ES2828451T3 - Procedimiento de autenticación de atributos de una manera no rastreable y sin conexión a un servidor - Google Patents

Procedimiento de autenticación de atributos de una manera no rastreable y sin conexión a un servidor Download PDF

Info

Publication number
ES2828451T3
ES2828451T3 ES15805527T ES15805527T ES2828451T3 ES 2828451 T3 ES2828451 T3 ES 2828451T3 ES 15805527 T ES15805527 T ES 15805527T ES 15805527 T ES15805527 T ES 15805527T ES 2828451 T3 ES2828451 T3 ES 2828451T3
Authority
ES
Spain
Prior art keywords
group
entity
attribute
verification
provider
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES15805527T
Other languages
English (en)
Inventor
Alain Rhelimi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales DIS France SA
Original Assignee
Thales DIS France SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales DIS France SA filed Critical Thales DIS France SA
Application granted granted Critical
Publication of ES2828451T3 publication Critical patent/ES2828451T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3265Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0637Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

Procedimiento, para una entidad proveedora que pertenece a un grupo de proveedores, para autenticar la pertenencia de esta entidad proveedora a un grupo de proveedores de atributos en una entidad de verificación que pertenece al menos a un grupo de consumidores y a un grupo de verificación de atributos, de manera no rastreable y sin necesidad de compartir secretos o grandes constantes que comprometen la privacidad, comprendiendo tanto la entidad de proveedora como la entidad de verificación al menos una arborescencia de grupos de atributos, siendo esta arborescencia de grupos de atributos compartida por la entidad proveedora y la entidad de verificación cuando la entidad proveedora tiene el atributo, siendo autenticado cada grupo por una autoridad que almacena una clave de grupo secreta en las entidades bajo su autoridad, estando dicho procedimiento caracterizado por que comprende la etapa preliminar de proporcionar a cada entidad de cada grupo un conjunto de autentificadores de autenticación, uno para cada uno de los otros grupos con los que se pretende que se comunique la entidad, comprendiendo dicho autentificador de autenticación al menos un número aleatorio y un criptograma de al menos este número aleatorio encriptado por la clave secreta de cada uno de estos otros grupos; comprendiendo además dicho procedimiento las etapas de, cuando se desencadena una verificación, - para la entidad de verificación, calcular un certificado a partir de la arborescencia de grupos de atributos, calculándose dicho certificado a partir de los autentificadores de autenticación de los grupos a lo largo de la arborescencia desde el autentificador del grupo de verificación de atributos hasta el autentificador del grupo de consumidores, - establecer un canal seguro en base al intercambio de los criptogramas del grupo de proveedores y del grupo de consumidores y enviar el certificado calculado a la entidad proveedora, - para la entidad proveedora, recibir y desencriptar dicho certificado usando las sucesivas claves de los grupos en la arborescencia, - usar el número aleatorio desencriptado del autentificador de autenticación del grupo de proveedores de atributos para establecer un canal seguro de nivel de atributo con la entidad de verificación.

Description

DESCRIPCIÓN
Procedimiento de autenticación de atributos de una manera no rastreable y sin conexión a un servidor
Campo de la invención
La presente invención se refiere a un procedimiento de autenticación de atributos de una manera no rastreable y sin conexión a un servidor. El protocolo de la invención permite la realización de esta autenticación de manera no rastreable y sin claves compartidas. Más particularmente, la invención se refiere al contexto de la autenticación de devolución aleatoria (Random Handback Authentication, RHA) que ya permite conseguir estos propósitos. La invención permite acortar la duración del procedimiento de autenticación y hacer que sea compatible con dispositivos restringidos.
La invención se refiere también a un dispositivo que usa dicho procedimiento.
Antecedentes de la invención
El documento WO 2013/001092 describe un procedimiento para acceder a un proveedor de servicios mediante la provisión de manera anónima de un atributo o un conjunto de atributos a un usuario.
La Figura 1 muestra esquemáticamente el funcionamiento y el contexto de la autenticación de devolución aleatoria (RHA), cuyo principio se usa en la invención.
La RHA exhibe una propiedad similar a la RSA. Usa un principio de encriptación/desencriptación heredado como el AES, pero presenta la ventaja de que no implementa algoritmos basados en exponenciación modular.
El objetivo es el establecimiento de un canal seguro entre dos entidades eA y eB, cada una de las cuales pertenece a dos grupos A y B diferentes, teniendo cada una un identificador IDGrA e IDGrB. Típicamente, las entidades son teléfonos inteligentes, dispositivos que se llevan puestos, tales como relojes inteligentes que interactúan con dispositivos de Internet de las cosas (Internet Of Things, IoT), etc. Todos los dispositivos de un mismo grupo A o B están provistos de una clave Ka de grupo o Kb.
La Figura 1 muestra una fase de inicialización durante la cual cada dispositivo eA y eB genera respectivamente un R0A y un R0B aleatorio. Dicha fase de inicialización es realizada por todos los dispositivos de todos los grupos.
A continuación, este R0i aleatorio se encripta usando la clave Ki de grupo con el fin de producir un criptograma C0i. En el ejemplo proporcionado en la Figura 1, C0i = AES[Ki](R0i).
A continuación, se produce un autentificador T0i que comprende el criptograma C0i y el número R0i aleatorio.
En la fase de inicialización, se establece un canal seguro usando una tecnología clásica en una etapa S00. En el ejemplo presentado, se usa un canal seguro basado en PKI. Esta etapa, que generalmente requiere mucho tiempo y, en cualquier caso, requiere más tiempo que la invención, se realiza una vez. En el ejemplo proporcionado en la Figura 1, la provisión del primer autentificador, T0b y T° a, del otro grupo B y A, identificado por los identificadores IDGrB e IDGrA, se realiza por pares entre dos dispositivos en una etapa S01. En la práctica, otras implementaciones pueden usar una provisión realizada por una autoridad del grupo A central que establece canales seguros con cualquier dispositivo de otros grupos B autorizado para comunicarse con dispositivos del grupo A.
Al final de la fase de inicialización, cada dispositivo ha recibido un autentificador T0i= [IDGri,C0i, R0i] de cualquier otro grupo con el que se prevé que se comunique. Cuando se reciben sucesivamente varios autentificadores, el último se mantiene para servir en las siguientes conexiones.
La Figura 2 muestra esquemáticamente un autentificador TNi como almacenado después de una N-ésima conexión con una entidad del grupo i. Este autentificador TNi ha sido generado por una entidad ei del grupo i. Comprende un número RNi aleatorio que puede contener información oculta y no falsificable como un código de operación (revocación u operación de verificación de certificado), una marca de tiempo que limita la validez o que inicia la validez en una fecha o una duración determinada, un recuento.
En el ejemplo proporcionado, el número RNi aleatorio comprende un código OPC de operación, un número RND aleatorio y un sello de tiempo o contador TS. El número RNi aleatorio puede encriptarse adicionalmente antes del cálculo de un criptograma CNi usando la clave Ki de grupo con la clave del creador del originador del autentificador de autenticación de RHA. El autentificador TNi comprende el RNi aleatorio y el criptograma CNi.
La Figura 1 muestra también cómo opera la autenticación durante las siguientes conexiones entre la entidad eA y la entidad eB. En el ejemplo mostrada en la Figura 1, la entidad eA estableció previamente N conexiones con una entidad del grupo B antes de solicitar la conexión con la entidad eB. La entidad eB estableció, por su parte, Z conexiones anteriores.
En una etapa S10, las dos entidades intercambian identificadores de grupo. La entidad eA envía los identificadores de su grupo IDGrA y simétricamente para la entidad eB. En una etapa S11, las dos entidades intercambian el criptograma que tienen para el grupo para el cual recibieron el identificador IDGr. De esta manera, la entidad eA envía a la entidad eB el criptograma Cnb y la entidad eB envía el criptograma Cza a la entidad eA.
En una etapa S12, ambas entidades calculan, cada una en su lado, el número aleatorio correspondiente al criptograma recibido. La entidad eA usa la clave Ka del grupo A para calcular Rza = AES-1[Ka] (Cza) y simétricamente para la entidad eB Rzb = AES-1[Kb] (Czb).
En la etapa S13, la entidad eA calcula una clave Knzs de sesión común a partir del número Rza aleatorio calculado y del número Rnb aleatorio almacenado en el autentificador Tnb. Esta clave de sesión permite el establecimiento de un canal seguro en una etapa S14.
En una etapa S15, el canal seguro es usado por cada entidad para transferir un autentificador Tn+1a y Tz+1b recién calculado a la otra entidad con el fin de permitir una futura autenticación con otra entidad que implica los mismos grupos.
Para la misma autenticación, la relación de rendimiento entre RHA y RSA es de aproximadamente 1/3.000, entonces una autenticación RHA básica requiere 2.000 ciclos de CPU correspondientes a 3 veces una AES que dura 100 ps para una frecuencia de 20 MHz.
La Figura 3 muestra una semi-autenticación que usa la autenticación RHA. Aquí, por ejemplo, la entidad eB es un proveedor de servicios y eA es un cliente que solicita un servicio que necesita comprobar un atributo de la entidad eA. Por ejemplo, este atributo es "mayor de 18 años". Si eA pertenece al grupo de atributos, tendría la clave Ka correspondiente.
Después de la semi-autenticación, la entidad eA es autenticada por la entidad eB solo estableciendo un canal seguro entre ambos y verificando un desafío de seguridad. El intercambio y la verificación del desafío de seguridad permite la evidencia de que se establece un canal seguro auténtico y que la entidad verificada posee la clave de grupo correcta, así como la arborescencia correcta.
El grupo A proporcionó previamente a la entidad eB un autentificador Ta= [Ca, Ra] almacenado por la entidad eB en una etapa H0. Para verificar el atributo, el proveedor eB envía el criptograma Ca como almacenado en la entidad eA en una etapa H1. Usando la clave Ka de grupo, la entidad eA desencripta el criptograma Ca en una etapa H2 y recupera el Ra aleatorio. En una etapa H3, continuación, la entidad eA establece un canal seguro usando dicho Ra aleatorio que es también el almacenado en el autentificador Ta en eB. A continuación, este canal seguro se usa para enviar dicho Ra aleatorio para una verificación adicional por parte de la entidad eB ya que, de esta manera, eB puede comparar Ra con el de Ta= [Ca, Ra].
Cuando una entidad no tiene el autentificador correcto para el último nivel, es posible que no haga nada, entonces la progresión en la arborescencia de grupos en una entidad remota se detendrá.
Considerando la velocidad del protocolo RHA, puede implementarse un enfoque recursivo realizando de manera recursiva un RHA simétrico entre grupos anidados, tal como se describe en la Figura 4.
Esta última figura muestra dos dispositivos D1 y D2, agrupando cada dispositivo varias entidades, estando cada entidad asociada a un grupo. En este ejemplo, el dispositivo D1 comprende las entidades eA y eC, mientras que el dispositivo D2 comprende las entidades eB y eD. La entidad eA corresponde, por ejemplo, a un atributo de registro de servicio y la entidad eB a un atributo "mayor de 18". Cuando el dispositivo D2 necesita verificar atributos "mayor de 18", debe construir de manera recursiva un canal seguro usando la autenticación RHA en cada nivel. En la Figura 4, solo se representan dos niveles que usan dos claves Kabs y Kcds de sesión, pero podrían implementarse muchos más niveles, ya que la velocidad de autenticación de RHA es alta.
Partiendo del grupo que encapsula a todos los demás grupos, la trazabilidad (propiedad de privacidad y anonimato) depende del cardinal de dicho grupo. Cuanto mayor es el cardinal del grupo, mayor es el rendimiento relacionado con la no trazabilidad.
Independientemente del protocolo RSA/ECC o RHA implementado, la autenticación recursiva en grupos es necesaria para garantizar la no trazabilidad (sobreyección entre un individuo y un servicio que tiene un cardinal elevado). El número de autenticación es el mismo, excepto que la RHA es al menos 3.000 veces más rápida que RSA/ECC. Sin embargo, el número de intercambios es mayor para la RHA que para RSA/ECC.
Por consiguiente, soluciones adicionales alternativas y ventajosas serían deseables en la técnica con el fin de reducir el número de intercambios. De hecho, la reducción del número de intercambios permite no cancelar la ventaja de velocidad de la RHA al perder tiempo en intercambios de datos que pueden ser mucho más largos que los cálculos criptográficos. Es particularmente crítico en contextos sin contacto, tales como NFC. En dicha situación, el uso de un número pequeño de intercambios o incluso un solo intercambio es crucial para alcanzar una duración aceptable de la autenticación.
Sumario de la invención
El objetivo de la presente invención es reducir la duración de la autenticación mientras mantiene al menos un mismo nivel de seguridad que el proporcionado usando el principio RHA mientras se evita compartir secretos o intercambiar grandes constantes, tal como una clave RSA pública, lo que puede comprometer la privacidad del titular del dispositivo que representa a la entidad.
La presente invención se define, en su sentido más amplio, como un procedimiento, para una entidad proveedora que pertenece a un grupo de proveedores, para autenticar su pertenencia a un grupo de proveedores de atributos a una entidad de verificación que pertenece al menos a un grupo de consumidores y a un grupo de verificación de atributos, de manera no rastreable sin necesidad de compartir secretos o grandes constantes que comprometan la privacidad, comprendiendo ambas entidades al menos una arborescencia de grupos de atributos, siendo esta arborescencia de grupos de atributos compartida por la entidad proveedora y la entidad de verificación cuando la entidad proveedora tiene el atributo, siendo cada grupo autenticado por una autoridad que almacena una clave secreta de grupo en las entidades bajo su autoridad,
dicho procedimiento se caracteriza por que comprende la etapa preliminar de proporcionar a cada dispositivo de cada grupo un conjunto de autentificadores de autenticación, uno para cada uno de los otros grupos con los que se pretende que el dispositivo se comunique, comprendiendo dicho autentificador de autenticación al menos un número aleatorio y un criptograma de al menos este número aleatorio por la clave secreta de cada uno de estos otros grupos; comprendiendo además dicho procedimiento las etapas de, cuando se desencadena una verificación,
- para la entidad de verificación, calcular un certificado a partir de la arborescencia de grupos de atributos, calculándose dicho certificado a partir de los autentificadores de autenticación de los grupos a lo largo de la arborescencia desde el autentificador del grupo de verificación de atributos hasta el autentificador del grupo de consumidores,
- establecer un canal seguro en base al intercambio de los criptogramas del grupo de proveedores y del grupo de consumidores y enviar el certificado calculado a la entidad proveedora,
- para la entidad proveedora, recibir y desencriptar dicho certificado usando las claves sucesivas de los grupos en la arborescencia,
- usar el aleatorio desencriptado del autentificador de autenticación del grupo de proveedores de atributos para establecer un canal seguro de nivel de atributo con la entidad de verificación.
Por lo tanto, una vez proporcionados los autentificadores de autenticación de RHA mediante una conexión anterior, la invención permite realizar una verificación local de los grupos anidados mientras se limita el número de intercambios. La comunicación del certificado solo permite verificar toda la arborescencia en el lado del consumidor y llegar al nivel más bajo, que es el del atributo. En cuanto puede alcanzarse el nivel de atributo usando el certificado enviado por el lado del proveedor, se realiza la autenticación de la pertenencia del proveedor al grupo de proveedores de atributos. De esta manera, es posible establecer el canal seguro al nivel de atributo.
En cuanto la entidad tiene la arborescencia correcta y el autentificador correcto en el último nivel, puede calcular un certificado según la invención desde el último nivel disponible y devolverlo a la entidad que envió el certificado y a la que intenta responder. De esta manera, solo se requiere un intercambio.
Según una característica ventajosa, una vez que se establece el canal seguro del nivel de atributo se intercambia un desafío de seguridad.
Esta característica permite añadir un nivel de verificación relativo a la autenticidad de los dispositivos al presentar un desafío de seguridad a las entidades respectivas para verificar que el canal seguro está bien establecido.
Según una realización ventajosa, dicho procedimiento comprende una provisión de un conjunto de nuevos autentificadores de autenticación para cada nivel de la arborescencia, comprendiendo esta provisión las etapas de calcular un aprovisionador de autentificadores a partir de la arborescencia de grupos de atributos, calculándose dicho aprovisionador de autentificadores, como el certificado, a partir de los autentificadores de autenticación de los grupos a lo largo de la arborescencia desde el autentificador del grupo de proveedores de atributos hasta el autentificador del grupo de proveedores,
enviar el aprovisionador de autentificadores a través del canal seguro a la entidad de verificación,
- para la entidad de verificación, recibir y desencriptar dicho aprovisionador de autentificadores usando las sucesivas claves de los grupos en la arborescencia,
- almacenar los nuevos autentificadores de autenticación extraídos en cada nivel después de la desencriptación.
Esta realización permite renovar los autentificadores de autenticación de la RHA en cada conexión usando el certificado. Al integrarse los autentificadores de autenticación en cada nivel durante el cálculo, serán extraíbles solo por el nivel correspondiente en el lado del proveedor. A continuación, cualquier autentificador de proveedor consumido se reemplaza en el lado del proveedor. Los elementos de los autentificadores se añaden como parámetros adicionales en el certificado.
En una implementación preferida, dicho certificado se calcula para cada grupo a partir de los datos del grupo inferior en la arborescencia, incluyendo dichos datos al menos el identificador del grupo inferior, el criptograma del grupo inferior y, a excepción del grupo de verificación de atributos, el certificado calculado previamente para el grupo inferior, incluyendo dicho cálculo la encriptación de al menos el identificador del grupo inferior, usando el criptograma del autentificador de autenticación para el grupo inferior y el certificado del grupo inferior el número aleatorio del autentificador de autenticación del grupo.
Este cálculo específico del certificado permite transferir todos los datos a verificar en el lado del consumidor mientras se protegen los datos transferidos y encadenar el cálculo del certificado mientras se proporcionan al siguiente nivel todos los datos necesarios para realizar el cálculo.
De manera ventajosa, se introducen parámetros adicionales en el certificado.
La posibilidad de añadir dichos parámetros adicionales transferidos al nivel correspondiente solo permite la activación de un gran número de funciones con la invención: revocación, aprovisionamiento de autentificadores, información acerca de la transacción relacionada con la autenticación, etc.
Más particularmente, dichos parámetros adicionales pueden elegirse de entre el grupo constituido por: nuevo autentificador de autenticación, código de operación específico, código de revocación, código de verificación de certificado, código de adición de grupo, parámetros de transacción tales como verificación de validez, cantidad de pago, identificador de agencia, rol de transacción, marcas de tiempo que limitan la validez, marcas de tiempo que inician la validez en una fecha determinada, una duración, un recuento.
Todos estos datos adicionales son confidenciales para cada grupo y no pueden ser desencriptados por grupos superiores e inferiores en la arborescencia determinada. Estos parámetros adicionales permiten supervisar la disponibilidad de las entidades en el interior de todo el sistema. De esta manera, puede proporcionarse cualquier información útil dedicada a un grupo determinado en la arborescencia.
Según una característica específica de la invención, al estar el grupo inferior asociado a un identificador de atributo, el procedimiento comprende la etapa de, si el identificador de atributo es único o no ambiguo en el alcance de una aplicación, para el grupo de proveedor de atributo, aceptar o denegar la solicitud.
Una vez que el certificado alcanza al grupo inferior, este grupo puede responder que posee este atributo o que no lo posee. De esta manera, puede aceptar o rechazar la solicitud incluida en el certificado. Para aceptarla, construye un enlace seguro con el grupo correspondiente en el otro dispositivo usando el aleatorio, tal como se recibió en el criptograma. Para denegarla, puede no hacer nada o puede construir un enlace seguro con uno de los grupos anteriores en la arborescencia para transmitir un mensaje de denegación. Pueden implementarse también otros procedimientos de denegación que no usen el principio RHA.
En una implementación particular, la aceptación o denegación se decide con relación a un acuerdo o política de usuario según un perfil de aplicación.
El verificador y el comprobador deberán compartir la misma arborescencia para obtener un atributo determinado. La implementación anterior permite condicionar la aceptación o la denegación de la autenticación de atributos según una información proporcionada externamente asociada con un perfil de aplicación.
La presente invención se refiere también a un dispositivo que comprende medios para ejecutar el procedimiento. De esta manera, la invención se refiere además a un dispositivo que comprende una entidad proveedora que pertenece a un grupo de proveedores y que es capaz de autenticar su pertenencia a un grupo de proveedores de atributos a una entidad de verificación que pertenece al menos a un grupo de consumidores y a un grupo de verificación de atributos, de una de manera no rastreable y sin necesidad de compartir secretos, comprendiendo dicha entidad proveedora al menos una arborescencia de grupos de atributos, siendo esta arborescencia de grupos de atributos compartida por la entidad proveedora y la entidad de verificación cuando la entidad proveedora tiene el atributo, siendo cada grupo autenticado por una autoridad que almacena una clave secreta de grupo en las entidades bajo su autoridad,
estando dicha entidad proveedora provista de un conjunto de autentificadores de autenticación, uno para cada uno de los otros grupos con los que se pretende que el dispositivo se comunique, comprendiendo dicho autentificador de autenticación al menos un número aleatorio y un criptograma de al menos este número aleatorio por la clave secreta de cada uno de estos otros grupos;
siendo dicha entidad proveedora capaz de establecer canales seguros con la entidad de verificación;
siendo capaz además dicha entidad proveedora, cuando se desencadena una verificación, de recibir, a través de un canal seguro basado en el intercambio de los criptogramas del grupo proveedor y del grupo de consumidores, un certificado calculado a partir de la arborescencia de grupos de atributos por la entidad de verificación, calculándose dicho certificado a partir de los autentificadores de autenticación de los grupos a lo largo de la arborescencia desde el autentificador del grupo de verificación de atributos hasta el autentificador del grupo de consumidores, comprendiendo además dicha entidad proveedora una unidad de desencriptación para desencriptar dicho certificado usando las claves sucesivas de los grupos en la arborescencia,
siendo capaz además dicha entidad proveedora de establecer un canal seguro de nivel de atributo con la entidad de verificación usando el aleatorio desencriptado del autentificador de autentificación del grupo de proveedores de atributos. Dicho dispositivo es, por ejemplo, el dispositivo de un usuario que desea informar a un dispositivo consumidor de certificados de su pertenencia al grupo que tiene un atributo determinado.
La invención se refiere además al otro tipo de dispositivo que consume el certificado. De esta manera, se refiere a un dispositivo que comprende una entidad de verificación que pertenece a un grupo de consumidores y a un grupo de verificación de atributos, dedicándose dicha entidad de verificación a verificar la autenticación de la pertenencia a un grupo de proveedores de atributos de una entidad proveedora, comprendiendo dicha entidad de verificación al menos una arborescencia de grupos de atributos, siendo esta arborescencia de grupos de atributos compartida por la entidad proveedora y la entidad de verificación cuando la entidad proveedora tiene el atributo, siendo cada grupo autenticado por una autoridad que almacena una clave secreta de grupo en las entidades bajo su autoridad,
estando dicha entidad de verificación provista de un conjunto de autentificadores de autenticación, uno para cada uno de los otros grupos con los que se pretende que el dispositivo se comunique, comprendiendo dicho autentificador de autenticación al menos un número aleatorio y un criptograma de al menos este número aleatorio por la clave secreta de cada uno de estos otros grupos;
comprendiendo dicha entidad de verificación medios de cálculo para calcular un certificado a partir de la arborescencia de grupos de atributos, calculándose dicho certificado a partir de los autentificadores de autenticación de los grupos a lo largo de la arborescencia desde el autentificador del grupo de verificación de atributos hasta el autentificador del grupo de consumidores,
siendo dicha entidad de verificación capaz de establecer canales seguros con la entidad proveedora;
siendo capaz además dicha entidad de verificación, cuando se desencadena una verificación, de enviar el certificado calculado a través de un canal seguro basado en el intercambio de los criptogramas del grupo de proveedores y del grupo de consumidores,
siendo capaz además dicha entidad de verificación de establecer un canal seguro de nivel de atributo con la entidad de verificación usando el código aleatorio desencriptado del autentificador de autentificación del grupo de proveedores de atributos.
Dicho dispositivo es, por ejemplo, el dispositivo de un policía o de un doctor dispuesto a verificar que el usuario del otro dispositivo tiene un permiso de conducir o, respectivamente, alergias. Para la consecución de o indicado anteriormente y con los propósitos relacionados, una o más realizaciones comprenden las características que se describen en su totalidad a continuación y que se señalan particularmente en las reivindicaciones.
Breve descripción de los dibujos
La siguiente descripción y los dibujos adjuntos exponen en detalle ciertos aspectos ilustrativos y son indicativos de solo unas pocas de las diversas formas en las que pueden emplearse los principios de las realizaciones. Otras ventajas y características novedosas resultarán evidentes a partir de la siguiente descripción detallada cuando se considera junto con los dibujos y se pretende que las realizaciones descritas incluyan la totalidad de estos aspectos y sus equivalentes.
• La Figura 1 muestra esquemáticamente el contexto y el funcionamiento de la autenticación de devolución aleatoria (RHA);
• La Figura 2 muestra esquemáticamente la estructura de un autentificador de autenticación tal como se usa en el contexto de RHA;
• La Figura 3 muestra una situación de semi-autenticación usando RHA;
• La Figura 4 muestra una autenticación recursiva en dos niveles sucesivos;
• Las Figuras 5A y 5B proporcionan dos representaciones visuales diferentes de las estructuras de atributos necesarias para la implementación de la invención;
• La Figura 6 muestra esquemáticamente el procedimiento de cálculo de un certificado de la invención;
• La Figura 7 muestra esquemáticamente el procedimiento de verificación del certificado de la invención;
• La Figura 8 resume el principio de un intercambio usando un certificado según la invención;
• La Figura 9 muestra esquemáticamente cómo puede implementarse una verificación de integridad con el fin de detectar un ataque al criptograma;
• La Figura 10 ilustra el aprovisionamiento de atributos;
• La Figura 11 muestra esquemáticamente los grupos de atributos en ambos lados de una transacción,
• La Figura 12 muestra esquemáticamente la regeneración de autentificadores usando los certificados de la invención;
• La Figura 13 ilustra la propagación viral usando la invención;
• Las Figuras 14A y 14B muestran esquemáticamente los problemas de filtrado de roles en el contexto de la invención;
• La Figura 15 muestra un nivel de protección adicional usado para transferir el certificado.
Descripción detallada de las realizaciones de la invención
Para una comprensión más completa de la invención, la invención se describirá a continuación detalladamente con referencia al dibujo adjunto. Los mismos elementos se han designado con los mismos números de referencia en los diferentes dibujos. En aras de la claridad, solo se muestran en los dibujos y se describirán aquellos elementos y etapas que son útiles para la comprensión de la presente invención.
La descripción detallada ilustrará y describirá lo que se considera como una realización preferida de la invención. Por supuesto, debería entenderse que pueden realizarse fácilmente diversas modificaciones y cambios en la forma o en los detalles sin apartarse del espíritu de la invención. Por lo tanto, se pretende que la invención no esté limitada a la forma y a los detalles exactos mostrados y descritos en la presente memoria, ni a nada que no sea la totalidad de la invención descrita en la presente memoria y tal como se reivindica más adelante. Además, las características descritas en la descripción, en el dibujo y en las reivindicaciones que describen la invención pueden ser esenciales para la invención considerada sola o en combinación. En particular, ningún signo de referencia en las reivindicaciones se interpretará como limitativo del alcance de la invención. La expresión "que comprende" no excluye otros elementos o etapas. La expresión "un" o "una" no excluye una pluralidad.
Desde un punto de vista general, la autenticación RHA utiliza un algoritmo de encriptación que puede elegirse de entre los disponibles. Los algoritmos AES se usan típicamente para calcular el criptograma según los principios de RHA. De manera ventajosa, un algoritmo AES-CBC (Cipher Bloc Enciphering, encriptación de bloque de encriptación), tal como se define en RFC 3602, se usa para encriptar/desencriptar un mensaje que tiene cualquier longitud mediante una clave secreta. La invención hace uso de dicho algoritmo.
La invención propone generar un certificado RHA que es una combinación de algoritmo que realiza una encriptación de mensaje tal como AES-CBC y la semi-autenticación RHA.
El AES-CBC es la encriptación de bloque de encriptación del mensaje M por la clave K, que se indica como sigue:
Figure imgf000007_0001
Entonces, la operación inversa es:
Figure imgf000007_0002
La invención se basa en la existencia de grupos anidados o, en una representación equivalente, de una arborescencia de grupos. Las Figuras 5A y 5B muestran dichas representaciones equivalentes. La Figura 5A muestra grupos Gd y Gc anidados, anidados en un grupo GB, anidado a su vez con otro grupo GE en un grupo GA. Grupo GE incluye además un grupo Gf. La Figura 5B muestra la misma estructura de grupos, pero como una arborescencia de grafo orientado.
Supóngase ahora un grupo Gn que tiene una clave Kgn de grupo y el subgrupo de Gn como Gn-i .
Según la implementación preferida de la invención, el certificado Mgn de Gn-1 por Gn se calcula de manera recursiva como sigue:
Figure imgf000008_0001
Con:
Figure imgf000008_0002
Aunque se usa la terminología usada en la descripción de la Figura 3, esta operación puede realizarse de manera recursiva en el interior de los grupos de consumidores denotados Gcx del grupo más bajo al grupo más alto, que es el grupo que incluye todos los subgrupos, usando el autentificador Tpx de autenticación RHA de los grupos de proveedores correspondientes denodados Gox. Dichos grupos de consumidores son aquellos a los que pertenece una entidad de verificación. En la siguiente descripción de las Figuras 6, 7 y 8, la entidad de verificación está designada mediante los términos entidad consumidora, ya que consume los autentificadores de autenticación de la entidad proveedora para verificar la pertenencia de la entidad proveedora al grupo de proveedores de atributos y para autenticar esta pertenencia. Sin embargo, cabe señalar en la presente memoria que esta notación es una cuestión de convención, ya que el uso del certificado es simétrico. El carácter relativo de la denominación consumidor/proveedor se mostrará a continuación, un consumidor es entonces un proveedor en una aplicación simétrica de la invención. Esta denominación está relacionada de hecho con la provisión/verificación de atributos.
El cálculo recursivo del certificado según la invención se muestra esquemáticamente en la Figura 6 para tres niveles.
En las Figuras 6 y 7, Cgpn es el criptograma actual del autentificador de autenticación RHA del grupo GPN de proveedores que recibirá el certificado, Rgpn es el valor aleatorio actual del autentificador de autenticación RHA del grupo GPN destinatario del certificado, Mgpn es el certificado del grupo e IDgpn es el identificador del grupo. Cgpn y Rgpn puede provisionarse durante la conexión anterior y pueden teclearse para usarse solo para operaciones de certificado.
En este último caso, cualquier grupo de cualquier nivel tendrá al menos dos tipos de autentificadores: los dedicados a una autenticación de grupo uno-a-uno y los dedicados a la autenticación de certificados.
Tal como se muestra en la Figura 6, el nivel GC-3 más bajo en el lado del consumidor, que es el nivel del atributo a verificar y, por lo tanto, que es el grupo de verificación de atributo, transmite un certificado Mgp-3 que comprende al menos un identificador de grupo de proveedores del IDgp-3 de nivel más bajo y el criptograma de proveedor del nivel Cgp-3 más bajo al siguiente nivel GC-2.
El criptograma Cgp-3 y el identificador IDgp-3 de grupo son usados por el nivel GC-2, opcionalmente completados con p parámetros AP-2 adicionales para calcular un bloque CBC rMgop- i 1 de encriptación usando una función CBCF y el valor Rgp-2. aleatorio del grupo Gp-2 de proveedores.
El bloque CBC rMopgp- 22 de encriptación, el identificador IDgp-2 de grupo de consumidores y el criptograma C gp-2 del grupo de consumidores forman el certificado Mgp-2 a ser transmitido al nivel GC-1.
Este siguiente nivel GC-1 añade opcionalmente parámetros AP-1 adicionales al certificado Mgp-2 antes de calcular un
siguiente bloque CBC M r.
de encriptación usando una función CBCF y el valor Rgp-1 aleatorio del grupo de proveedores.
A continuación, se constituye el certificado Mgp-i con este bloque CBCMgp~2 de encriptación, el identificador IDgp-i del grupo de proveedores correspondiente y el criptograma Cgp-1 del nivel actual. Se transmite al siguiente nivel GC0 superior.
En este nivel, que es el más alto, los parámetros APO adicionales se añaden de manera ventajosa al certificado Mgp-i
c bc
cular un bloque RMgpú
antes de cal gpí> de encriptación usando de nuevo una función CBCF. A continuación, el
identificador IDgpco del grupo de proveedores y el criptograma C gpo correspondiente se añaden al bloque CBC RMogpp»0 de encriptación para constituir el certificado Mgp0 a ser transmitido a un dispositivo del grupo GP0 de consumidores.
A continuación, según los principios de la invención, el proveedor del atributo correspondiente al nivel más bajo está en este caso en un lado del proveedor y puede extraer a partir del certificado pasado por el grupo de consumidores superior los datos para realizar la desencriptación del certificado y pasa el sub-certificado al subgrupo bajo su control.
En cada nivel indicado por los identificadores de grupo sucesivos, la entidad proveedora extrae el identificador de grupo del siguiente grupo direccionado y deduce la clave del grupo para desencriptar el criptograma y obtiene el valor aleatorio como clave de desencriptación para el bloque de encriptación a desencriptar.
La desencriptación se realiza desde el grupo que encapsula todos los demás hacia el más bajo. La decodificación se realiza en la dirección opuesta a la generación de certificados desde el grupo más alto al grupo más bajo. La verificación de la autenticidad del certificado puede realizarse en cada grupo de proveedores correspondiente a un nivel en la arborescencia. Se realiza verificando la disponibilidad del subgrupo de identificador IDGPN-1, ya que la probabilidad de desencriptar un identificador de subgrupo disponible a partir de una clave RGPN desencriptada incorrecta es altamente improbable. Puede completarse además verificando un parámetro adicional denotado APX proporcionado por cada grupo GCX de consumidores y debidamente desencriptado por cada grupo GPX de proveedores equivalente. Típicamente, la integridad puede controlarse además usando una suma de verificación, un código o una constante determinada conocida por el lado del proveedor, típicamente integrado en el certificado como un parámetro adicional.
La desencriptación detallada del certificado Mgp0 en el lado del proveedor se ilustra en la Figura 7. En primer lugar, el criptograma C gpo se extrae a partir de Mgpo. Usando la clave Kgpo de grupo, se desencripta el mismo proporcionando Moe<¡
Rgp0. A continuación, el Rgp0 obtenido se usa para desencriptar el bloque CBC Rc-pt¡ de encriptación.
La siguiente fórmula resume esta etapa:
c b c Mgf- 1 De esta manera, se extraen los parámetros APO adicionales, así como la IDgp-i , C gp-i y el bloque rgp- i de encriptación. A continuación, los tres últimos parámetros se transfieren al grupo identificado por IDgp-1, estos constituyen el certificado Mgp-1.
En el grupo GP-1, el criptograma C gp-i se desencripta usando la clave Kgp-i de grupo. A continuación, el valor aleatorio gpobtenido se usa para desencriptar el bloque C ',BC ' r M op- i 1 de encriptación. Aquí, se extraen los parámetros AP-i adicionales
p
para este nivel GP-1, así como IDgp-2, C gp-2 y CBC r Mg gp- 22 '
Una vez más, los tres últimos parámetros se usan para generar un nuevo certificado Mgp-2 dedicado a ser transferido al ultimo nivel GP-2.
Por último, en el nivel GP-2, el criptograma C gp-2 se desencripta y el valor Rgp-2 aleatoria obtenido se usa para
desencriptar el bloque CBC R^M~g-f2 de encriptación. Debido a que no hay ningún bloque de encriptación presente, se informa al nivel GP-2 que es el nivel más bajo correspondiente al atributo requerido. Sin embargo, puede recibir parámetros AP-2 adicionales como niveles anteriores en el certificado.
Al concatenar parámetros adicionales después de los parámetros obligatorios para la invención, cada grupo tiene la posibilidad de transportar información/operaciones adicionales. Típicamente, dichos parámetros adicionales están relacionados con la revocación, la adición de grupos, parámetros de transacción, etc. Dichos parámetros de transacción son, por ejemplo, verificación de validez, cantidad de pago, identificador de agencia, rol, etc. Los parámetros adicionales añadidos en un certificado se elegirán de manera que no se revele ninguna información que revele una posible identidad por correlación. Típicamente, deberían evitarse las constantes grandes.
La Figura 8 resume la generación, la transmisión y la verificación de un certificado en un contexto en el que un consumidor necesita verificar que un proveedor tiene un atributo. Usando los autentificadores Tp-2, Tp-1, Tp0 en el lado del proveedor almacenados en cada nivel de los grupos de consumidores, se calculan los certificados Mgp-2, Mgp-1, Mgp0 posteriores en cada nivel GC-2, GC-1, GC0.
A continuación, se construye un túnel RHA usando el autentificador Tc0 del consumidor y el autentificador Tp0 del proveedor. Esto permite la transferencia del certificado Mgp0 del nivel más alto al grupo GP0 de proveedores más alto. Debido a que tiene la clave Kgpü de grupo que permite la decodificación del certificado Mgpü, el certificado puede desencriptarse. De esta manera, se extrae un certificado de nivel Mgp-1 inferior, que será decodificado en el nivel GP-1. Este nivel proporcionará finalmente un certificado Mgp-2 de nivel más bajo extraído al nivel GP-2, que es el grupo de proveedores de atributos.
Una vez decodificado el certificado Mgp-2, a continuación, puede establecerse un canal seguro entre los grupos GP-2 y GC-2 usando el proveedor aleatorio almacenado en el lado del consumidor y el valor aleatorio desencriptado en el lado del proveedor. De esta manera, puede proporcionarse un nuevo autentificador para este nivel. Para otros niveles, se describe más adelante la manera en la que pueden aprovisionarse nuevos autentificadores usando la invención.
Para la necesidad de la invención, el AES estará protegido contra los ataques habituales, tales como los ataques Padding Oracle, ataques de errores y ataques de canal secundario.
Los dos primeros grupos de ataques pueden prevenirse parcialmente usando un HMAC. Cualquier error en el cálculo AES o cualquier bit cambiado en el Cgn será detectado por el HMAC (HCgn). E1HMAC usa una clave KDgn diversificada con el fin de no revelar ninguna información acerca de la clave Kgn secreta.
Una ilustración de la implementación de una verificación mediante HMAC en Cgn se proporciona en la Figura 9. En esta Figura, se muestra cómo un HMAC recibido de Cgn HCgn se verifica con relación a un HMAC calculado internamente por la entidad receptora para prevenir ataques básicos, tales como el ataque "Padding Oracle".
El cálculo interno del HMAC incluye una desencriptación del criptograma Cgn recibido usando la clave Kgn de grupo, una nueva encriptación de un nuevo criptograma C'gn calculado a partir del valor Rgn aleatorio obtenido usando una clave KDgn diversificada obtenida a partir de la clave Kgn de grupo. Las propiedades HMAC permiten tener una verificación directa entre el HC’gn recalculado y el HCgn recibido.
Las protecciones contra los ataques habituales (por ejemplo, los ataques Padding Oracle) para cualquier intercambio entre grupos se usan de manera ventajosa cuando se implementa un certificado RHA. Además, el AES-CBC estará protegido mediante la adición de un HMAC.
La protección AES destaca datos adicionales añadidos de manera ventajosa en el certificado o durante el establecimiento del túnel RHA para la protección de las claves secretas del grupo.
La siguiente tabla resume la comparación entre RHA y RSA en términos de definición de clave pública/privada, certificado, limitación de tiempo/conteo y tiempo de autenticación.
Figure imgf000010_0001
Puede verse que el tiempo de autenticación puede reducirse drásticamente con la invención.
A continuación, se describe de manera precisa el uso de la invención en el contexto de una autenticación de atributos fuera de línea. Este contexto supone la existencia de dos grupos principales: los proveedores de atributos y el consumidor de atributos. Esos roles no son fijos y están relacionados con el solicitante/el consumidor de atributos y el proveedor de atributos.
Cualquier dispositivo de estos grupos se ha suscrito con su autoridad de atributos respectiva para la instalación de un grupo de atributos debidamente identificado y encapsulado en un grupo controlado por la autoridad de atributos.
La autoridad de atributos en el lado del proveedor puede denegar el acceso de la autoridad de atributos en el lado del consumidor. Los canales seguros entre ambos lados pueden ser propietarios o pueden estar regulados por un estándar.
Las dos autoridades de atributos pueden intercambiar sus autentificadores de autenticación RHA respectivos correspondientes a los atributos asociados que serán aprovisionados en grupos debidamente identificados con respecto a su asociación con un atributo, por ejemplo, ojos azules, fecha de nacimiento, peso, género, número de hijos, etc.
El aprovisionamiento de atributos se ilustra en la Figura 10. Cada lado del consumidor y del proveedor tiene una autoridad de atributo.
A cada una de las autoridades AAP y AAC de atributo se le proporciona identificadores IDpa e IDca de atributo y respectivamente el autentificador Tca y Tpa de autenticación por otras autoridades de atributos.
En el lado del proveedor, la autoridad AAP de atributo tiene el identificador IDpa, el autentificador Tca del otro lado y la clave KPA usada para calcular el autentificador TPA enviado al otro lado. La clave KPA es entonces la clave de grupo para el grupo de nivel de atributo en el lado del proveedor. Se aprovisiona un grupo anidado correspondiente con esta clave Kpa asociada al identificador IDpa de atributo y al autentificador Tca. De esta manera, se crea un nuevo grupo en el lado del proveedor para el atributo a gestionar.
En el lado del consumidor, la autoridad AAC de atributo tiene el identificador IDca, el autentificador Tpa del otro lado y la clave Kca usada para calcular el autentificador Tca enviado al otro lado. La clave Kca es entonces la clave de grupo para el grupo de nivel de atributo en el lado del consumidor. A un grupo anidado correspondiente se le proporciona esta clave Kca asociada al identificador IDca de atributo y el autentificador Tpa.
Puede verse que el grupo de atributos está anidado en los grupos anteriores en ambos lados. Entonces, usando los autentificadores, los grupos de atributos en ambos lados son capaces de establecer un canal seguro directamente tan pronto como los niveles anteriores se conecten previamente.
Para la autenticación de atributos fuera de línea, el proveedor y el consumidor alojarán en sus elementos seguros respectivos la misma jerarquía de grupos para acceder a un atributo mediante la realización de una autenticación RHA recursiva desde el grupo superior hasta el grupo de atributos. Dicha jerarquía es, por ejemplo, del tipo mostrado en las Figuras 5A y 5B. Con esta jerarquía, la ruta de autenticación es la lista de todos los identificadores de grupo desde la raíz cuando se usa arborescencia para estructurar la jerarquía o desde el grupo que encapsula todos los demás grupos cuando se usan grupos anidados. La ruta de autenticación se proporciona en la siguiente tabla.
Figure imgf000011_0001
El proveedor puede aceptar la solicitud o denegarla, típicamente cuando se aplica un acuerdo o política de usuario negativo según un perfil de aplicación. La situación después de la aceptación de la solicitud se muestra en la Figura 11 donde se establecen canales seguros sucesivos entre los grupos anidados sucesivos hasta el último identificado por IDpa e IDca y usando, respectivamente, la clave Kpa en el lado del proveedor y Kca en el lado del consumidor. En esta Figura, se muestran dos atributos A y B que tienen el mismo nivel, por ejemplo, dos estados de vacunación para una aplicación médica.
A continuación, en el caso en el que se acepte la solicitud, el proveedor puede enviar un certificado RHA al consumidor. Este certificado puede calcularse previamente. La Figura 12 muestra esquemáticamente dicha respuesta usando un certificado simétrico. En este caso, incluso si se identifican los lados del proveedor y del consumidor, cuando el proveedor responde devolviendo un certificado, esta vez es de hecho un consumidor en el sentido de la invención. Aquí, se entiende que la denominación se refiere a la verificación del atributo y no se refiere a diferencias técnicas.
En una implementación preferida, el consumidor devolverá el certificado precalculado equivalente usando la misma ruta de autenticación para volver a generar los autentificadores de autenticación RHA consumidos por el certificado del proveedor.
En respuesta al certificado recibido desde el lado del consumidor, se calculan de esta manera certificados Mgc-2, Mgc-1 intermedios usando los autentificadores de consumidor almacenados en cada nivel en el lado del proveedor.
El canal seguro establecido para transferir el certificado de nivel superior se usa para transferir el nuevo certificado calculado de esta manera desde el lado del proveedor al lado del consumidor. A continuación, se realiza la desencriptación del certificado en el lado del consumidor desde el nivel superior al más bajo. De esta manera, se realiza un intercambio bidireccional de certificado.
El intercambio de certificados mostrado en la Figura 12 puede usarse para la regeneración de autentificadores después de la desencriptación del certificado. Se calculan nuevos autentificadores en cada nivel en el lado del proveedor y estos autentificadores se introducen en la generación recursiva de un certificado Mgc0 con un cálculo similar al descrito anteriormente.
En este caso, cabe señalar que, idealmente, el primer certificado calculado en el lado del consumidor incluye también nuevos autentificadores de autenticación para el lado del consumidor a ser desencriptados y almacenados en el lado del proveedor después del uso de los autentificadores de autenticación previamente disponibles y almacenados.
Los autentificadores se introducen como parámetros adicionales en un esquema de cálculo, tal como se muestra en la Figura 6.
En cada nivel de grupo, pueden calcularse claves (KS-1, KS-2...) de sesión comunes usando el RGN deducido a partir de CGN y las claves de grupo respectivas. Cada nivel puede realizar una autenticación mutua mediante el intercambio de información definida encriptada por la clave de sesión para verificar el control de las claves de grupo respectivas. Tal como se ha descrito anteriormente, los parámetros adicionales en el interior del certificado relacionados con cada nivel, pueden transportar los nuevos autentificadores RHA para una transacción/conexión posterior.
Cualquier autoridad de atributos puede transportar en el interior de los datos adicionales del certificado RHA un conjunto de órdenes para eliminar/revocar un grupo, añadir un grupo, cambiar una clave de grupo, eliminar autentificadores de autenticación RHA, añadir autentificadores de autenticación RHA, etc.
La autenticidad, la integridad y la confidencialidad de estas operaciones se protegerán con el fin de evitar la denegación de servicios y no se pueden usar secretos dentro del elemento seguro para la actualización. Para estas operaciones, el elemento seguro usará una encriptación asimétrica, tal como RSA o ECC y una clave pública.
El certificado puede recuperarse desde el servidor de la autoridad o durante la conexión a otro elemento seguro mediante el uso de un principio denominado propagación viral descrito en la solicitud de patente de autenticación RHA presentada anteriormente. Según esta propagación viral, las operaciones encapsuladas por las autoridades de atributos en un certificado pueden propagarse desde los elementos seguros en el lado del proveedor/consumidor usando los elementos seguros en el lado del consumidor/proveedor. Las operaciones encapsuladas debidamente etiquetadas pueden adjuntarse a los datos adicionales de cualquier certificado y pueden propagarse a un elemento seguro que no tiene medios de conectividad. La propagación puede estar limitada al tiempo de un recuento de saltos.
La Figura 13 ilustra esta propagación viral en la que los parámetros adicionales se transfieren, una vez, desde la autoridad de atributos a un elemento SEPA seguro. A continuación, este elemento seguro se conecta con un elemento SECA seguro en el lado del consumidor que, a su vez, se conecta posteriormente con un elemento SEPB seguro del proveedor. De esta manera, a este elemento seguro del proveedor se le proporcionan los parámetros adicionales. Esta figura solo muestra una propagación lineal, pero, en cuanto el elemento SECA seguro puede conectarse a muchos otros elementos seguros del proveedor, este principio crece rápidamente, conduciendo a una propagación viral siempre más rápida.
La invención permite también controlar el ciclo de vida del elemento seguro, incluyendo la propiedad de los grupos. De hecho, en la inicialización el SE tiene un solo grupo controlado por el fabricante de SE. Los grupos subsiguientes se unen usando el principio relacionado con la Adición y Revocación de grupos, tal como se ha explicado anteriormente.
La invención permite además realizar una revelación indirecta de atributos. Todos los atributos tienen un identificador de grupo. Entonces, la disponibilidad del grupo no revelará ninguna información acerca de la disponibilidad del atributo. La conexión de un grupo de atributos de proveedor con un grupo de atributos de consumidor solo puede expresar la disponibilidad del atributo.
La falta de conexión con un grupo de atributos de consumidor de un grupo de atributos de proveedor puede expresar la no disponibilidad del atributo o la no aceptación para revelar un atributo disponible, por ejemplo, si el usuario no está de acuerdo con revelarlo o con respecto a una política.
Cuando se completa el protocolo de certificado RHA entre dos grupos que comparten el mismo atributo en los lados del proveedor y del consumidor, entonces el proveedor aporta la evidencia acerca de la autenticidad de un atributo relacionado con la ruta de autenticación implicada en la autenticación recursiva.
En este caso, cabe señalar que un mismo atributo desde el punto de vista del usuario, por ejemplo, el género masculino/femenino, puede estar presente en varias arborescencias. En este caso, los grupos correspondientes en las arborescencias tendrán diferentes identificadores de atributos y diferentes claves correspondientes según los principios de RHA. De esta manera, el mismo atributo puede tener diferentes rutas de autenticación a ser verificadas.
Además, el identificador de atributo es único o no ambiguo en el ámbito de una aplicación y permite al grupo de proveedores de atributos aceptar o denegar una solicitud de provisión de atributos. La aceptación o denegación se decide de manera ventajosa con relación a un acuerdo o política del usuario según un perfil de aplicación.
La autoridad de atributos puede filtrar a los consumidores para otorgar de manera condicional el acceso a un atributo. Esto se ilustra en las Figuras 14A y 14B.
En ambas figuras, se muestra la arborescencia tal como se conoce en el lado del proveedor, que es un proveedor P, típicamente un dispositivo de usuario, y respectivamente, en la Figura 14A, la arborescencia tal como la conoce un consumidor C, que en este caso es un elemento de seguridad policial, y en la Figura 14B, la arborescencia tal como la conoce un consumidor C que en este caso es una enfermera. La enfermera será capaz de verificar solo si el usuario tiene alergias con el atributo A de alergias, mientras que el policía ser capaz de verificar el atributo GL de la licencia de armas y el atributo DL de carnet de conducir.
La arborescencia comprende una autoridad común, que es, por ejemplo, un gobierno G, que tiene un grupo C de consumidores y un grupo P de proveedores definidos. El elemento C seguro de consumidor del usuario comprende una entidad proveedora que pertenece a múltiples grupos que permiten discutir con un grupo de consumidores correspondiente. En el ejemplo de las Figuras 14A y 14B, la entidad proveedora pertenece al grupo del atributo U de universidad, el grupo del atributo M ministro, el grupo del atributo P policía, el grupo del atributo A alergia, el grupo GL de licencia de armas y el grupo DL de carnet de conducir.
Tal como se muestra en la Figura 14A, el elemento de seguridad del policía representado esquemáticamente en el lado derecho, comprende una entidad de verificación que pertenece solo a un cierto número de grupos, tales como los enumerados anteriormente para el elemento de seguridad del usuario. De esta manera, pertenece al atributo M de ministro, al atributo P de policía, al atributo GL de licencia de armas y al atributo DL de carnet de conducir.
En la Figura 14B puede observarse que el elemento seguro enfermera tiene una entidad de verificación que pertenece al atributo M de ministro, al atributo N de enfermera y al atributo A de alergia. Con la invención, este elemento seguro será capaz de verificar rápidamente la pertenencia de la entidad proveedora de cualquier otro elemento seguro a estos atributos únicamente. En este caso, cabe señalar que un mismo atributo para el usuario, por ejemplo, el atributo de carnet de conducir, puede aparecer en los atributos que pueden ser controlados por la enfermera y en el atributo que puede ser controlado por el policía. En este caso, de manera ventajosa, se usará un identificador distinto. Sin embargo, debido a que el grupo de atributos está de hecho bajo el grupo de enfermera o bajo el grupo de policía, la identificación será de todos modos distinta.
El hecho de que la invención se base en la arborescencia de grupos permite filtrar el rol de las entidades, en este caso particular, de las entidades de verificación.
Por supuesto, el proveedor puede aportar la prueba exportable de la autenticación mediante un certificado RHA que puede sellar algunos parámetros de transacción (fecha, cantidad, operaciones, etc.). Dicho certificado RHA exportable puede obtenerse sin la autenticación del consumidor y la verificación puede delegarse a un servidor cualificado.
La solución es más rápida que la que usa PKI y no hay claves compartidas entre los proveedores y los consumidores de los atributos. Nunca se intercambian grandes constantes entre los grupos, previniéndose la correlación de grupos y la revelación de identidades.
Si es necesario, puede garantizarse el secreto hacia adelante con la invención mediante la negociación de una clave de sesión para crear un túnel (AES-CBC) entre el consumidor de atributos y los proveedores de atributos. Dicha clave de sesión puede usar un túnel Diffie-Hellman basado en semillas aleatorias dentro de un túnel RHA inicial. La combinación de ambos garantiza que no se produzca un ataque de hombre-en-el-medio y garantiza el secreto hacia adelante debido a la complejidad para resolver grandes logaritmos discretos.
Esta característica se ilustra en la Figura 15, en la que se construye un túnel Diffie-Hellman dentro del túnel RHA antes de comunicar el certificado MC0. En este caso, cabe señalar que la circulación del certificado, típicamente una respuesta a un certificado transferido previamente, se muestra simétrica a la mostrada en la Figura 8, que ilustra la relatividad de la denominación proveedor/consumidor.
Sin embargo, la invención necesita una gestión ampliada de las claves de grupo secretas para el grupo de consumidores y para el grupo de proveedores, donde, con una solución basada en PKI, solo el grupo de proveedores gestiona las claves privadas.
Esto es ventajoso cuando las autoridades de atributos desean controlar quién puede consumir los atributos.
El consumidor puede falsificar un certificado de consumidor válido, pero no puede transferir dicho certificado a otro consumidor debido a que el túnel RHA para transferir un certificado es válido entre el grupo de proveedores y el grupo de consumidores. Los certificados solo pueden ser usados desde los consumidores a los proveedores o desde los proveedores a los consumidores, pero no desde los proveedores a los proveedores o desde los consumidores a los consumidores.
En la descripción detallada anterior, se hace referencia a los dibujos adjuntos que muestran, a modo de ilustración, realizaciones específicas en las que puede llevar a la práctica la invención. Estas realizaciones se describen con suficiente detalle para permitir a las personas expertas en la manera llevar a la práctica la invención. Debe entenderse que las diversas realizaciones de la invención, aunque diferentes, no son necesariamente mutuamente excluyentes. Por ejemplo, una característica, estructura o característica particular descrita en la presente memoria en conexión con una realización puede implementarse en otras realizaciones sin apartarse del espíritu y del alcance de la invención. Además, debe entenderse que la ubicación o la disposición de los elementos individuales dentro de cada realización descrita pueden modificarse sin apartarse del espíritu y del alcance de la invención. Por lo tanto, la descripción detallada anterior no debe considerarse en un sentido limitativo, y el alcance de la presente invención está definido solo por las reivindicaciones adjuntas, interpretadas de manera apropiada, junto con el rango completo de equivalentes a los que están legitimadas las reivindicaciones.

Claims (10)

REIVINDICACIONES
1. Procedimiento, para una entidad proveedora que pertenece a un grupo de proveedores, para autenticar la pertenencia de esta entidad proveedora a un grupo de proveedores de atributos en una entidad de verificación que pertenece al menos a un grupo de consumidores y a un grupo de verificación de atributos, de manera no rastreable y sin necesidad de compartir secretos o grandes constantes que comprometen la privacidad, comprendiendo tanto la entidad de proveedora como la entidad de verificación al menos una arborescencia de grupos de atributos, siendo esta arborescencia de grupos de atributos compartida por la entidad proveedora y la entidad de verificación cuando la entidad proveedora tiene el atributo, siendo autenticado cada grupo por una autoridad que almacena una clave de grupo secreta en las entidades bajo su autoridad,
estando dicho procedimiento caracterizado por que comprende la etapa preliminar de proporcionar a cada entidad de cada grupo un conjunto de autentificadores de autenticación, uno para cada uno de los otros grupos con los que se pretende que se comunique la entidad, comprendiendo dicho autentificador de autenticación al menos un número aleatorio y un criptograma de al menos este número aleatorio encriptado por la clave secreta de cada uno de estos otros grupos;
comprendiendo además dicho procedimiento las etapas de, cuando se desencadena una verificación,
- para la entidad de verificación, calcular un certificado a partir de la arborescencia de grupos de atributos, calculándose dicho certificado a partir de los autentificadores de autenticación de los grupos a lo largo de la arborescencia desde el autentificador del grupo de verificación de atributos hasta el autentificador del grupo de consumidores,
- establecer un canal seguro en base al intercambio de los criptogramas del grupo de proveedores y del grupo de consumidores y enviar el certificado calculado a la entidad proveedora,
- para la entidad proveedora, recibir y desencriptar dicho certificado usando las sucesivas claves de los grupos en la arborescencia,
- usar el número aleatorio desencriptado del autentificador de autenticación del grupo de proveedores de atributos para establecer un canal seguro de nivel de atributo con la entidad de verificación.
2. Procedimiento según la reivindicación 1, en el que se intercambia además un desafío de seguridad una vez establecido el canal seguro del nivel de atributo.
3. Procedimiento según una de las reivindicaciones 1 o 2, en el que dicho procedimiento comprende la provisión de un conjunto de nuevos autentificadores de autenticación para cada nivel de la arborescencia, comprendiendo esta provisión las etapas de calcular un aprovisionador de autentificadores a partir de la arborescencia de grupos de atributos, calculándose dicho aprovisionador de autentificadores, al igual que el certificado, a partir de los autentificadores de autenticación de los grupos a lo largo de la arborescencia desde el autentificador del grupo de proveedores de atributos hasta el autentificador del grupo de proveedores,
enviar el aprovisionador de autentificadores a través del canal seguro a la entidad de verificación,
- para la entidad de verificación, recibir y desencriptar dicho aprovisionador de autentificadores usando las claves sucesivas de los grupos en la arborescencia,
- almacenar los nuevos autentificadores de autenticación extraídos en cada nivel después de la desencriptación.
4. Procedimiento según una de las reivindicaciones anteriores, en el que dicho certificado se calcula para cada grupo a partir de los datos del grupo inferior en la arborescencia, incluyendo dichos datos al menos un identificador del grupo inferior, el criptograma del grupo inferior y, a excepción del grupo de verificación de atributos, el certificado calculado previamente para el grupo inferior, incluyendo dicho cálculo la encriptación de al menos el identificador del grupo inferior, el criptograma del autentificador de autenticación para el grupo inferior y el certificado del grupo inferior usando el número aleatorio del autentificador de autenticación del grupo.
5. Procedimiento según una de las reivindicaciones anteriores, en el que se introducen parámetros adicionales en el certificado.
6. Procedimiento según la reivindicación 5, en el que dichos parámetros adicionales se eligen de entre el grupo constituido por: un nuevo autentificador de autenticación, un código de operación específico, un código de revocación, un código de verificación de certificado, un código de adición de grupo, parámetros de transacción tales como verificación de validez, cantidad de pago, identificador de agencia, rol de transacción, marcas de tiempo que limitan la validez, marcas de tiempo que inician la validez en una fecha determinada, una duración, un recuento.
7. Procedimiento según una de las reivindicaciones anteriores, estando asociado el grupo inferior a un identificador de atributo, el procedimiento comprende la etapa de, si el identificador de atributo es único o no ambiguo en el ámbito de una aplicación, para el grupo de proveedor de atributo, aceptar la solicitud o denegarla.
8. Procedimiento según la reivindicación 7, en el que la aceptación o la denegación se decide con relación a un acuerdo o política del usuario según un perfil de aplicación.
9. Dispositivo que comprende una entidad proveedora que pertenece a un grupo de proveedores y adaptada para autenticar la pertenencia de esta entidad proveedora a un grupo de proveedores de atributos en una entidad de verificación que pertenece al menos a un grupo de consumidores y a un grupo de verificación de atributos, de manera no rastreable y sin necesidad de compartir secretos, comprendiendo dicha entidad proveedora y dicha entidad de verificación al menos una arborescencia de grupos de atributos, siendo esta arborescencia de grupos de atributos compartida por la entidad proveedora y la entidad de verificación cuando la entidad proveedora tiene el atributo, siendo cada grupo autenticado por una autoridad que almacena una clave secreta de grupo en las entidades bajo su autoridad,
estando dicha entidad proveedora provista de un conjunto de autentificadores de autenticación, uno para cada uno de los otros grupos con los que se pretende que el dispositivo se comunique, comprendiendo dicho autentificador de autenticación al menos un número aleatorio y un criptograma de al menos este número aleatorio encriptado por la clave secreta de cada uno de estos otros grupos;
estando adaptada dicha entidad proveedora establecer canales seguros con la entidad de verificación;
estando adaptada además dicha entidad proveedora, cuando se desencadena una verificación, para recibir, a través de un canal seguro basado en el intercambio de los criptogramas del grupo de proveedores y del grupo de consumidores, un certificado calculado a partir de la arborescencia de grupos de atributos por la entidad de verificación, calculándose dicho certificado a partir de los autentificadores de autenticación de los grupos a lo largo de la arborescencia desde el autentificador del grupo de verificación de atributos hasta el autentificador del grupo de consumidores,
comprendiendo además dicha entidad proveedora una unidad de desencriptación para desencriptar dicho certificado usando las sucesivas claves de los grupos en la arborescencia,
estando adaptada además dicha entidad proveedora para establecer un canal seguro de nivel de atributo con la entidad de verificación usando el número aleatorio desencriptado del autentificador de autentificación del grupo de proveedores de atributos.
10. Dispositivo que comprende una entidad de verificación que pertenece a un grupo de consumidores y a un grupo de verificación de atributos, estando dicha entidad de verificación adaptada a verificar la autenticación de la pertenencia a un grupo de proveedores de atributos de una entidad proveedora, comprendiendo dicha entidad proveedora y dicha entidad de verificación al menos una arborescencia de grupos de atributos, siendo esta arborescencia de grupos de atributos compartida por la entidad proveedora y la entidad de verificación cuando la entidad proveedora tiene el atributo, siendo cada grupo autenticado por una autoridad que almacena una clave secreta de grupo en las entidades bajo su autoridad,
estando dicha entidad de verificación provista de un conjunto de autentificadores de autenticación, uno para cada uno de los otros grupos con los que se pretende que el dispositivo se comunique, comprendiendo dichos autentificadores de autenticación al menos un número aleatorio y un criptograma de al menos este número aleatorio encriptado por la clave secreta de cada uno de estos otros grupos;
comprendiendo dicha entidad de verificación medios de cálculo para calcular un certificado a partir de la arborescencia de grupos de atributos, calculándose dicho certificado a partir de los autentificadores de autenticación de los grupos a lo largo de la arborescencia desde el autentificador del grupo de verificación de atributos hasta el autentificador del grupo de consumidores,
estando dicha entidad de verificación adaptada para establecer canales seguros con la entidad proveedora;
estando adaptada además dicha entidad de verificación, cuando se desencadena una verificación, para enviar el certificado calculado a la entidad proveedora a través de un canal seguro basado en el intercambio de los criptogramas del grupo de proveedores y del grupo de consumidores,
estando adaptada además dicha entidad de verificación para establecer un canal seguro de nivel de atributo con la entidad proveedora usando el número aleatorio desencriptado del autentificador de autentificación del grupo de proveedores de atributos.
ES15805527T 2014-12-19 2015-12-09 Procedimiento de autenticación de atributos de una manera no rastreable y sin conexión a un servidor Active ES2828451T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP14307103.3A EP3035629A1 (en) 2014-12-19 2014-12-19 Method for authenticating attributes in a non-traceable manner and without connection to a server
PCT/EP2015/079059 WO2016096554A1 (en) 2014-12-19 2015-12-09 Method for authenticating attributes in a non-traceable manner and without connection to a server

Publications (1)

Publication Number Publication Date
ES2828451T3 true ES2828451T3 (es) 2021-05-26

Family

ID=52444071

Family Applications (1)

Application Number Title Priority Date Filing Date
ES15805527T Active ES2828451T3 (es) 2014-12-19 2015-12-09 Procedimiento de autenticación de atributos de una manera no rastreable y sin conexión a un servidor

Country Status (5)

Country Link
US (1) US10608826B2 (es)
EP (2) EP3035629A1 (es)
KR (1) KR102003622B1 (es)
ES (1) ES2828451T3 (es)
WO (1) WO2016096554A1 (es)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11425107B2 (en) * 2020-09-09 2022-08-23 Springcoin, Inc. Method and apparatus for third-party managed data transference and corroboration via tokenization

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060235850A1 (en) 2005-04-14 2006-10-19 Hazelwood Kristin M Method and system for access authorization involving group membership across a distributed directory
EP2541831A1 (en) * 2011-06-30 2013-01-02 Gemalto SA Method for accessing a service of a service provider by providing anonymously an attribute or a set of attributes of a user
CN103150770A (zh) * 2013-02-01 2013-06-12 华中科技大学 用于自由流收费的车载单元esam模块及其使用方法
GB2517127A (en) * 2013-05-29 2015-02-18 Ibm Method for deriving a verification token from a credential

Also Published As

Publication number Publication date
US20170346642A1 (en) 2017-11-30
KR20170086571A (ko) 2017-07-26
US10608826B2 (en) 2020-03-31
EP3035629A1 (en) 2016-06-22
EP3235214B1 (en) 2020-08-05
WO2016096554A1 (en) 2016-06-23
KR102003622B1 (ko) 2019-07-24
EP3235214A1 (en) 2017-10-25

Similar Documents

Publication Publication Date Title
US10951423B2 (en) System and method for distribution of identity based key material and certificate
JP6976949B2 (ja) サーバーと医療デバイスとの間の鍵配布のための方法及びシステム
US8953790B2 (en) Secure generation of a device root key in the field
ES2400020T5 (es) Generación de claves criptográficas
JP6226197B2 (ja) 証明書発行システム、クライアント端末、サーバ装置、証明書取得方法、及び証明書発行方法
WO2009062451A1 (fr) Procédé, système et équipement de distribution de clé
WO2017167771A1 (en) Handshake protocols for identity-based key material and certificates
EP3000216B1 (en) Secured data channel authentication implying a shared secret
CN106127079A (zh) 一种数据共享方法及装置
CN109274502A (zh) 公钥加密及密钥签名的创建方法、设备及可读存储介质
BR112020009701A2 (pt) provisionamento seguro de dados para dispositivo de cliente
Niu et al. A novel user authentication scheme with anonymity for wireless communications
KR101639714B1 (ko) 스마트 그리드 기기 인증 방법
US10230532B2 (en) Entity authentication in network
ES2828451T3 (es) Procedimiento de autenticación de atributos de una manera no rastreable y sin conexión a un servidor
ES2687396T3 (es) Métodos y dispositivos para la transferencia segura de datos útiles
ES2523423B1 (es) Dispositivo de cifrado simetrico y procedimiento empleado
JP5125682B2 (ja) 鍵共有システム
US20160330025A1 (en) Method to independently complete the personalization of a token
JP2015186101A (ja) 鍵交換装置、及び鍵交換方法
CN106230595B (zh) 一种可信平台控制模块的授权协议
US11153087B1 (en) Hub-based token generation and endpoint selection for secure channel establishment
WO2014005534A1 (zh) 一种从数据提供方传输数据到智能卡的方法和系统
ES2660405T3 (es) Sistemas, métodos y aparatos para proteger certificados raíz
ES2949426T3 (es) Transmisión segura de datos dentro de un nodo de red QKD