se dc stávají k tomu, komu mají, protože nedošlo zatím k autentizaci.
Dále Cílová aplikace 7 na straně A předá k přenosu Zakončení 3 datového kanálu 1 na straně A Data 9 cílové aplikace, která jsou přenesena v zašifrované podobě Datovým kanálem 1 pomocí Sdíleného tajemství 5, dešifrována Zakončením 4 datového kanálu na straně B a předána Cílové aplikaci 8 na straně B.
Přenesená Data 9 cílové aplikace mohou obsahovat například technické informace potřebné k správné funkci Externího autentizačního systému 2, jako je síťová adresa Externího autentizačního systému - strana A 11, identifikátor autentizované session, další informace sloužící k zvýšení bezpečnosti jako je „nonce“ tj. dodatečná informace s vysokou entropií.
Cílová aplikace 7 na straně A zpracuje Data 9 určená k přenesení a Cílová aplikace 8 na straně B zpracuje přenesená Data 9 tak, že z nich vytvoří Přídavná data 14, vždy na příslušné straně. Způsob výpočtu zaručuje, že oboje Přídavná data 14 vypočtená oběma Cílovými aplikacemi 7 a 8 mají shodnou hodnotu, pokud jsou přenesená Data 9 správně přenesena a rozšifrována.
K zajištění autentizace Datového kanálu 1 je následiě použit Externí autentizační systém 2 tak, že příslušné Zakončení 3 a 4 datového kanálu 1 vypočte ze Sdíleného tajemství 5 a z Přídavných dat 14 Derivát 6 sdíleného tajemství 5 a to tak, že na žádost Cílové aplikace 7 na straně A, která předá Přídavná data 14 vytvořená Cílovou aplikací 7 na straně A je vypočten Derivát 6 sdíleného tajemství 5 Zakončením 3 datového kanálu na straně A a na žádost Cílové aplikace 8 na straně B, která předá Přídavná data 14 vytvořená Cílovou aplikací 8 na straně B, je vypočten Derivát 6 sdíleného taj emství 5 Zakončením 4 datového kanálu na straně B. Způsob výpočtu zaručuje, že oba Deriváty 6 sdíleného tajemství 5 vypočtené oběma Zakončeními 3 a 4 datového kanálu mají shodnou hodnotu, pokud jsou všechny vstupy shodné. K výpočtu je možné použít například běžné asymetrické pseudonáhodné algoritmy typu HASH resp. HMAC například způsobem dle RFC 5705 (Keying Material Exporters for Transport Layer Security (TLS)).
Derivát 6 sdíleného tajemství 5 je následně předán Externímu autentizačnímu systému 2 přes Externí rozhraní 15, který potom provede autentizaci stran komunikace včetně autentizace Derivátu 6 sdíleného tajemství 5 Datového kanálu L Tím dojde k autentizaci Datového kanálu X v souvislosti se stranami komunikace a je ověřeno, zda data přenášená datovým kanálem pocházejí od toho, od koho mají pocřázet a jsou přenášena tomu, komu jsou určena.
Derivát 6 sdíleného tajemství je předán Externímu autentizačnímu systému 2 tak, že Zakončení 3 datového kanálu na straně A předá Derivát 6 sdíleného tajemství 5 Cílové aplikaci 7 na straně A, na jejíž žádost byl Derivát 6 sdíleného tajemství 5 vypočten Zakončením 3 datového kanálu 1 na straně A a Cílová aplikace 7 na straně A předá Derivát 6 sdíleného tajemství 5 externími komunikačními prostřecky přes Externí rozhraní 15 Externímu autentizačnímu systému 11 na straně A. Podobně Zakončení 4 datového kanálu na straně B předá Derivát 6 sdíleného tajemství 5 Cílové aplikaci 8 na straně B, na jejíž žádost byl Derivát 6 sdíleného tajemství 5_vypočten Zakončením 4 datového kanálu na straně B a Cílová aplikace 8 na straně B předá Derivát 6 sdíleného tajemství 5 externími komunikačními prostředky Externímu autentizačnímu systému lít na straně B.
Způsob předání externími komunikačními prostředky Derivátu 6 sdíleného tajemství 5 přes Externí rozhraní 15 je mimo Datový kanál 1 a je přiveden běžným způsobem např. využitím technologií lokální komunikace, jako je člověkem snadno intuitivně proveditelná optická komunikace užívající zobrazování a snímání QR kódů, vestavěná interní komunikace uvnitř zařízení, nebo interní zabezpečená síť poskytovatelů „cloudových“ služeb případně bezpečná vzdálená komunikace.
Příklad 3
Další způsob autentizace bezpečného datového kanálu může být například realizován tak, že podobně jako v předchozích popisech je nejprve vytvořen zabezpečený neautentizovaný Datový kanál X mezi stranami A a B, kde obě zakončení 3 a 4 datového kanálu mají k dispozici neověřenou tajnou informaci Sdílené tajemství 5.
Dále Cílová aplikace 7 na straně A předá k přenosu Zakončení 3 datového kanálu 1 na straně A Data 9 cílové aplikace, která jsou přenesena v zašifrované podobě Datovým kanálem 1, ze kterých jsou vytvořena Dodatečná data 16 vždy na příslušné straně podobně jako je tomu u Přídavných dat v předchozím příkladu.
K zajištění autentizace Datového kanálu 1 je následiě použit Externí autentizační systém 2 tak, že příslušné Zakončení 3 a 4 datového kanálu /ypočte ze Sdíleného tajemství 5 Derivát 6 sdíleného tajemství 5 a to tak, že na žádost C lové aplikace 7_- strana A je vypočten Derivát 6 sdíleného tajemství 5 Zakončením 3 datového kanálu l_na straně A a na žádost Cílové aplikace 8 na straně B je vypočten Derivát 6 sdíleného tajemství 5 Zakončením 4 datového kanálu 1 na straně B.
Následně vždy Cílové aplikace 7 a 8 na straně A a 3, provedou modifikaci Derivátu 6 sdíleného tajemství 5 pomocí Dodatečných dat 16 a p-edají Externímu autentizačnímu systému 11 a 12 na straně A a B modifikovaný Derivát 6 sdíleného tajemství 5. K modifikaci derivátu 6 je možné použít běžně používaných matematických algoritmů. Lze použít například běžné asymetrické pseudonáhodné algoritmy typu HASH resp. HMAC, nebo zřetězení.
4ο
Zvolený způsob výpočtu zaručuje, že modifikace E>erivátu 6 sdíleného tajemství 5_provedená Cílovou aplikací 7 na straně A a Cílovou apl kácí 8 na straně B s užitím původního Derivátu 6 sdíleného tajemství 5 a Dodatečných dí t 16 mají stejnou hodnotu, pokud jsou všechny vstupy shodné.
K autentizaci datového kanálu je použit modifikovaný Derivát 6 sdíleného tajemství 5 analogickým způsobem jako v předchozích příkladech.
Příklad 4
Způsob autentizace bezpečného datového kanálu může být například realizován také tak, že podobně jako v předchozích popisech je nejprve vytvořen zabezpečený neautentizovaný Datový kanál 1 mezi stranami A a B, kde obě Zacončení 3 a 4 datového kanálu 1 mají k dispozici neověřenou tajnou informaci Sdílené tajemství 5.
Dále Externí autentizační systém 11 na straně A vytvoří Dodatečná data 16, tedy část technické informace potřebné ke správné funkci Externího autentizačního systému 2, jako je síťová adresa Externího autentizačního systému 11 la straně A, identifikátor autentizované session, případně další informace sloužící k zvýšení bezpečnosti jako je např. běžně používaný „nonce“ tj. dodatečná informace s vysokou entropií.
Dodatečná data 16 předá Externí autentizační systém 11 na straně A přes Externí rozhraní 15 na straně A Cílové aplikaci 7 na straně A a ta je předá po případném doplnění či modifikaci k přenosu Zakončení 3_datového kanálu 1, na straně A jako Data 9 cílové aplikace, která jsou přenesena v zašifrované podobě Datovým kanálem 1 pomocí Sdíleného tajemství 5, dešifrována Zakončením 4_datového kanalu 1 na straně B a předána Cílové aplikaci 8 na straně B.
Cílová aplikace 8 na straně B zpracuje přenesené informace tak, že z nich vytvoří Dodatečná data 16. Je možné použít běžně používaných matematických algoritmů, kde způsob výpočtu zaručuje, že oboje Dodatečná data 16 tj. Dodatečná data 16 vytvořená Externím autentizačním systém 11 na straně A a Dodatečná data 16 vytvořená Cílovou aplikací 8 na straně B mají shodnou hodnotu, pokud jsou přenesené informace správně přeneseny a rozšifrovány.
K zajištění autentizace Datového kanálu 1 je následiě použit Externí autentizační systém 2 tak, že na žádost Cílové aplikace 7 na straně A je vypočten Derivát 6 sdíleného tajemství 5
Zakončením 3 datového kanálu na straně A a ten je přes Externí rozhraní 15 beze změn předán Externímu autentizačnímu systému 11 na straně A. Externí autentizační systém El na straně A provede modifikaci Derivátu 6 sdíleného tajemství 5 s pomocí Dodatečných dat 16 dříve vytvořených Externím autentizačním systémem 11 na straně A a předaných Cílové aplikaci 7 na straně A.
Na žádost Cílové aplikace 8 na straně B je vypočten Derivát 6 sdíleného tajemství 5 Zakončením 4 datového kanálu 1 na straně B. Ten je předán Cílové aplikaci 8 na straně B, která provede modifikaci Derivátu 6 sdíleného tajemství 5 pomocí Dodatečných dat 16 a předá přes Externí rozhraní 15 Externímu autentizačnímu systému 12 na straně B modifikovaný Derivát 6 sdíleného tajemství 5.
Způsob výpočtu zaručuje, že modifikace Derivátu é sdíleného tajemství 5 provedená Cílovou aplikací 8 na straně B s užitím původního Derivátu 6 sdíleného tajemství 5 a Dodatečných dat 16 má stejnou hodnotu jako modifikace vypočtená Externím autentizačním systém 11 na straně A, pokud jsou všechny vstupy shodné.
K. autentizaci datového kanálu je použit modifikovaný Derivát 6 sdíleného tajemství 5 analogickým způsobem jako v předchozích příkladech.
Příklad 5
Ještě jiný způsob autentizace bezpečného datového kanálu 1 pomocí externí autentizace může být například realizován tak, že Zakončení 3 datového kanálu 1 na straně A je realizováno jako interní část Cílové aplikace 7 na straně A respektive, že Zakončení 4 datového kanálu 1 na straně B je realizováno jako interní část Cílové aplikace 8 na straně B. Příslušné přenosy dat v tomto příkladu probíhají uvnitř C ílové aplikace analogicky, jako je popsáno v předchozích příkladech.
Příklad 6
Způsob provedení autentizace předaných dat odvožených z neověřeného sdíleného tajemství 5 datového kanálu 1 pomocí Externího autentizačního systému 2 může být například realizován:
• pomocí kryptografického podpisu předaných dat odvozených z neověřeného sdíleného tajemství 5 datového kanálu 1 autentizovaným tajemstvím, nebo • pomocí zašifrování předaných dat odvozených z neověřeného sdíleného tajemství 5 datového kanálu 1 autentizovaným tajemstvím, nebo • derivátem vypočteným z dat odvozených z neověřeného sdíleného tajemství 5 datového kanálu 1 a autentizovaného tajemství používaným Externím autentizačním systémem 2 k autentizaci uživatele. Tím dojde ke kryptografickému provázání autentizace uživatele a autentizace datového kanálu.
Příklad 7
Způsob provedení autentizace předaných dat odvozených z neověřeného sdíleného tajemství datového kanálu pomocí Externího autentizačniho systému 2 může být například realizován:
• pomocí kryptografického podpisu předaných dat odvozených z neověřeného sdíleného tajemství 5 datového kanálu 1 dočasným autentizovaným tajemstvím, nebo • pomocí zašifrování předaných dat odvozených z neověřeného sdíleného tajemství 5 datového kanálu 1 dočasným autentizovaným tajemstvím, nebo • derivátem vypočteným z dat odvozených z neověřeného sdíleného tajemství 5 datového kanálu 1 a dočasného autentizovaného tajemstvím vzniklým při autentizaci uživatele Externím autentizačním systémem 2. Tím dojde ke kryptografickému provázání autentizace uživatele a autentizace datového kanálu.
Příklad 8
Nakonec způsob provedení autentizace předaných dat odvozených z neověřeného sdíleného tajemství 5 datového kanálu 1 pomocí Externího autentizačniho systém 2 může být například realizován tak, že předaná data odvozená z neověřeného sdíleného tajemství 5 datového kanálu 1 jsou použita Externím autentizačním systémem 2 k autentizaci uživatele tak, že jimi nahradí výzvu (challenge) při použití autentizačních protokolů typu výzvaodpověď (challenge-response). Tím dojde ke kryptografickému provázání autentizace uživatele a autentizace datového kanálu.
Průmyslová využitelnost
Vynález je využitelný všude tam, kde je potřeba používat autentizovaný bezpečný datový kanál.

Claims (15)

  1. PATENTOVÉ NÁROKY
    1. Způsob autentizace bezpečného datového kanálu mezi dvěma stranami (A, B) vyznačující se tím, že se nejprve zřídí neautentizovaný zabezpečený datový kanál (1), mající zakončení (3) datového kanálu (1) na první straně (A) a zakončení (4) datového kanálu (1) na druhé straně (B) a mající cílovou aplikaci (7) na první straně (A) a cílovou aplikaci (8) na druhé straně (B), přičemž zakončení (3) a (4) mají neověřené sdílené tajemství (5), následně se na obou stranách (A, B) datového kanálu (1) vypočtou data odvozená z neověřeného sdíleného tajemství (5), poté se data odvozená z neověřeného sdíleného tajemství (5) předají prostřednictvím externích komunikačních prostředků mimo datový kanál (1) dvěma stranám (11, 12) externího autentizačního systému (2), který poté provede autentizaci komunikujících stran (A, B) včetně autentizace datového kanálu (1).
  2. 2. Způsob podle nároku 1, vyznačující se tím, že data odvozená z neověřeného sdíleného tajemství (5) se získají tak, že zakončení (3) a (4) vypočtou derivát (6) neověřeného sdíleného tajemství (5), nebo zakončení (3) a (4) vypočtou derivát (6) z neověřeného sdíleného tajemství (5) a přídavných dat (14); a derivát (6) se popřípadě dále modifikuje dodatečnými daty (16).
  3. 3. Způsob podle nároku 2, vyznačující se tím, že modifikaci derivátu (6) neověřeného sdíleného tajemství (5) provádí na každé straně (A, E) nezávisle alespoň jedna komponenta vybraná ze skupiny zahrnující zakončení (3) a (4) catového kanálu (1), cílová aplikace (7, 8) a strana (11, 12) externího autentizačního systému (2).
  4. 4. Způsob podle nároku 2, vyznačující se tím, že piídavná data (14) a/nebo dodatečná data (16) vytváří na každé straně (A, B) nezávisle alespoň jedna komponenta vybraná ze skupiny zahrnující zakončení (3) a (4) datového kanálu (1), cílová aplikace (7, 8) a strana (11, 12) externího autentizačního systému (2).
  5. 5. Způsob podle nároku 2, vyznačující se tím, že cata odvozená z neověřeného sdíleného tajemství (5) se získají tak, že zakončení (3) a (4) vypočtou derivát (6) neověřeného sdíleného tajemství (5).
  6. 6. Způsob podle nároku 2, vyznačující se tím, že data odvozená z neověřeného sdíleného tajemství (5) se získají tak, že zakončení (3) a (4) vypočtou derivát (6) z neověřeného sdíleného tajemství (5) a přídavných dat (14).
  7. 7. Způsob podle nároku 2, vyznačující se tím, že data odvozená z neověřeného sdíleného tajemství (5) se získají tak, že zakončení (3) a (4) vypočtou derivát (6) neověřeného sdíleného tajemství (5), a následně tento derivát (6) cílové aplikace (7) a (8) modifikují dodatečnými daty (16).
  8. 8. Způsob podle nároku 2, vyznačující se tím, že data odvozená z neověřeného sdíleného tajemství (5) se získají tak, že zakončení (3) a (4) vypočtou derivát (6) z neověřeného sdíleného tajemství (5) a přídavných dat (14), a náslec ně jej cílové aplikace (7) a (8) modifikují dodatečnými daty (16).
  9. 9. Způsob podle nároku 1, vyznačující se tím, že autentizace dat odvozených z neověřeného sdíleného tajemství (5) se provede pomocí Externího autentizačního systému (2) pomocí kryptografického podpisu užívajícího autentizovaný podpisový klíč uživatele a/nebo systému.
  10. 10. Způsob podle nároku 1, vyznačující se tím, že autentizace dat odvozených z neověřeného sdíleného tajemství (5) se provede pomocí Externího autentizačního systému (2) zašifrováním pomocí autentizovaného šifrovacího klíče uživatele a/nebo systému.
  11. 11. Způsob podle nároku 1, vyznačující se tím, že autentizace dat odvozených z neověřeného sdíleného tajemství (5) se provede pomocí Externího autentizačního systému (2) pomocí porovnání derivátů vytvořených z dat odvozených z neověřeného sdíleného tajemství (5) a autentizovaného tajemství uživatele a/nebo systému.
  12. 12. Způsob podle nároku 1, vyznačující se tím, že autentizace dat odvozených z neověřeného sdíleného tajemství (5) se provede pomocí Externího autentizačního systému (2) pomocí kryptografického podpisu užívající!o dočasný podpisový klíč autentizovaný při autentizaci uživatele a/nebo systému pomocí Externího autentizačního systému (2).
  13. 13. Způsob podle nároku 1, vyznačující se tím, že autentizace dat odvozených z neověřeného sdíleného tajemství (5) se provede pomocí Externího autentizačního systému (2) zašifrováním pomocí dočasného šifrovacího klíče autentizovaného při autentizaci uživatele a/nebo systému pomocí Externího autentizačního systému (2).
  14. 14. Způsob podle nároku 1, vyznačující se tím, že autentizace dat odvozených z neověřeného sdíleného tajemství (5) se provede pomocí Externího autentizačního systému (2) porovnáním derivátů vytvořených z dat odvozených z neověřeného sdíleného tajemství (5) a dočasného tajemství autentizovaného při autentizaci uživatele a/nebo systému pomocí Externího autentizačního systému (2).
  15. 15. Způsob podle nároku 1, vyznačující se lim, že autentizace dat odvozených z neověřeného sdíleného tajemství (5) se provede pomocí Externího autentizaěního systému (2) tak, že předaná data odvozená z neověřeného sdíleného tajemství (5) datového kanálu (1) použije Externí autentizaění systém (2) k autentizaci uživatele tak, že jimi nahradí výzvu (challenge) při použití autentizaěních protckolů typu výzva-odpověď (challengeresponse).
CZ2013-373A 2013-05-22 2013-05-22 Způsob autentizace bezpečného datového kanálu CZ2013373A3 (cs)

Priority Applications (9)

Application Number Priority Date Filing Date Title
CZ2013-373A CZ2013373A3 (cs) 2013-05-22 2013-05-22 Způsob autentizace bezpečného datového kanálu
PCT/CZ2014/000058 WO2014187436A1 (en) 2013-05-22 2014-05-21 Secured data channel authentication implying a shared secret
US14/893,058 US10091189B2 (en) 2013-05-22 2014-05-21 Secured data channel authentication implying a shared secret
CN201480029542.XA CN105612728B (zh) 2013-05-22 2014-05-21 隐含共享密钥的安全数据通道鉴权
KR1020157036277A KR20160013135A (ko) 2013-05-22 2014-05-21 공유 비밀을 암시하는 보안 데이터 채널 인증
JP2016514275A JP2016522637A (ja) 2013-05-22 2014-05-21 共有秘密を含意するセキュア化されたデータチャネル認証
EP14741499.9A EP3000216B1 (en) 2013-05-22 2014-05-21 Secured data channel authentication implying a shared secret
RU2015150542A RU2645597C2 (ru) 2013-05-22 2014-05-21 Способ аутентификации в канале скрытой передачи данных
BR112015028638A BR112015028638A2 (pt) 2013-05-22 2014-05-21 método de autenticação de canal de dados seguros

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CZ2013-373A CZ2013373A3 (cs) 2013-05-22 2013-05-22 Způsob autentizace bezpečného datového kanálu

Publications (1)

Publication Number Publication Date
CZ2013373A3 true CZ2013373A3 (cs) 2014-12-03

Family

ID=51211457

Family Applications (1)

Application Number Title Priority Date Filing Date
CZ2013-373A CZ2013373A3 (cs) 2013-05-22 2013-05-22 Způsob autentizace bezpečného datového kanálu

Country Status (9)

Country Link
US (1) US10091189B2 (cs)
EP (1) EP3000216B1 (cs)
JP (1) JP2016522637A (cs)
KR (1) KR20160013135A (cs)
CN (1) CN105612728B (cs)
BR (1) BR112015028638A2 (cs)
CZ (1) CZ2013373A3 (cs)
RU (1) RU2645597C2 (cs)
WO (1) WO2014187436A1 (cs)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017005232A1 (en) 2015-07-07 2017-01-12 Aducid S.R.O. Method for establishing protected electronic communication, secure transfer and processing of information among three or more subjects
WO2023011675A1 (en) 2021-08-04 2023-02-09 Aducid S.R.O. System and method for controlling access to target application
US11985118B2 (en) 2020-05-14 2024-05-14 Aducid S.R.O. Computer-implemented system and authentication method

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CZ2013373A3 (cs) 2013-05-22 2014-12-03 Anect A.S. Způsob autentizace bezpečného datového kanálu
CZ309308B6 (cs) 2013-07-12 2022-08-17 Aducid S.R.O. Způsob zadávání tajné informace do elektronických digitálních zařízení
JP2018023029A (ja) * 2016-08-04 2018-02-08 株式会社 エヌティーアイ 通信システム、通信用クライアント、通信用サーバ、通信方法、プログラム
CZ2016832A3 (cs) * 2016-12-23 2018-02-07 Aducid S.R.O. Způsob vícefaktorové autentizace

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7386878B2 (en) * 2002-08-14 2008-06-10 Microsoft Corporation Authenticating peer-to-peer connections
JP4430915B2 (ja) * 2003-10-09 2010-03-10 日本電信電話株式会社 タグ装置、個人認証装置、リーダー装置、タグ認証方法及びプログラム
US20050120213A1 (en) * 2003-12-01 2005-06-02 Cisco Technology, Inc. System and method for provisioning and authenticating via a network
US7761710B2 (en) * 2005-04-05 2010-07-20 Mcafee, Inc. Captive portal system and method for use in peer-to-peer networks
US7814538B2 (en) * 2005-12-13 2010-10-12 Microsoft Corporation Two-way authentication using a combined code
JP4978166B2 (ja) * 2006-11-21 2012-07-18 ソニー株式会社 発券管理システム,提供サーバ及び利用管理サーバ
JP4963425B2 (ja) * 2007-02-23 2012-06-27 日本電信電話株式会社 セッション鍵共有システム、第三者機関装置、要求側装置、および応答側装置
RU2367007C2 (ru) * 2007-08-30 2009-09-10 Станислав Антонович Осмоловский Способ передачи и комплексной защиты информации
US8776176B2 (en) * 2008-05-16 2014-07-08 Oracle America, Inc. Multi-factor password-authenticated key exchange
US8156334B2 (en) * 2008-08-12 2012-04-10 Texas Instruments Incorporated Public key out-of-band transfer for mutual authentication
US8260883B2 (en) * 2009-04-01 2012-09-04 Wimm Labs, Inc. File sharing between devices
JP2012060366A (ja) * 2010-09-08 2012-03-22 Nec Corp 通信システム、通信方法、およびコンピュータ・プログラム
JP5889525B2 (ja) * 2010-12-21 2016-03-22 パナソニックIpマネジメント株式会社 認証システム
CZ2013373A3 (cs) 2013-05-22 2014-12-03 Anect A.S. Způsob autentizace bezpečného datového kanálu

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017005232A1 (en) 2015-07-07 2017-01-12 Aducid S.R.O. Method for establishing protected electronic communication, secure transfer and processing of information among three or more subjects
US11985118B2 (en) 2020-05-14 2024-05-14 Aducid S.R.O. Computer-implemented system and authentication method
WO2023011675A1 (en) 2021-08-04 2023-02-09 Aducid S.R.O. System and method for controlling access to target application

Also Published As

Publication number Publication date
BR112015028638A2 (pt) 2017-07-25
EP3000216B1 (en) 2018-01-31
RU2645597C2 (ru) 2018-02-21
US10091189B2 (en) 2018-10-02
JP2016522637A (ja) 2016-07-28
WO2014187436A1 (en) 2014-11-27
US20160119317A1 (en) 2016-04-28
KR20160013135A (ko) 2016-02-03
CN105612728B (zh) 2019-04-23
RU2015150542A (ru) 2017-06-27
CN105612728A (zh) 2016-05-25
EP3000216A1 (en) 2016-03-30

Similar Documents

Publication Publication Date Title
CN109309565B (zh) 一种安全认证的方法及装置
CN107360571B (zh) 在移动网络中的匿名相互认证和密钥协商协议的方法
US11336641B2 (en) Security enhanced technique of authentication protocol based on trusted execution environment
CN103297403B (zh) 一种实现动态密码认证的方法和系统
CN105162599B (zh) 一种数据传输系统及其传输方法
US10091189B2 (en) Secured data channel authentication implying a shared secret
CN109728909A (zh) 基于USBKey的身份认证方法和系统
CN104506534A (zh) 安全通信密钥协商交互方案
CN108418691A (zh) 基于sgx的动态网络身份认证方法
US20110179478A1 (en) Method for secure transmission of sensitive data utilizing network communications and for one time passcode and multi-factor authentication
EP2304636A1 (en) Mobile device assisted secure computer network communications
CN104901935A (zh) 一种基于cpk的双向认证及数据交互安全保护方法
CN104243494B (zh) 一种数据处理方法
CN102299930A (zh) 一种保障客户端软件安全的方法
CN106464493B (zh) 包含一次性通行码的持久性认证系统
CN108599926B (zh) 一种基于对称密钥池的HTTP-Digest改进型AKA身份认证系统和方法
CN109525565B (zh) 一种针对短信拦截攻击的防御方法及系统
CN109474419A (zh) 一种活体人像照片加密、解密方法及加解密系统
CN110020524A (zh) 一种基于智能卡的双向认证方法
CN114765534A (zh) 基于国密标识密码算法的私钥分发系统
CN116388995A (zh) 一种基于puf的轻量级智能电网认证方法
CN105245338B (zh) 一种认证方法及装置系统
KR102219086B1 (ko) 드론(Unnamed Aerial vehicle)시스템을 위한 HMAC기반의 송신원 인증 및 비밀키 공유 방법 및 시스템
CN104158807A (zh) 一种基于PaaS的安全云计算方法和系统
CN106209384B (zh) 使用安全机制的客户终端与充电装置的通信认证方法