ES2835873T3 - Método de autentificación de seguridad, método de configuración y dispositivo relacionado - Google Patents

Método de autentificación de seguridad, método de configuración y dispositivo relacionado Download PDF

Info

Publication number
ES2835873T3
ES2835873T3 ES15901945T ES15901945T ES2835873T3 ES 2835873 T3 ES2835873 T3 ES 2835873T3 ES 15901945 T ES15901945 T ES 15901945T ES 15901945 T ES15901945 T ES 15901945T ES 2835873 T3 ES2835873 T3 ES 2835873T3
Authority
ES
Spain
Prior art keywords
terminal
type information
information
signature
configuration device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES15901945T
Other languages
English (en)
Inventor
Gaokun Pang
Ping Fang
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Application granted granted Critical
Publication of ES2835873T3 publication Critical patent/ES2835873T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup

Abstract

Un método de autentificación de seguridad, que comprende: recibir (101), por un primer terminal, una clave pública para la firma de un dispositivo de configuración enviada por el dispositivo de configuración; recibir (102), por el primer terminal, la segunda información de firma y segunda información de tipo de un segundo terminal, en donde la segunda información de firma es información de firma enviada por el dispositivo de configuración al segundo terminal, la segunda información de firma es generada por el dispositivo de configuración según al menos la segunda información de tipo y una clave privada para la firma del dispositivo de configuración, la segunda información de tipo es la información de tipo de función del segundo terminal, y la clave pública para la firma del dispositivo de configuración corresponde a la clave privada para la firma del dispositivo de configuración; y determinar (103), por el primer terminal según al menos la segunda información de tipo y la segunda información de firma, que el primer terminal debe generar información de clave, en donde la información de clave se usa para que el primer terminal establezca una conexión de seguridad al segundo terminal; en donde determinar (103), por el primer terminal según al menos la segunda información de tipo y la segunda información de firma, que el primer terminal debe generar información de clave comprende: determinar que la primera información de tipo coincide con la segunda información de tipo y que la segunda información de firma es correcta, en donde la primera información de tipo es información de tipo de función del primer terminal.

Description

DESCRIPCIÓN
Método de autentificación de seguridad, método de configuración y dispositivo relacionado
Campo técnico
La presente invención se refiere al campo de las comunicaciones de red y, en particular, a un método de autentificación de seguridad, un método de configuración, y un dispositivo relacionado.
Antecedentes
En la técnica anterior, un dispositivo de configuración es capaz de configurar un primer terminal a configurar, para que el primer terminal a configurar pueda recibir información de configuración cifrada enviada por el dispositivo de configuración. Si el primer terminal que recibe la información de configuración espera establecer una conexión de seguridad a un segundo terminal, el primer terminal reenvía la información de configuración al segundo terminal. El segundo terminal es capaz de verificar la información de configuración. Si la verificación tiene éxito, el primer terminal puede establecer una conexión de seguridad al segundo terminal. Por ejemplo, en una red de área local inalámbrica (en inglés, Wireless Local Area Network, WLAN para abreviar), el primer terminal puede ser un punto de acceso (en inglés, Access Point, AP para abreviar), y el segundo terminal puede ser una estación (en inglés, Station, STA para abreviar). El AP es capaz de enviar a la s Ta la información de configuración enviada por el dispositivo de configuración a la STA, y la STA verifica la información de configuración. Si la verificación tiene éxito, la STA puede acceder al AP. Para otro ejemplo, en una red entre pares (en inglés, P2P network), el primer terminal puede ser un propietario de grupo, denominado dispositivo GO para abreviar, y el dispositivo GO puede usarse como un nodo central de la red P2P. El segundo terminal puede ser un dispositivo P2P. El dispositivo GO es capaz de enviar la información de configuración enviada por el dispositivo de configuración al dispositivo P2P. El dispositivo P2P verifica la información de configuración, y si la verificación tiene éxito, el dispositivo P2P puede acceder al dispositivo GO.
En el documento US 20150229475A1, el aprovisionamiento de dispositivos (p. ej., registro, configuración y/o autentificación) de un dispositivo cliente con un dispositivo de red puede ser asistido usando un dispositivo configurador. El dispositivo configurador puede obtener una clave pública de cliente asociada con el dispositivo de cliente y enviar el dispositivo público de cliente al dispositivo de red. El dispositivo de red puede usar la clave pública de cliente en un proceso de autentificación entre el dispositivo de red y el dispositivo del cliente. Después del proceso de autentificación, el dispositivo cliente puede configurarse para su uso con el dispositivo de red para obtener acceso a otros recursos de red. De esta forma, el permiso para obtener acceso al dispositivo de red puede ser transparente para el usuario, a menudo sin que el usuario tenga que introducir códigos o contraseñas.
El documento WO2015014307A1 describe un método, dispositivo y sistema para configurar múltiples dispositivos, que realizan la configuración centralizada de múltiples dispositivos de forma simple y segura. En relación con la técnica anterior, cuando se configura una pluralidad de dispositivos a agregar, estos dispositivos a agregar deben configurarse uno por uno según las etapas en una especificación de configuración protegida de red inalámbrica (en inglés, Wi-Fi Protected Setup, WPS, por sus siglas en inglés), para que el proceso de configuración se simplifique, y se ahorre el tiempo de configuración. El método para ello comprende: un dispositivo de configuración que adquiere información de identificación del dispositivo, información de contraseña de configuración y atributos de función de red sobre al menos dos dispositivos que deben configurarse en la misma red de área local inalámbrica (WLAN, por sus siglas en inglés); según los atributos de función de la red sobre los al menos dos dispositivos, determinar un dispositivo de nodo central de la WLAN; y enviar información de identificación de dispositivo e información de contraseña de configuración sobre un dispositivo de nodo no central al dispositivo de nodo central; alternativamente, el dispositivo de configuración envía la información de identificación del dispositivo y la información de contraseña de configuración sobre el dispositivo del nodo central al dispositivo del nodo no central.
El documento WO2015061941A1 proporciona un método y un aparato de configuración de clave. El método comprende: un primer dispositivo que obtiene una clave pública de un segundo dispositivo por medio de un medio seguro; el primer dispositivo que envía información para obtener una clave compartida a un segundo dispositivo; y el segundo dispositivo que obtiene una clave compartida mediante una clave privada del segundo dispositivo y la información para obtener la clave compartida, el primer dispositivo que obtiene la clave compartida mediante la información para obtener la clave compartida o una clave privada del primer dispositivo. Este método asegura que la clave pública del segundo dispositivo llegue al primer dispositivo y evita que un atacante establezca una conexión segura con el primer dispositivo pretendiendo ser el segundo dispositivo, para que el atacante no pueda monitorear un mensaje entre el primer dispositivo y el segundo dispositivo, mejorando así la seguridad de la interacción entre el primer dispositivo y el segundo dispositivo.
Sin embargo, un defecto en la técnica anterior es el siguiente: por ejemplo, en una red de área local inalámbrica, si un terminal atacante recibe la información de configuración enviada por el dispositivo de configuración, el terminal atacante puede cambiar su propia función, para que el terminal atacante se pueda disfrazar como el dispositivo AP. El terminal atacante establece su propia información en un identificador de conjunto de servicios (en inglés, Service Set Identifier, SSID, por sus siglas en inglés) del AP. Cuando una STA intenta conectarse al AP, el terminal atacante envía la información de configuración recibida del dispositivo de configuración a la STA. La STA realiza la verificación según la información de configuración, y la verificación puede realizarse con éxito. La STA no puede reconocer el terminal atacante como un AP fraudulento. Después de que el terminal atacante establece una conexión con la STA, el terminal atacante puede interceptar información de la STA. Se puede aprender que, en la técnica anterior, hay un riesgo de seguridad al establecer una conexión entre terminales.
Compendio
La presente invención está definida por las reivindicaciones adjuntas.
La presente invención proporciona un método de autentificación de seguridad, un método de configuración, y un dispositivo relacionado.
Un primer aspecto de la presente invención proporciona un método de autentificación de seguridad, que incluye: recibir, por un primer terminal, una clave pública para la firma de un dispositivo de configuración enviada por el dispositivo de configuración;
recibir, por el primer terminal, una segunda información de firma y una segunda información de tipo, donde la segunda información de firma es información de firma enviada por el dispositivo de configuración a un segundo terminal, la segunda información de firma es generada por el dispositivo de configuración según al menos la segunda información de tipo y una clave privada para la firma del dispositivo de configuración, la segunda información de tipo es información de tipo de función del segundo terminal y/o información de tipo de una función a la que se puede conectar el segundo terminal, y la clave pública para la firma del dispositivo de configuración corresponde a la clave privada para la firma del dispositivo de configuración; y
determinar, por el primer terminal, según al menos la segunda información de tipo y la segunda información de firma, que el primer terminal debe generar información de clave, donde la información de clave se usa para que el primer terminal establezca una conexión de seguridad al segundo terminal.
Con referencia al primer aspecto de la presente invención, en una primera forma de implementación del primer aspecto de la presente invención,
el método incluye además:
recibir, por el primer terminal, la primera información de firma enviada por el dispositivo de configuración, donde la primera información de firma es generada por el dispositivo de configuración según al menos la primera información de tipo y la clave privada para la firma, y la primera información de tipo es información de tipo de función del primer terminal y/o información de tipo de una función a la que se puede conectar el primer terminal.
Con referencia a la primera forma de implementación del primer aspecto de la presente invención, en una segunda forma de implementación del primer aspecto de la presente invención,
la información de tipo de función del primer terminal y/o la información de tipo de la función a la que se puede conectar el primer terminar para incluir/incluye:
una estación, un punto de acceso, un dispositivo propietario de grupo punto a punto, un dispositivo cliente punto a punto, un maestro ancla, un maestro no ancla, un repetidor, un dispositivo central de acoplamiento, un dispositivo acoplado, un periférico, un dispositivo fuente, un dispositivo sumidero, un configurador, un registrado, una capacidad soportada, un servicio soportado, un identificador de conjunto de servicios, o una dirección de control de acceso a medios.
Con referencia a cualquiera de la primera y segunda forma de implementación del primer aspecto de la presente invención, en una tercera forma de implementación del primer aspecto de la presente invención,
la información de tipo de función del segundo terminal y/o la información de tipo de la función a la que se puede conectar el segundo terminal para incluir/incluye:
una estación, un punto de acceso, un dispositivo propietario de grupo punto a punto, un dispositivo cliente punto a punto, un maestro ancla, un maestro no ancla, un repetidor, un dispositivo central de acoplamiento, un dispositivo acoplado, un periférico, un dispositivo fuente, un dispositivo sumidero, un configurador, un registrado, una capacidad soportada, un servicio soportado, un identificador de conjunto de servicios, o una dirección de control de acceso a medios.
Con referencia a la tercera forma de implementación del primer aspecto de la presente invención, en una cuarta forma de implementación del primer aspecto de la presente invención,
Con referencia a cualquiera de la primera a la tercera forma de implementación del primer aspecto de la presente invención, en una cuarta forma de implementación del primer aspecto de la presente invención,
la determinación, por parte del primer terminal, según al menos la segunda información de tipo y la segunda información de firma, que el primer terminal debe generar información de clave incluye:
si el primer terminal determina que la primera información de tipo coincide con la segunda información de tipo y que la segunda información de firma coincide con la segunda información de tipo, determinar, por el primer terminal, generar la información de clave.
Con referencia a la cuarta forma de implementación del primer aspecto de la presente invención, en una quinta forma de implementación del primer aspecto de la presente invención,
después de determinar, por parte del primer terminal, según al menos la segunda información de tipo y la segunda información de firma, que el primer terminal debe generar información de clave, el método incluye:
generar, por el primer terminal, la información de clave.
Un segundo aspecto de la presente invención proporciona un método de configuración, que incluye:
obtener, por un dispositivo de configuración, información de tipo de un terminal, donde la información de tipo es información de tipo de función del terminal y/o información de tipo de una función a la que se puede conectar el terminal;
generar, por el dispositivo de configuración, información de firma según al menos el tipo de información y una clave privada para la firma del dispositivo de configuración; y
enviar, por el dispositivo de configuración, la información de firma y una clave pública para la firma del dispositivo de configuración al terminal, donde la clave pública para la firma del dispositivo de configuración corresponde a la clave privada para la firma del dispositivo de configuración.
Con referencia al segundo aspecto de la presente invención, en una primera forma de implementación del segundo aspecto de la presente invención,
la obtención, por un dispositivo de configuración, de información de tipo de un terminal incluye:
recibir, por el dispositivo de configuración, un mensaje de indicación enviado por el terminal, donde el mensaje de indicación contiene la información de tipo.
Con referencia al segundo aspecto de la presente invención, en una segunda forma de implementación del segundo aspecto de la presente invención,
la obtención, por un dispositivo de configuración, de información de tipo de un terminal incluye:
recibir, por el dispositivo de configuración, un mensaje de descubrimiento enviado por el terminal; y
determinar, por el dispositivo de configuración, la información de tipo según el mensaje de descubrimiento, donde el mensaje de descubrimiento corresponde a la información de tipo.
Con referencia al segundo aspecto de la presente invención, en una tercera forma de implementación del segundo aspecto de la presente invención,
la obtención, por un dispositivo de configuración, de información de tipo de un terminal incluye:
recibir, por el dispositivo de configuración, una instrucción de operación introducida por un usuario, donde la instrucción de operación se usa para indicar la información de tipo.
Con referencia al segundo aspecto de la presente invención, en una cuarta forma de implementación del segundo aspecto de la presente invención,
la obtención, por un dispositivo de configuración, de información de tipo de un terminal incluye:
escanear, por el dispositivo de configuración, un código de respuesta rápida que es del terminal y que contiene la información de tipo; o
establecer, por el dispositivo de configuración, una conexión de comunicación de campo cercano (en inglés, Near Field Communication, NFC, por sus siglas en inglés) al terminal para obtener la información de tipo.
Con referencia a cualquiera de las cuatro formas de implementación del segundo aspecto de la presente invención, en una quinta forma de implementación del segundo aspecto de la presente invención,
la información de tipo de función del terminal y/o la información de tipo de la función a la que se puede conectar el terminal para incluir/incluye:
una estación, un punto de acceso, un dispositivo propietario de grupo punto a punto, un dispositivo cliente punto a punto, un maestro ancla, un maestro no ancla, un repetidor, un dispositivo central de acoplamiento, un dispositivo acoplado, un dispositivo fuente, un periférico, un dispositivo sumidero, un identificador de conjunto de servicios, una dirección de control de acceso a medios, o un registrado.
Con referencia a cualquiera de las cinco formas de implementación del segundo aspecto de la presente invención, en una sexta forma de implementación del segundo aspecto de la presente invención,
la información de firma incluye además un primer valor hash, y el primer valor hash es un valor hash generado por el dispositivo de configuración realizando una operación hash en al menos la información de tipo.
Un tercer aspecto de la presente invención proporciona un método de configuración, que incluye:
transferir, por un terminal, información de tipo del terminal a un dispositivo de configuración, donde la información de tipo es información de tipo de función del terminal y/o información de tipo de una función a la que se puede conectar el terminal; y
recibir, por el terminal, información de firma y una clave pública para la firma del dispositivo de configuración que son enviadas por el dispositivo de configuración, donde la información de firma es generada por el dispositivo de configuración según al menos la información de tipo y una clave privada para la firma del dispositivo de configuración, y la clave pública para la firma del dispositivo de configuración corresponde a la clave privada para la firma del dispositivo de configuración.
Con referencia al tercer aspecto de la presente invención, en una primera forma de implementación del tercer aspecto de la presente invención,
la transferencia, por un terminal, de información de tipo a un dispositivo de configuración incluye:
generar, por el terminal, un mensaje de indicación, donde el mensaje de indicación contiene la información de tipo; y enviar, por el terminal, el mensaje de indicación al dispositivo de configuración.
Con referencia al tercer aspecto de la presente invención, en una segunda forma de implementación del tercer aspecto de la presente invención,
la transferencia, por un terminal, de información de tipo a un dispositivo de configuración incluye:
generar, por el terminal, un mensaje de descubrimiento; y
enviar, por el terminal, el mensaje de descubrimiento al dispositivo de configuración, donde el mensaje de descubrimiento corresponde a la información de tipo.
Con referencia al tercer aspecto de la presente invención, en una tercera forma de implementación del tercer aspecto de la presente invención,
la transferencia, por un terminal, de información de tipo a un dispositivo de configuración incluye:
generar, por el terminal, un código de respuesta rápida, donde el código de respuesta rápida contiene la información de tipo; o
establecer, por el terminal, una conexión de comunicación de campo cercano, NFC, al dispositivo de configuración; y enviar, por el terminal, la información de tipo al dispositivo de configuración usando la NFC.
Con referencia al método según una cualquiera de las tres formas de implementación del tercer aspecto de la presente invención, en una cuarta forma de implementación del tercer aspecto de la presente invención,
la información de tipo de función del terminal y/o la información de tipo de la función a la que se puede conectar el terminal para incluir/incluye:
una estación, un punto de acceso, un dispositivo propietario de grupo punto a punto, un dispositivo cliente punto a punto, un maestro ancla, un maestro no ancla, un repetidor, un dispositivo central de acoplamiento, un dispositivo acoplado, un dispositivo fuente, un periférico, un dispositivo sumidero, un identificador de conjunto de servicios, una dirección de control de acceso a medios o un registrado.
Un cuarto aspecto de la presente invención proporciona un primer terminal, que incluye:
una primera unidad receptora, configurada para recibir una clave pública para la firma de un dispositivo de configuración enviada por el dispositivo de configuración;
una segunda unidad receptora, configurada para recibir una segunda información de firma y una segunda información de tipo, donde la segunda información de firma es información de firma enviada por el dispositivo de configuración a un segundo terminal, la segunda información de firma es generada por el dispositivo de configuración según al menos la segunda información de tipo y una clave privada para la firma del dispositivo de configuración, la segunda información de tipo es información de tipo de función del segundo terminal y/o información de tipo de una función a la que se puede conectar el segundo terminal, y la clave pública para la firma del dispositivo de configuración corresponde a la clave privada para la firma del dispositivo de configuración; y
una primera unidad de determinación, configurada para determinar, según al menos la segunda información de tipo y la segunda información de firma, que se generará la información de clave, donde la información de clave se usa para que el primer terminal establezca una conexión de seguridad al segundo terminal
Con referencia al cuarto aspecto de la presente invención, en una primera forma de implementación del cuarto aspecto de la presente invención,
el primer terminal incluye además:
una tercera unidad receptora, configurada para recibir la primera información de firma enviada por el dispositivo de configuración, donde la primera información de firma es generada por el dispositivo de configuración según al menos la primera información de tipo y la clave privada para la firma, y la primera información de tipo es información de tipo función del primer terminal y/o información de tipo de una función a la que se puede conectar el primer terminal. Con referencia a la primera forma de implementación del cuarto aspecto de la presente invención, en una segunda forma de implementación del cuarto aspecto de la presente invención,
la información de tipo de función del primer terminal y/o la información de tipo de la función a la que se puede conectar el primer terminal para incluir/incluye:
una estación, un punto de acceso, un dispositivo propietario de grupo punto a punto, un dispositivo cliente punto a punto, un maestro ancla, un maestro no ancla, un repetidor, un dispositivo central de acoplamiento, un dispositivo acoplado, un periférico, un dispositivo fuente, un dispositivo sumidero, un configurador, un registrado, una capacidad soportada, un servicio soportado, un identificador de conjunto de servicios, o una dirección de control de acceso a medios.
Con referencia a la segunda forma de implementación del cuarto aspecto de la presente invención, en una tercera forma de implementación del cuarto aspecto de la presente invención,
la información de tipo de función del segundo terminal y/o la información de tipo de la función a la que se puede conectar el segundo terminal para incluir / incluye:
una estación, un punto de acceso, un dispositivo propietario de grupo punto a punto, un dispositivo cliente punto a punto, un maestro ancla, un maestro no ancla, un repetidor, un dispositivo central de acoplamiento, un dispositivo acoplado, un periférico, un dispositivo fuente, un dispositivo sumidero, un configurador, un registrado, una capacidad soportada, un servicio soportado, un identificador de conjunto de servicios, o una dirección de control de acceso a medios.
Con referencia a la tercera forma de implementación del cuarto aspecto de la presente invención, en una cuarta forma de implementación del cuarto aspecto de la presente invención,
la primera unidad de determinación está configurada además para, si se determina que la primera información de tipo coincide con la segunda información de tipo y el primer terminal determina que la segunda información de firma coincide con la segunda información de tipo, determinar que el primer terminal debe generar la información de clave. Con referencia a la cuarta forma de implementación del cuarto aspecto de la presente invención, en una quinta forma de implementación del cuarto aspecto de la presente invención,
el primer terminal incluye además:
una unidad de primera generación, configurada para generar la información de clave.
Con referencia a la quinta forma de implementación del cuarto aspecto de la presente invención, en una sexta forma de implementación del cuarto aspecto de la presente invención,
el primer terminal incluye además:
una primera unidad de envío, configurada para enviar la primera información de firma al segundo terminal.
Un quinto aspecto de la presente invención proporciona un dispositivo de configuración, que incluye:
una cuarta unidad receptora, configurada para obtener información de tipo del terminal, donde la información de tipo es información de tipo de función del terminal y/o información de tipo de una función a la que se puede conectar el terminal;
una segunda unidad de generación, configurada para generar información de firma según al menos la información de tipo y una clave privada para la firma del dispositivo de configuración; y
una segunda unidad de envío, configurada para enviar la información de firma y una clave pública para la firma del dispositivo de configuración al terminal, donde la clave pública para la firma del dispositivo de configuración corresponde a la clave privada para la firma del dispositivo de configuración.
Con referencia al quinto aspecto de la presente invención, en una primera forma de implementación del quinto aspecto de la presente invención,
la cuarta unidad receptora está configurada además para recibir un mensaje de indicación enviado por el terminal, y el mensaje de indicación contiene la información de tipo.
Con referencia al quinto aspecto de la presente invención, en una segunda forma de implementación del quinto aspecto de la presente invención,
la cuarta unidad receptora incluye:
un módulo receptor, configurado para recibir un mensaje de descubrimiento enviado por el terminal; y
un módulo de determinación, configurado para determinar la información de tipo según el mensaje de descubrimiento, donde el mensaje de descubrimiento corresponde a la información de tipo.
Con referencia al quinto aspecto de la presente invención, en una tercera forma de implementación del quinto aspecto de la presente invención,
la cuarta unidad receptora está configurada además para recibir una instrucción de operación introducida por un usuario, y la instrucción de operación se usa para indicar la información de tipo.
Con referencia al quinto aspecto de la presente invención, en una cuarta forma de implementación del quinto aspecto de la presente invención,
la cuarta unidad receptora está configurada además para escanear un código de respuesta rápida que es del terminal y que contiene la información de tipo; o
la cuarta unidad receptora está configurada además para establecer una conexión de comunicación de campo cercano, NFC, al terminal para obtener la información de tipo.
Con referencia a cualquiera de las cuatro formas de implementación del quinto aspecto de la presente invención, en una quinta forma de implementación del quinto aspecto de la presente invención,
la información de tipo de función del terminal y/o la información de tipo de la función a la que se puede conectar el terminal para incluir/incluye:
una estación, un punto de acceso, un dispositivo propietario de grupo punto a punto, un dispositivo cliente punto a punto, un maestro ancla, un maestro no ancla, un repetidor, un dispositivo central de acoplamiento, un dispositivo acoplado, un dispositivo fuente, un periférico, un dispositivo sumidero, un identificador de conjunto de servicios, una dirección de control de acceso a medios, o un registrado.
Con referencia a cualquiera de las cinco formas de implementación del quinto aspecto de la presente invención, en una sexta forma de implementación del quinto aspecto de la presente invención,
la información de firma incluye además un primer valor hash, y el primer valor hash es un valor hash generado por el dispositivo de configuración realizando una operación hash en al menos la información de tipo.
Un sexto aspecto de la presente invención proporciona un terminal, que incluye:
una tercera unidad de envío, configurada para transferir información de tipo del terminal a un dispositivo de configuración, donde la información de tipo es información de tipo de función del terminal y/o información de tipo de una función a la que se puede conectar el terminal; y
una quinta unidad receptora, configurada para recibir información de firma y una clave pública para la firma del dispositivo de configuración que son enviadas por el dispositivo de configuración, donde la información de firma es generada por el dispositivo de configuración según al menos la información de tipo y una clave privada para la firma del dispositivo de configuración, y la clave pública para la firma del dispositivo de configuración corresponde a la clave privada para la firma del dispositivo de configuración.
Con referencia al sexto aspecto de la presente invención, en una primera forma de implementación del sexto aspecto de la presente invención,
la tercera unidad de envío incluye:
un primer módulo de generación, configurado para generar un mensaje de indicación, donde el mensaje de indicación contiene la información de tipo; y
un segundo módulo de envío, configurado para enviar el mensaje de indicación al dispositivo de configuración. Con referencia al sexto aspecto de la presente invención, en una segunda forma de implementación del sexto aspecto de la presente invención,
la tercera unidad de envío incluye:
un segundo módulo generación, configurado para generar un mensaje de descubrimiento; y
un tercer módulo de envío, configurado para enviar el mensaje de descubrimiento al dispositivo de configuración, donde el mensaje de descubrimiento corresponde a la información de tipo.
Con referencia al sexto aspecto de la presente invención, en una tercera forma de implementación del sexto aspecto de la presente invención,
la tercera unidad de envío incluye:
un tercer módulo generación, configurado para generar un código de respuesta rápida, donde el código de respuesta rápida contiene la información de tipo; o
la tercera unidad de envío incluye:
un módulo de establecimiento, configurado para establecer una conexión de comunicación de campo cercano, NFC, al dispositivo de configuración; y
un cuarto módulo de envío, configurado para enviar la información de tipo al dispositivo de configuración usando la NFC.
Con referencia a cualquiera de las tres formas de implementación del sexto aspecto de la presente invención, en una cuarta forma de implementación del sexto aspecto de la presente invención,
la información de tipo de función del terminal y/o la información de tipo de la función a la que se puede conectar el terminal para incluir/incluye:
una estación, un punto de acceso, un dispositivo propietario de grupo punto a punto, un dispositivo cliente punto a punto, un maestro ancla, un maestro no ancla, un repetidor, un dispositivo central de acoplamiento, un dispositivo acoplado, un dispositivo fuente, un periférico, un dispositivo sumidero, un identificador de conjunto de servicios, una dirección de control de acceso a medios, o un registrado.
Un séptimo aspecto de la presente invención proporciona un primer terminal,
que incluye un receptor, un transmisor, y un procesador, donde el procesador está conectado al receptor y al transmisor por separado;
el receptor está configurado para recibir una clave pública para la firma de un dispositivo de configuración enviada por el dispositivo de configuración;
el receptor está configurado para recibir una segunda información de firma y una segunda información de tipo, donde la segunda información de firma es información de firma enviada por el dispositivo de configuración a un segundo terminal, la segunda información de firma es generada por el dispositivo de configuración según al menos la segunda información de tipo y una clave privada para la firma del dispositivo de configuración, la segunda información de tipo es información de tipo de función del segundo terminal y/o información de tipo de una función a la que se puede conectar el segundo terminal, y la clave pública para la firma del dispositivo de configuración corresponde a la clave privada para la firma del dispositivo de configuración; y
el procesador está configurado para determinar, según al menos la segunda información de tipo y la segunda información de firma, que el primer terminal debe generar información de clave, donde la información de clave se usa para que el primer terminal establezca una conexión de seguridad al segundo terminal.
Con referencia al séptimo aspecto de la presente invención, en una primera forma de implementación del séptimo aspecto de la presente invención,
el receptor está configurado para recibir la primera información de firma enviada por el dispositivo de configuración, donde la primera información de firma es generada por el dispositivo de configuración según al menos la primera información de tipo y la clave privada para la firma, y la primera información de tipo es información de tipo de función del primer terminal y/o información de tipo de una función a la que se puede conectar el primer terminal.
Con referencia a la primera forma de implementación del séptimo aspecto de la presente invención, en una segunda forma de implementación del séptimo aspecto de la presente invención,
la información de tipo de función del primer terminal y/o la información de tipo de la función a la que se puede conectar el primer terminal para incluir/incluye:
una estación, un punto de acceso, un dispositivo propietario de grupo punto a punto, un dispositivo cliente punto a punto, un maestro ancla, un maestro no ancla, un repetidor, un dispositivo central de acoplamiento, un dispositivo acoplado, un periférico, un dispositivo fuente, un dispositivo sumidero, un configurador, un registrado, una capacidad soportada, un servicio soportado, un identificador de conjunto de servicios, o una dirección de control de acceso a medios.
Con referencia a la segunda forma de implementación del séptimo aspecto de la presente invención, en una tercera forma de implementación del séptimo aspecto de la presente invención,
la información de tipo de función del segundo terminal y/o la información de tipo de la función a la que se puede conectar el segundo terminal para incluir/incluye:
una estación, un punto de acceso, un dispositivo propietario de grupo punto a punto, un dispositivo cliente punto a punto, un maestro ancla, un maestro no ancla, un repetidor, un dispositivo central de acoplamiento, un dispositivo acoplado, un periférico, un dispositivo fuente, un dispositivo sumidero, un configurador, un registrado, una capacidad soportada, un servicio soportado, un identificador de conjunto de servicios o una dirección de control de acceso a medios.
Con referencia a la tercera forma de implementación del séptimo aspecto de la presente invención, en una cuarta forma de implementación del séptimo aspecto de la presente invención,
el procesador está configurado para, si se determina que la primera información de tipo coincide con la segunda información de tipo y el primer terminal determina que la segunda información de firma coincide con la segunda información de tipo, determinar generar la información de clave.
Con referencia a la cuarta forma de implementación del séptimo aspecto de la presente invención, en una quinta forma de implementación del séptimo aspecto de la presente invención,
el procesador está configurado para generar la información de clave.
Con referencia a la quinta forma de implementación del séptimo aspecto de la presente invención, en una sexta forma de implementación del séptimo aspecto de la presente invención,
el transmisor está configurado para enviar la primera información de firma al segundo terminal.
Un octavo aspecto de la presente invención proporciona un dispositivo de configuración,
que incluye un transmisor, un receptor, y un procesador, donde el procesador está conectado al transmisor y al receptor por separado;
el receptor está configurado para obtener información de tipo del terminal, donde la información de tipo es información de tipo de función del terminal y/o información de tipo de una función a la que se puede conectar el terminal; el procesador está configurado para generar información de firma según al menos la información de tipo y una clave privada para la firma del dispositivo de configuración; y
el transmisor está configurado para enviar la información de la firma y una clave pública para la firma del dispositivo de configuración al terminal, donde la clave pública para la firma del dispositivo de configuración corresponde a la clave privada para la firma del dispositivo de configuración.
Con referencia al octavo aspecto de la presente invención, en una primera forma de implementación del octavo aspecto de la presente invención,
el receptor está configurado para recibir un mensaje de indicación enviado por el terminal, donde el mensaje de indicación contiene la información de tipo.
Con referencia al octavo aspecto de la presente invención, en una segunda forma de implementación del octavo aspecto de la presente invención,
el receptor está configurado para recibir un mensaje de descubrimiento enviado por el terminal; y
el procesador está configurado para determinar la información de tipo según el mensaje de descubrimiento, donde el mensaje de descubrimiento corresponde a la información de tipo.
Con referencia al octavo aspecto de la presente invención, en una tercera forma de implementación del octavo aspecto de la presente invención,
el receptor está configurado para recibir una instrucción de operación introducida por un usuario, donde la instrucción de operación se usa para indicar la información de tipo.
Con referencia al octavo aspecto de la presente invención, en una cuarta forma de implementación del octavo aspecto de la presente invención,
el receptor está configurado para escanear un código de respuesta rápida que es del terminal y que contiene la información de tipo; o
el receptor está configurado para establecer una conexión de comunicación de campo cercano, NFC, al terminal para obtener la información de tipo.
Con referencia al dispositivo de configuración según cualquiera del octavo aspecto de la presente invención a la cuarta forma de implementación del octavo aspecto de la presente invención, en una quinta forma de implementación del octavo aspecto de la presente invención,
la información de tipo de función del terminal y/o la información de tipo de la función a la que se puede conectar el primer terminal para incluir/incluye:
una estación, un punto de acceso, un dispositivo propietario de grupo punto a punto, un dispositivo cliente punto a punto, un maestro ancla, un maestro no ancla, un repetidor, un dispositivo central de acoplamiento, un dispositivo acoplado, un dispositivo fuente, un periférico, un dispositivo sumidero, un identificador de conjunto de servicios, una dirección de control de acceso a medios, o un registrado.
Con referencia al dispositivo de configuración según cualquiera del octavo aspecto de la presente invención a la quinta forma de implementación del octavo aspecto de la presente invención, en una sexta forma de implementación del octavo aspecto de la presente invención,
la información de firma incluye además un primer valor hash, y el primer valor hash es un valor hash generado por el dispositivo de configuración realizando una operación hash en al menos la información de tipo.
Un noveno aspecto de la presente invención proporciona un terminal,
que incluye un transmisor, un receptor y un procesador, donde el procesador está conectado al transmisor y al receptor por separado;
el transmisor está configurado para transferir información de tipo del terminal a un dispositivo de configuración, donde la información de tipo es información de tipo de función del terminal y/o información de tipo de una función a la que se puede conectar el terminal; y
el receptor está configurado para recibir información de firma y una clave pública para la firma del dispositivo de configuración que son enviadas por el dispositivo de configuración, donde la información de firma es generada por el dispositivo de configuración según al menos la información de tipo y una clave privada para la firma del dispositivo de configuración, y la clave pública para la firma del dispositivo de configuración corresponde a la clave privada para la firma del dispositivo de configuración.
Con referencia al noveno aspecto de la presente invención, en una primera forma de implementación del noveno aspecto de la presente invención,
el procesador está configurado para generar un mensaje de indicación, donde el mensaje de indicación contiene la información de tipo; y
el transmisor está configurado para enviar el mensaje de indicación al dispositivo de configuración.
Con referencia al noveno aspecto de la presente invención, en una segunda forma de implementación del noveno aspecto de la presente invención,
el procesador está configurado para generar un mensaje de descubrimiento; y
el transmisor está configurado para enviar el mensaje de descubrimiento al dispositivo de configuración, donde el mensaje de descubrimiento corresponde a la información de tipo.
Con referencia al noveno aspecto de la presente invención, en una tercera forma de implementación del noveno aspecto de la presente invención,
el procesador está configurado para generar un código de respuesta rápida, donde el código de respuesta rápida contiene la información de tipo; o
el procesador está configurado para establecer una conexión de comunicación de campo cercano, NFC, al dispositivo de configuración; y
el transmisor está configurado para enviar la información de tipo al dispositivo de configuración usando la NFC. Con referencia al terminal según cualquiera del noveno aspecto de la presente invención a la tercera forma de implementación del noveno aspecto de la presente invención, en una cuarta forma de implementación del noveno aspecto de la presente invención,
la información de tipo de función del terminal y/o la información de tipo de la función a la que se puede conectar el terminal para incluir/incluye:
una estación, un punto de acceso, un dispositivo propietario de grupo punto a punto, un dispositivo cliente punto a punto, un maestro ancla, un maestro no ancla, un repetidor, un dispositivo central de acoplamiento, un dispositivo acoplado, un dispositivo fuente, un periférico, un dispositivo sumidero, un identificador de conjunto de servicios, una dirección de control de acceso a medios, o un registrado.
Según el método de autentificación de seguridad, el método de configuración, y el dispositivo relacionado que se proporcionan en la presente invención, en un proceso de establecimiento de una conexión de seguridad entre un primer terminal y un segundo terminal, el primer terminal no solo necesita realizar la verificación según la información que se usa para establecer la conexión y que se incluye en la segunda información de firma, sino que también necesita verificar el tipo de información del segundo terminal. El primer terminal establece la conexión de seguridad entre el primer terminal y el segundo terminal solo cuando la verificación tiene éxito. Esto evita efectivamente que un terminal atacante altere su función y, por lo tanto, evita efectivamente que un terminal establezca una conexión con el terminal atacante con una función cambiada, evitando así que el terminal atacante obtenga información del terminal, para garantizar efectivamente la seguridad del terminal.
Breve descripción de los dibujos
La FIG. 1 es un diagrama de flujo de etapas en un método de autentificación de seguridad según una realización de la presente invención;
La FIG. 2 es otro diagrama de flujo de etapas en un método de autentificación de seguridad según una realización de la presente invención;
La FIG. 3 es un diagrama de flujo de etapas en un método de configuración según una realización de la presente invención;
La FIG. 4 es otro diagrama de flujo de etapas en un método de configuración según una realización de la presente invención;
La FIG. 5 es un diagrama estructural esquemático de un primer terminal según una realización de la presente invención;
La FIG. 6 es otro diagrama estructural esquemático de un primer terminal según una realización de la presente invención;
La FIG. 7 es un diagrama estructural esquemático de un dispositivo de configuración según una realización de la presente invención;
La FIG. 8 es otro diagrama estructural esquemático de un dispositivo de configuración según una realización de la presente invención;
La FIG. 9 es un diagrama estructural esquemático de un terminal según una realización de la presente invención; La FIG. 10 es otro diagrama estructural esquemático de un terminal según una realización de la presente invención; La FIG. 11 es otro diagrama estructural esquemático de un primer terminal según una realización de la presente invención;
La FIG. 12 es otro diagrama estructural esquemático de un dispositivo de configuración según una realización de la presente invención; y
La FIG. 13 es otro diagrama estructural esquemático de un terminal según una realización de la presente invención.
Descripción de las realizaciones
A continuación se describen clara y completamente las soluciones técnicas de la presente invención con referencia a los dibujos adjuntos que muestran realizaciones de la presente invención. Aparentemente, las realizaciones descritas son simplemente algunas, pero no todas, las realizaciones de la presente invención.
Los números ordinales mencionados en las realizaciones de la presente invención, tales como "primero" y "segundo", se utilizan solo para diferenciación, a menos que expresen significados ordinales como se entienden del contexto. La FIG. 1 es un diagrama de flujo de etapas en un método de autentificación de seguridad según una realización de la presente invención. A continuación se describe en detalle, según la FIG. 1, el método de autentificación de seguridad proporcionado en esta realización de la presente invención. El método de autentificación de seguridad proporcionado en esta realización de la presente invención incluye las siguientes etapas.
101: Un primer terminal recibe una clave pública para la firma de un dispositivo de configuración enviado por el dispositivo de configuración.
El dispositivo de configuración es un dispositivo que configura el terminal para que el terminal configurado pueda establecer una conexión de seguridad a otro terminal.
102: El primer terminal recibe una segunda información de firma y una segunda información de tipo.
La segunda información de tipo es información de tipo de función de un segundo terminal y/o información de tipo de una función a la que se puede conectar el segundo terminal.
Es decir, la segunda información de tipo puede ser la información de tipo de función del segundo terminal, o la segunda información de tipo puede ser la información de tipo de función del segundo terminal y la información de tipo de la función a la que se puede conectar el segundo terminal, o la segunda información de tipo puede ser la información de tipo de la función a la que se puede conectar el segundo terminal.
La segunda información de tipo es enviada por el segundo terminal al primer terminal.
La segunda información de firma es información de firma enviada por el dispositivo de configuración al segundo terminal, y la segunda información de firma es generada por el dispositivo de configuración según al menos la segunda información de tipo y una clave privada para la firma del dispositivo de configuración.
Específicamente, el dispositivo de configuración puede realizar una operación hash en la segunda información de tipo, y usa la clave privada para la firma para cifrar un resultado de operación hash para formar la segunda información de firma.
La clave pública para la firma del dispositivo de configuración corresponde a la clave privada para la firma del dispositivo de configuración.
El primer terminal puede usar la clave pública para la firma del dispositivo de configuración para descifrar la segunda información de firma que está cifrada usando la clave privada para la firma.
103: El primer terminal determina, según al menos la segunda información de tipo y la segunda información de firma, que el primer terminal debe generar información de clave.
La información de clave se usa para que el primer terminal establezca una conexión de seguridad al segundo terminal. Cómo el primer terminal determina específicamente la información de clave según la segunda información de tipo y la segunda información de firma no se limita en esta realización, siempre que el primer terminal pueda establecer una conexión de seguridad entre el primer terminal y el segundo terminal después de determinar la información de tipo de función del segundo terminal y/o la información de tipo de la función a la que se puede conectar el segundo terminal. El primer terminal puede determinar, según una condición preestablecida, si la verificación de una conexión entre el primer terminal y el segundo terminal tiene éxito. La condición preestablecida incluye la segunda información de tipo y la segunda información de firma. La condición preestablecida puede incluir además: información del configurador, por ejemplo, un identificador de red (en inglés, network ID) y una clave de par (en inglés, peer key).
Cuando se determina que la información enviada por el segundo terminal cumple la condición preestablecida, el primer terminal determina que una solicitud de conexión del segundo terminal está autentificada, y el primer terminal genera la información de clave para indicar que el primer terminal puede establecer una conexión de seguridad al segundo terminal.
Específicamente, la información de clave usada para establecer una conexión de seguridad entre el primer terminal y el segundo terminal es una técnica anterior, y cómo el primer terminal establece específicamente una conexión de seguridad entre el primer terminal y el segundo terminal usando la información de clave es también una técnica anterior. Los detalles no se describen en esta realización.
En esta realización, en un proceso en el que un primer terminal establece una conexión de seguridad a un segundo terminal, el primer terminal no solo necesita realizar la verificación según la información que se usa para establecer la conexión e incluida en la segunda información de firma, sino que también necesita verificar la información de tipo del segundo terminal. El primer terminal establece la conexión de seguridad entre el primer terminal y el segundo terminal solo cuando la verificación tiene éxito. Esto evita efectivamente que un terminal altere su función y, por lo tanto, evita efectivamente que un terminal establezca una conexión con un terminal atacante con una función cambiada, evitando así además que el terminal atacante obtenga información del terminal, para garantizar efectivamente la seguridad del terminal.
La FIG. 2 es otro diagrama de flujo de etapas en un método de autentificación de seguridad según una realización de la presente invención, y se usa para describir cómo un primer terminal realiza específicamente la autentificación de seguridad en un segundo terminal para establecer una conexión de seguridad entre el primer terminal y el segundo terminal.
201: El primer terminal recibe la primera información de firma y una clave pública para la firma de un dispositivo de configuración que son enviadas por el dispositivo de configuración.
La primera información de firma es generada por el dispositivo de configuración según al menos la primera información de tipo y una clave privada para la firma del dispositivo de configuración.
La primera información de tipo es información de tipo de función del primer terminal y/o información de tipo de la función a la que se puede conectar el primer terminal.
Específicamente, la información de tipo de función del primer terminal y/o la información de tipo de función a la que se puede conectar el primer terminal puede ser cualquiera de las siguientes informaciones de tipo:
una estación (STA), un punto de acceso (AP), un dispositivo propietario de grupo punto a punto (P2P GO), un dispositivo cliente punto a punto (cliente P2P), un maestro ancla (maestro), un maestro no ancla (no maestro), un repetidor (repetidor), un dispositivo central de acoplamiento (central de acoplamiento), un dispositivo acoplado (acoplado), un periférico (periférico), un dispositivo fuente (fuente), un dispositivo sumidero (sumidero), un identificador de conjunto de servicios (en inglés, service set identifier, SSID, por sus siglas en inglés), una dirección de control de acceso a medios (en inglés, Media Access Control, MAC, por sus siglas en inglés), un registrado (registrado) y similares.
Debe quedar claro que lo anterior es simplemente una descripción de ejemplo de la información de tipo de función del primer terminal.
Específicamente, en esta realización, la información de tipo de función del primer terminal y la información de tipo de la función a la que se puede conectar el primer terminal son información de tipo de dos funciones que se corresponden mutuamente, y se puede establecer una conexión entre dos terminales de funciones que se corresponden mutuamente.
Cabe señalar que el tipo de información de las dos funciones que se corresponden mutuamente puede ser: un STA corresponde a un AP, un P2P GO corresponde a un cliente P2P, un maestro corresponde a un no maestro, un STA corresponde a un repetidor, o un AP corresponde a un repetidor.
Por ejemplo, si la información de tipo de función del primer terminal es un AP, la información de tipo de la función a la que se puede conectar el primer terminal es una STA. A la inversa, si la información de tipo de la función a la que se puede conectar el primer terminal es un AP, la información de tipo de función del primer terminal es una STA.
Si la información de tipo de función del primer terminal es un repetidor, la información de tipo de la función a la que se puede conectar el primer terminal puede ser una STA, o puede ser un AP.
Además, si la información de tipo de función del primer terminal es una capacidad soportada por el primer terminal, la información de tipo de la función a la que se puede conectar el primer terminal es también, en consecuencia, la capacidad soportada por el primer terminal.
Por ejemplo, si la información de tipo de función del primer terminal es un dispositivo que soporta P2P, la información de tipo de la función a la que se puede conectar el primer terminal es un dispositivo que soporta P2P.
La información de tipo de función del primer terminal es un dispositivo que soporta una de red de reconocimiento de vecino (en inglés, Neighbor Awareness Network, NAN, por sus siglas en inglés), y la información de tipo de la función a la que se puede conectar el primer terminal es un dispositivo que soporta la red de reconocimiento de vecino, NAN. Si la información de tipo de función del primer terminal es un dispositivo que soporta un subsistema de estación base (en inglés, Base Station Subsystem, BSS, por sus siglas en inglés) específico, la información de tipo de la función a la que se puede conectar el primer terminal es un dispositivo que soporta el subsistema de estación base, BSS.
Más específicamente, si la información de tipo de función del primer terminal es información sobre un servicio específico soportado por el primer terminal, la información de tipo de la función a la que se puede conectar el primer terminal es también, en consecuencia, la información sobre el servicio específico soportada por el primer terminal.
202: El primer terminal recibe una segunda información de firma y una segunda información de tipo.
La segunda información de firma es generada por el dispositivo de configuración según al menos la segunda información de tipo y la clave privada para la firma del dispositivo de configuración, y es enviada por el dispositivo de configuración al segundo terminal. Además, la clave pública para la firma del dispositivo de configuración corresponde a la clave privada para la firma del dispositivo de configuración.
El primer terminal recibe además una clave pública del segundo terminal enviada por el segundo terminal, para generar información de clave.
Específicamente, cuando el segundo terminal necesita establecer una conexión con el primer terminal, el segundo terminal envía la segunda información de firma y la segunda información de tipo al primer terminal.
La segunda información de tipo es información de tipo de función del segundo terminal y/o información de tipo de una función a la que se puede conectar el segundo terminal.
Específicamente, la información de tipo de función del segundo terminal y/o la información de tipo de la función a la que se puede conectar el segundo terminal puede ser cualquiera de la información de tipo siguiente:
una estación (STA), un punto de acceso (AP), un dispositivo propietario de grupo punto a punto (P2P GO), un dispositivo cliente punto a punto (cliente P2P), un maestro ancla (maestro), un maestro no ancla (no maestro), un repetidor (repetidor), un dispositivo central de acoplamiento (central de acoplamiento), un dispositivo acoplado (acoplado), un periférico (periférico), un dispositivo fuente (fuente), un dispositivo sumidero (sumidero), un identificador de conjunto de servicios (SSID, identificador de conjunto de servicios), una dirección de control de acceso a medios (MAC, control de acceso a medios), un registrado (registrado), y similares.
Debe quedar claro que lo anterior es simplemente una descripción de ejemplo de la información de tipo de función del segundo terminal.
Consulte la etapa 201 para obtener detalles específicos sobre la información de tipo de función del segundo terminal y/o la información de tipo de la función a la que se puede conectar el segundo terminal. Los detalles sobre la información de tipo de función del segundo terminal y/o la información de tipo de la función a la que se puede conectar el segundo terminal no se describen de nuevo en esta memoria.
203: Si se determina que la primera información de tipo coincide con la segunda información de tipo y que la segunda información de firma coincide con la segunda información de tipo, el primer terminal determina generar información de clave.
Específicamente, si el primer terminal determina que la segunda información de tipo es la información de tipo de la función a la que se puede conectar el segundo terminal, y que la primera información de tipo es la información de tipo de la función a la que se puede conectar el primer terminal, y si la información de tipo de la función a la que se puede conectar el segundo terminal coincide con la información de tipo de la función a la que se puede conectar el primer terminal, indica que el primer terminal coincide con el segundo terminal.
Por ejemplo, si la información de tipo de la función a la que se puede conectar el segundo terminal es una STA, y la información de tipo de la función a la que se puede conectar el primer terminal es un AP, indica que el primer terminal coincide con el segundo terminal.
Específicamente, si el primer terminal determina que la segunda información de tipo es la información de tipo de función del segundo terminal, y que la primera información de tipo es la información de tipo de función del primer terminal, y si la información de tipo de función del segundo terminal coincide con la información de tipo de función del primer terminal, indica que el primer terminal coincide con el segundo terminal.
Por ejemplo, si el primer terminal determina que la información de tipo de función del segundo terminal es un AP, y que la información de tipo de función del primer terminal es una STA, indica que el primer terminal coincide con el segundo terminal.
Específicamente, si el primer terminal determina que la segunda información de tipo es la información de tipo de la función a la que se puede conectar el segundo terminal, y que la primera información de tipo es la información de tipo de función del primer terminal, y si la información de tipo de la función a la que se puede conectar el segundo terminal coincide con la información de tipo de función del primer terminal, indica que el primer terminal coincide con el segundo terminal.
Por ejemplo, si la información de tipo de la función a la que se puede conectar el segundo terminal es un AP, y la información de tipo de función del primer terminal es un AP, indica que el primer terminal coincide con el segundo terminal.
En lo anterior, una correspondencia de tipo de función de dispositivo de que una STA corresponde a un AP se usa como un ejemplo para describir cómo determinar que la primera información de tipo coincide con la segunda información de tipo. Cuando la correspondencia de tipo de función de dispositivo es que un P2P GO corresponde a un cliente P2P, que un maestro corresponde a un no maestro, que un STA corresponde a un repetidor, o que un AP corresponde a un repetidor, un proceso de determinación de coincidencia es el mismo que para la correspondencia de que una STA corresponde a un AP. Los detalles no se describen de nuevo.
Por otro ejemplo, si el primer terminal determina que la segunda información de tipo es la información de tipo de función del segundo terminal, la información de tipo de función del segundo terminal es un dispositivo P2P, y la información de tipo de la función que a la que se puede conectar el segundo terminal es un dispositivo P2P, es decir, la información de tipo de función del segundo terminal es la misma que la información de tipo de la función a la que se puede conectar el segundo terminal, el primer terminal solo necesita determinar si la información de tipo de función del primer terminal es un dispositivo P2P. Si la información de tipo de función del primer terminal es un dispositivo P2P, indica que el primer terminal coincide con el segundo terminal.
Para otro ejemplo, si el primer terminal determina que la segunda información de tipo es la información de tipo de función del segundo terminal, la información de tipo de función del segundo terminal es un servicio soportado por el segundo terminal, y el primer terminal puede determinar que la información de tipo de función del primer terminal es un servicio soportado por el primer terminal, y si el primer terminal determina que el servicio soportado por el primer terminal es el mismo que el servicio soportado por el segundo terminal, indica que el primer terminal coincide con el segundo terminal.
Específicamente, la determinación de que la segunda información de firma coincide con la segunda información de tipo incluye lo siguiente.
204: El primer terminal realiza una operación hash en al menos la segunda información de tipo para generar un segundo valor hash.
La operación hash es una técnica anterior, y los detalles no se describen en esta realización.
205: El primer terminal descifra la segunda información de firma usando la clave pública para la firma, para obtener un primer valor hash.
Específicamente, el primer valor hash es un valor hash generado por el dispositivo de configuración realizando la operación hash en al menos la segunda información de tipo. El primer terminal puede descifrar la segunda información de firma usando la clave pública para la firma, para obtener el primer valor hash.
206: El primer terminal determina si el primer valor hash es igual al segundo valor hash, es decir, el primer terminal determina si la segunda información de firma coincide con la segunda información de tipo.
Específicamente, el dispositivo de configuración genera el primer valor hash para la primera información predeterminada, y el primer terminal genera el segundo valor hash para la segunda información predeterminada. Cuando la primera información predeterminada es igual a la segunda información predeterminada, el primer valor hash es igual al segundo valor hash.
Debe quedar claro que, en el proceso de implementación anterior, el primer terminal usa la etapa 203 para determinar que la primera información de tipo coincide con la segunda información de tipo.
En esta realización de la presente invención, se puede alterar una secuencia de ejecución para las etapas de calcular los valores hash y la etapa de determinar si la primera información de tipo coincide con la segunda información de tipo. Si la primera información de tipo coincide con la segunda información de tipo y el primer terminal determina que la segunda información de firma coincide con la segunda información de tipo, el primer terminal determina que el segundo terminal está autentificado, y el primer terminal genera una clave.
En esta realización, el primer terminal genera la información de clave basado en al menos lo siguiente: la primera información de tipo coincide con la segunda información de tipo y el primer valor hash es igual al segundo valor hash.
En un proceso de aplicación específico, antes de generar la información de clave, el primer terminal puede realizar además otra verificación. Esto no se limita específicamente en esta realización.
Es decir, en un proceso de aplicación específico, antes de generar la información de clave, el primer terminal puede realizar además otra verificación de información tal como un identificador de red (en inglés, net ID, netID, para abreviar) y una clave de par (en inglés, peer key, peerKey, para abreviar). Esto no está limita específicamente en esta realización.
Por ejemplo, el primer terminal recibe un mensaje enviado por el segundo terminal y que lleva la información anterior.
El mensaje contiene la siguiente información:
un identificador de red (netID, abreviado en inglés), una clave de par (peerKey, abreviado en inglés), y la información de tipo de la función a la que se puede conectar el segundo terminal; y
una clave de red (en inglés, netKey), y la información de tipo de función del segundo terminal.
El mensaje puede ser un mensaje de acción, un mensaje obtenido modificando un mensaje existente en 802.11, o un mensaje recién definido.
Después de que el primer terminal recibe la segunda información de firma enviada por el segundo terminal, el primer terminal verifica si el identificador de red (en inglés, net-id) es el mismo que el identificador de red del primer terminal, y verifica si la clave de par coincide con una clave de red de un par (es decir, una clave de red del primer terminal) o coincide con un comodín.
Para detalles sobre un proceso específico de verificación de la clave de par de la clave pública, consulte la técnica anterior. Además, para detalles sobre un proceso específico de verificación de la información de firma de la información, consulte la técnica anterior. No se describen más detalles.
207: Es decir, el primer terminal genera una clave maestra por pares (en inglés, pairwise master key, PMK, por sus siglas en inglés) basada en al menos lo siguiente: la primera información de tipo coincide con la segunda información de tipo y el primer valor hash es igual al segundo valor hash.
208: El primer terminal envía la primera información de firma al segundo terminal.
En esta realización, el primer terminal puede enviar la primera información de firma al segundo terminal.
209: El primer terminal establece una conexión de seguridad entre el primer terminal y el segundo terminal según la información de clave.
Específicamente, el primer terminal genera la PMK usando la clave de red de la clave pública del segundo terminal y una clave privada del primer terminal, para establecer una conexión de seguridad entre el primer terminal y el segundo terminal según la PMK.
Según el método de autentificación de seguridad ilustrado en esta realización, en un proceso de establecer una conexión de seguridad entre un primer terminal y un segundo terminal, el primer terminal no solo necesita realizar la verificación según la información que se usa para establecer la conexión e incluida en segunda información de firma, sino que también necesita verificar la segunda información de tipo. Cuando se determina que la primera información de tipo coincide con la segunda información de tipo y que la segunda información de firma es correcta, el primer terminal establece una conexión de seguridad entre el primer terminal y el segundo terminal. Esto evita efectivamente que un terminal altere su función y, por lo tanto, evita efectivamente que un terminal establezca una conexión con un terminal atacante con una función cambiada, evitando así además que el terminal atacante obtenga información del terminal, para garantizar efectivamente la seguridad del terminal.
En el proceso anterior, que el primer terminal determine, según la segunda información de tipo enviada por el segundo terminal, la información de tipo de función del segundo terminal y/o la información de tipo de la función a la que se puede conectar el segundo terminal es un ejemplo y no pretende ser una limitación.
Por ejemplo, se ejecuta un proceso de descubrimiento entre el primer terminal y el segundo terminal. El primer terminal obtiene, usando este proceso, la información de tipo de función del segundo terminal y/o la información de tipo de la función a la que se puede conectar el segundo terminal.
En el proceso, el segundo terminal también puede obtener la información de tipo de función del primer terminal y/o la información de tipo de la función a la que se puede conectar el primer terminal.
Por ejemplo, se ejecuta un proceso 802.11. El segundo terminal, que actúa como una STA, envía una solicitud de sonda al primer terminal, y el primer terminal, que actúa como un AP, devuelve una respuesta.
El primer terminal puede obtener la información de tipo de función del segundo terminal y/o la información de tipo de la función a la que se puede conectar el segundo terminal. De forma similar, el segundo terminal también puede obtener la información de tipo de función del primer terminal y/o la información de tipo de la función a la que se puede conectar el primer terminal.
En estos procesos de descubrimiento, los terminales con información de tipo de función diferente envían mensajes diferentes. Por lo tanto, la información de tipo de función de un terminal y/o la información de tipo de una función a la que se puede conectar el terminal puede determinarse según un mensaje enviado por el terminal.
En las realizaciones mostradas en la FIG. 1 y la FIG. 2, se describe cómo se realiza la autentificación de seguridad entre el primer terminal y el segundo terminal para establecer una conexión de seguridad. A continuación se describe, con referencia a la FIG. 3, cómo un dispositivo de configuración configura un terminal para permitir que el terminal configurado establezca una relación de conexión de seguridad a otro terminal.
La FIG. 3 es un diagrama de flujo de etapas en un método de configuración según una realización de la presente invención.
301: El terminal transfiere información de tipo del terminal al dispositivo de configuración.
La información de tipo es información de tipo de función del terminal y/o información de tipo de una función a la se puede conectar el terminal.
Cómo el terminal transfiere específicamente, al dispositivo de configuración, la información de tipo de función del terminal y/o la información de tipo de la función a la que se puede conectar el terminal no se limita en esta realización, siempre que el dispositivo de configuración pueda obtener la información de tipo de función del terminal y/o la información de tipo de la función a la que se puede conectar el terminal.
302: El dispositivo de configuración obtiene la información de tipo del terminal.
La información de tipo es la información de tipo de función del terminal y/o la información de tipo de la función a la que se puede conectar el terminal.
Cómo el dispositivo de configuración obtiene específicamente la información de tipo de función del terminal y/o la información de tipo de la función a la que se puede conectar el terminal no se limita en esta realización.
En esta realización, el dispositivo de configuración puede obtener solo la información de tipo de función del terminal, o puede obtener la información de tipo de función del terminal y la información de tipo de la función a la que se puede conectar el terminal, o puede obtener solo la información de tipo de la función a la que se puede conectar el terminal.
En esta realización, la información de tipo de función del terminal y/o la información de tipo de la función a la que se puede conectar el terminal que se obtiene por el dispositivo de configuración no se limitan.
Específicamente, la información de tipo de función del terminal y/o la información de tipo de la función a la que se puede conectar el terminal puede ser cualquiera de las siguientes informaciones de tipo, y debe quedar claro que lo siguiente es simplemente una descripción de ejemplo de la información de tipo de función del terminal y no constituye ninguna limitación;
una estación (STA), un punto de acceso (AP), un dispositivo propietario de grupo punto a punto (P2P GO), un dispositivo cliente punto a punto (cliente P2P), un maestro ancla (maestro), un maestro no ancla (no maestro), un repetidor (repetidor), un dispositivo central de acoplamiento (central de acoplamiento), un dispositivo acoplado (acoplado), un periférico (periférico), una dispositivo fuente (fuente), un dispositivo sumidero (sumidero), un identificador de conjunto de servicios (SSID, identificador de conjunto de servicios), una dirección Media Access Control (MAC), un registrado (registrado).
Específicamente, en esta realización, la información de tipo de función del terminal y la información de tipo de la función a la que se puede conectar el terminal son información de tipo de dos funciones que se corresponden mutuamente, y puede establecerse una conexión entre dos terminales que se corresponden mutuamente.
Por ejemplo, si la información de tipo de función del terminal es un AP, la información de tipo de la función a la que se puede conectar el terminal es una STA. Por el contrario, si la información de tipo de la función a la que se puede el terminal es un AP, la información de tipo de función del terminal es una STA.
Para otro ejemplo, la información de tipo de las dos funciones que se corresponden mutuamente puede ser: una STA corresponde a un AP, un P2P GO corresponde a un cliente P2P, un maestro corresponde a un no maestro, una STA corresponde a un repetidor o un AP corresponde a un repetidor.
Específicamente, si la información de tipo de función del terminal es un repetidor, la información de tipo de la función a la que se puede conectar el terminal puede ser una STA, o puede ser un AP.
Más específicamente, si la información de tipo de función del terminal es una capacidad soportada por el terminal, la información de tipo de la función a la que se puede conectar el terminal es también, en consecuencia, la capacidad soportada por el terminal.
Por ejemplo, si la información de tipo de función del terminal es un dispositivo que soporta P2P, la información de tipo de la función a la que se puede conectar el terminal es un dispositivo que soporta P2P.
Por otro ejemplo, si la información de tipo de función del terminal es un dispositivo que soporta una red de reconocimiento de vecinos NAN, la información de tipo de la función a la que se puede conectar el terminal es un dispositivo que soporta la red de reconocimiento de vecino NAN.
Por otro ejemplo, si la información de tipo de función del terminal es un dispositivo que soporta un subsistema de estación base específico BSS, la información de tipo de la función a la que se puede conectar el terminal es un dispositivo que soporta el subsistema de estación base BSS.
Más específicamente, si la información de tipo de función del terminal es información sobre un servicio específico soportado por el terminal, la información de tipo de la función a la que se puede conectar el terminal es también, en consecuencia, la información sobre el servicio específico soportado por el terminal.
303: El dispositivo de configuración genera información de firma según al menos la información de tipo y una clave privada para la firma del dispositivo de configuración.
Específicamente, el dispositivo de configuración realiza una operación hash en al menos la información de tipo para generar un valor hash, y cifra el valor hash generado usando la clave privada para la firma, para generar la información de firma.
Debe quedar claro que cómo se genera la información de firma según la clave privada para la firma es una técnica anterior, y los detalles no se describen en esta realización.
304: El dispositivo de configuración envía la información de firma y una clave pública para la firma del dispositivo de configuración al terminal.
Cómo el dispositivo de configuración envía específicamente la información de firma y la clave pública para la firma no se limita en esta realización.
Por ejemplo, el dispositivo de configuración puede enviar la información de firma y la clave pública para la firma al terminal al mismo tiempo que dos mensajes independientes o un mensaje, usando un mismo mensaje, o puede enviar la información de firma y la clave pública para la firma al terminal de forma secuencial. Esto no se limita específicamente.
305: El terminal recibe la información de firma y la clave pública para la firma del dispositivo de configuración que son enviadas por el dispositivo de configuración.
La información de firma es generada por el dispositivo de configuración según al menos la información de tipo y la clave privada para la firma del dispositivo de configuración.
La clave pública para la firma del dispositivo de configuración corresponde a la clave privada para la firma del dispositivo de configuración, para que el terminal que recibe la clave pública para la firma pueda realizar el procesamiento de descifrado de la información de firma que está cifrada usando la clave privada para la firma.
Cuando el terminal recibe la información de firma y la clave pública para la firma del dispositivo de configuración que son enviadas por el dispositivo de configuración, se completa la configuración del terminal por el dispositivo de configuración, para que el terminal pueda ejecutar, basado en la configuración por el dispositivo de configuración, los procesos de autentificación de seguridad mostrados en la FIG. 1 y la FIG. 2.
Según el método de configuración ilustrado en esta realización, un dispositivo de configuración envía información de firma y una clave pública para la firma del dispositivo de configuración a un terminal, para que cuando el terminal necesite acceder a otro terminal, el terminal pueda enviar la información de firma enviada por el dispositivo de configuración y la información de tipo del terminal al otro terminal. En consecuencia, el otro terminal no solo necesita verificar si la información de firma es correcta, sino que también debe verificar si los terminales coinciden. Se establece una relación de conexión de seguridad entre los dos terminales solo cuando la información de tipo de los dos terminales coincide entre sí y la información de firma es correcta. Esto evita efectivamente que un terminal altere su función y, por lo tanto, evita efectivamente que un terminal establezca una conexión con un terminal atacante con una función cambiada, evitando así que el terminal atacante obtenga información del terminal, para garantizar efectivamente la seguridad del terminal.
A continuación se describe en detalle, con referencia a la FIG. 4, cómo un dispositivo de configuración configura específicamente un terminal. La FIG. 4 es otro diagrama de flujo de etapas en un método de configuración según una realización de la presente invención.
401: El dispositivo de configuración obtiene una primera clave pública DH (Diffie-Hellman) del terminal.
Específicamente, el terminal posee la primera clave pública DH y una primera clave privada DH que se usan para el intercambio de claves. El dispositivo de configuración posee una segunda clave pública DH y una segunda clave privada DH que se usan para el intercambio de claves.
Una forma en que el dispositivo de configuración obtiene la primera clave pública DH puede ser: el dispositivo de configuración escanea un código de respuesta rápida que es del terminal y que contiene la primera clave pública DH, o el terminal envía la primera clave pública DH del terminal al dispositivo de configuración. Esto no se limita específicamente.
402: El dispositivo de configuración envía una segunda clave pública DH al terminal.
403: El dispositivo de configuración genera una segunda clave de intercambio.
Específicamente, el dispositivo de configuración calcula la segunda clave de intercambio usando un algoritmo de intercambio de claves según la primera clave pública DH y la segunda clave privada DH.
El algoritmo de intercambio de claves puede ser un algoritmo DH o un algoritmo ECDH. Para detalles, consulte la técnica anterior, y no se describen los detalles.
404: El terminal genera una primera clave de intercambio.
Específicamente, el terminal calcula la primera clave de intercambio usando el algoritmo de intercambio de claves según la segunda clave pública DH y la primera clave privada DH.
405: El dispositivo de configuración establece una conexión de seguridad al terminal.
Específicamente, la primera clave de intercambio y la segunda clave de intercambio son por pares. Basado en la clave por pares o una clave derivada de la clave por pares, el dispositivo de configuración puede establecer una conexión de seguridad al terminal.
Cuándo específicamente el dispositivo de configuración obtiene información de tipo del terminal no se limita en esta realización.
Por ejemplo, el dispositivo de configuración puede obtener, en un proceso de establecimiento de una conexión de seguridad al terminal, información de tipo de función del terminal y/o información de tipo de una función a la que se puede conectar el terminal.
Por otro ejemplo, el dispositivo de configuración puede obtener, después de establecer con éxito una conexión de seguridad al terminal, la información de tipo de función del terminal y/o la información de tipo de la función a la que se puede conectar el terminal.
A continuación, se describe primero cómo el dispositivo de configuración obtiene la información de tipo en un proceso de establecimiento de una conexión de seguridad por el dispositivo de configuración al terminal.
El dispositivo de configuración obtiene una clave de identidad pública del terminal.
Específicamente, el dispositivo de configuración obtiene la clave de identidad de la clave de identidad pública en un código QR del terminal.
Más específicamente, no se limita la forma específica en que el dispositivo de configuración obtiene la clave de identidad pública del terminal. Por ejemplo, el terminal puede enviar un mensaje que contiene la clave de identidad pública al dispositivo de configuración, o el dispositivo de configuración escanea un código de respuesta rápida que es del terminal y que contiene la clave de identidad pública.
El dispositivo de configuración envía un primer valor hash objetivo que se corresponde a la clave de identidad pública al terminal.
Específicamente, el dispositivo de configuración realiza una operación hash en la clave de identidad pública para generar el primer valor hash objetivo.
Más específicamente, el dispositivo de configuración envía un mensaje de solicitud de autentificación (en inglés, Authentication Request Message, DPP, por sus siglas en inglés) que contiene el primer valor hash objetivo al terminal.
La solicitud de autentificación DPP puede ser H(EI), H(CI), CE, {C-nonce} K 1 ^ .
H(EI) es el primer valor hash objetivo generado usando la clave de identidad de clave de identidad pública del terminal, y H(CI) es un valor hash generado usando una clave de identidad de clave de identidad pública del dispositivo de configuración.
Si el terminal determina que el primer valor hash objetivo cumple un requisito preestablecido, el terminal genera un mensaje de respuesta.
Específicamente, después de que el terminal recibe el mensaje de solicitud de autentificación DPP, el terminal realiza una operación hash en la clave de identidad pública del terminal para generar un segundo valor hash objetivo. El requisito preestablecido es que el primer valor hash objetivo sea igual al segundo valor hash objetivo.
El mensaje de respuesta de autentificación DPP puede ser una respuesta de autentificación DPP: ^ H(EI), [ H (CI), ] { E-nonce | C-nonce | EN }K1, { E-auth }Ke.
El mensaje de respuesta dado en esta realización lleva además la información de tipo de función del terminal y/o la información de tipo de la función a la que se puede conectar el terminal.
El terminal envía el mensaje de respuesta al dispositivo de configuración.
El dispositivo de configuración determina, según el mensaje de respuesta, la información de tipo de función del terminal y/o la información de tipo de la función a la que se puede conectar el terminal.
Después de determinar la información de tipo de función del terminal y/o la información de tipo de la función a la que se puede conectar el terminal, el dispositivo de configuración envía un mensaje de acuse de recibo (en inglés, acknowledgment message) al terminal.
El mensaje de acuse de recibo de confirmación de autentificación DPP es: H(EI), [ H (CI), ] { C-auth }Ke ^ .
En esta realización, se usa el siguiente ejemplo para la descripción: después de establecer con éxito una conexión de seguridad al terminal, el dispositivo de configuración obtiene la información de tipo de función del terminal y/o la información de tipo de la función a la que se puede conectar el terminal.
Es decir, después de realizar de la etapa 401 a la etapa 405 para permitir que el dispositivo de configuración establezca satisfactoriamente una conexión de seguridad al terminal, se realiza la etapa 406.
406: El dispositivo de configuración obtiene información de tipo del terminal.
La información de tipo del terminal es la información de tipo de función del terminal y/o la información de tipo de la función a la que se puede conectar el terminal.
En esta realización, el dispositivo de configuración obtiene la información de tipo de función del terminal y/o la información de tipo de la función a la que se puede conectar el terminal en los siguientes casos. Debe quedar claro que la forma en que el dispositivo de configuración obtiene la información de tipo de función del terminal y/o la información de tipo de la función a la que se puede conectar el terminal se usa como ejemplo para la descripción sin imponer ninguna limitación.
En un caso, el dispositivo de configuración recibe un mensaje de indicación enviado por el terminal.
El terminal puede indicar, en el mensaje de indicación, la información de tipo de función del terminal y/o la información de tipo de la función a la que se puede conectar el terminal.
En otro caso, el dispositivo de configuración recibe un mensaje de descubrimiento enviado por el terminal; y el dispositivo de configuración determina la información de tipo según el mensaje de descubrimiento.
El mensaje de descubrimiento corresponde a la información de tipo.
Por ejemplo, se ejecuta un proceso de descubrimiento entre el dispositivo de configuración y el terminal. El dispositivo de configuración obtiene, en el proceso, la información de tipo de función del terminal y/o la información de tipo de la función a la que se puede conectar el terminal.
Por ejemplo, en un proceso de ejecución 802.11, si el dispositivo de configuración determina que el mensaje de descubrimiento recibido es una solicitud de sonda, el dispositivo de configuración puede determinar que la información de tipo de función del terminal es una STA, y/o el dispositivo de configuración puede determinar que la información de tipo de la función a la que se puede conectar el terminal es un AP.
Si el mensaje de descubrimiento recibido por el dispositivo de configuración es una respuesta, el dispositivo de configuración puede determinar que la información de tipo de función del terminal es un AP, y/o el dispositivo de configuración puede determinar que la información de tipo de la función a la que se puede conectar el terminal es una STA.
Una razón por la que el dispositivo de configuración usa esta forma de determinación es: en estos procesos de descubrimiento, terminales de funciones diferentes envían mensajes de descubrimiento diferentes. Por lo tanto, el dispositivo de configuración puede determinar, según un mensaje de descubrimiento diferente enviado por un terminal, información de tipo de función del terminal y/o información de tipo de una función a la que se puede conectar el terminal.
En otro caso, el dispositivo de configuración está provisto de una interfaz de operación, y un usuario puede introducir una instrucción de operación usando la interfaz de operación, para que el usuario indique directamente la información de tipo usando la instrucción de operación.
Por ejemplo, el usuario elige introducir un dispositivo de configuración a una red, el dispositivo de configuración obtiene que un tipo de función de un dispositivo terminal es una STA, y que un tipo de un dispositivo al que se puede conectar el dispositivo terminal es un AP. Por ejemplo, el usuario elige introducir una red de configuración, el dispositivo de configuración obtiene que el tipo de función del dispositivo terminal es un AP, y que el tipo del dispositivo al que se puede conectar el dispositivo terminal es una STA.
En otro caso, el dispositivo de configuración puede escanear un código de respuesta rápida del terminal, y el código de respuesta rápida del terminal contiene la información de tipo, para que el dispositivo de configuración pueda obtener directamente, escaneando el código de respuesta rápida, la información de tipo de función del terminal y/o la información de tipo de la función a la que se puede conectar el terminal.
En otro caso, el dispositivo de configuración establece una conexión de comunicación de campo cercano NFC al terminal, para que el dispositivo de configuración pueda obtener la información de tipo usando la conexión NFC. 407: El dispositivo terminal transfiere una clave de red de la clave pública al dispositivo de configuración.
408: El dispositivo de configuración genera un mensaje de configuración.
En esta realización, el mensaje de configuración incluye al menos la clave de red de la clave pública, una clave pública para la firma del dispositivo de configuración, y la información de tipo del terminal.
Ciertamente, el mensaje de configuración puede incluir además otro contenido. Esto no se limita específicamente en esta realización.
Específicamente, la respuesta de configuración del mensaje de configuración DPP puede ser:
{ net-id, cruft, C-name, C-sign-key, connector, [ connector... ] [, configurators ] [ , introducers ] } Ke ^ .
El Conector de campo:: =
SEQUENCE {
netID INTEGER,
peerKey SubjectPublicKeylnfo,
la información de tipo de la función a la que se puede conectar el terminal:
netKey SubjectPublicKeylnfo, y
la información de tipo de función del terminal:
introducer DirectoryString }.
409: El dispositivo de configuración realiza una operación hash en el mensaje de configuración.
410: El dispositivo de configuración determina la información de firma.
La información de firma se forma descifrando, usando la clave privada para la firma del dispositivo de configuración, el mensaje de configuración que se somete a una operación hash.
La operación hash hash es un algoritmo hash. El algoritmo hash puede generar algunos otros números mediante una operación hash en algunos números de entrada. El algoritmo hash es unidireccional.
Específicamente, en esta realización, la información de firma incluye un primer valor hash. El primer valor hash es un valor hash generado por el dispositivo de configuración realizando una operación hash sobre la información de tipo de función del terminal y/o la información de tipo de la función a la que se puede conectar el terminal.
Según el método de configuración ilustrado en esta realización, un dispositivo de configuración envía información de firma y una clave pública para la firma del dispositivo de configuración a un terminal, para que cuando el terminal necesite acceder a otro terminal, el terminal pueda enviar la información de firma enviada por el dispositivo de configuración e información de tipo del terminal al otro terminal. En consecuencia, el otro terminal no solo necesita verificar si la información de firma es correcta, sino que también debe verificar si los terminales coinciden. Se establece una relación de conexión de seguridad entre los dos terminales solo cuando la información de tipo de los dos terminales coincide entre sí y la información de firma es correcta. Esto evita efectivamente que un terminal altere su función y, por lo tanto, evita efectivamente que un terminal establezca una conexión con un terminal atacante con una función cambiada, evitando así que el terminal atacante obtenga información del terminal, para garantizar efectivamente la seguridad del terminal.
A continuación se describe en detalle, con referencia a la FIG. 5, una estructura específica de un primer terminal en el método de autentificación de seguridad mostrado en la FIG. 1. La FIG. 5 es un diagrama estructural esquemático del primer terminal según una realización de la presente invención.
El primer terminal incluye:
una primera unidad 501 receptora, configurada para recibir una clave pública para la firma de un dispositivo de configuración enviado por el dispositivo de configuración;
una segunda unidad 502 receptora, configurada para recibir una segunda información de firma y una segunda información de tipo, donde la segunda información de firma es información de firma enviada por el dispositivo de configuración a un segundo terminal, la segunda información de firma es generada por el dispositivo de configuración según al menos la segunda información de tipo y una clave privada para la firma del dispositivo de configuración, la segunda información de tipo es información de tipo de función del segundo terminal y/o información de tipo de una función a la que se puede conectar el segundo terminal, y la clave pública para la firma del dispositivo de configuración corresponde a la clave privada para la firma del dispositivo de configuración; y
una primera unidad 503 de determinación, configurada para determinar, según al menos la segunda información de tipo y la segunda información de firma, que se generará la información de clave, donde la información de clave se usa para que el primer terminal establezca una conexión de seguridad al segundo terminal.
En esta realización, en un proceso de establecer una conexión de seguridad entre un primer terminal y un segundo terminal, el primer terminal no solo necesita realizar la verificación según la información que se usa para establecer la conexión e incluida en la segunda información de firma, sino que también necesita para verificar la información de tipo del segundo terminal. El primer terminal establece la conexión de seguridad entre el primer terminal y el segundo terminal solo cuando la verificación tiene éxito. Esto evita efectivamente que un terminal altere su función y, por lo tanto, evita efectivamente que un terminal establezca una conexión con un terminal atacante con una función cambiada, evitando así además que el terminal atacante obtenga información del terminal, para garantizar efectivamente la seguridad del terminal.
A continuación se describe en detalle, con referencia a la FIG. 6, una estructura específica de un primer terminal en el método de autentificación de seguridad mostrado en la FIG. 2. La FIG. 6 es otro diagrama estructural esquemático del primer terminal según una realización de la presente invención.
Una tercera unidad 601 receptora está configurada para recibir la primera información de firma enviada por un dispositivo de configuración. La primera información de firma es generada por el dispositivo de configuración según al menos la primera información de tipo y una clave privada para la firma, y la primera información de tipo es información de tipo de función del primer terminal y/o información de tipo de una función a la que se puede conectar el primer terminal.
La información de tipo de función del primer terminal y/o la información de tipo de la función a la que se puede conectar el primer terminal para incluir/incluye:
una estación, un punto de acceso, un dispositivo propietario de grupo punto a punto, un dispositivo cliente punto a punto, un maestro ancla, un maestro no ancla, un repetidor, un dispositivo central de acoplamiento, un dispositivo acoplado, un periférico, un dispositivo fuente, un dispositivo sumidero, un configurador, un registrado, una capacidad soportada, un servicio soportado, un identificador de conjunto de servicios, o una dirección de control de acceso a medios.
Una primera unidad 602 receptora está configurada para recibir una clave pública para la firma del dispositivo de configuración enviada por el dispositivo de configuración.
Una segunda unidad 603 receptora está configurada para recibir una segunda información de firma y una segunda información de tipo. La segunda información de firma es información de firma enviada por el dispositivo de configuración a un segundo terminal, la segunda información de firma es generada por el dispositivo de configuración según al menos la segunda información de tipo y la clave privada para la firma del dispositivo de configuración. La segunda información de tipo es información de tipo de función del segundo terminal y/o información de tipo de una función a la que se puede conectar el segundo terminal. La clave pública para la firma del dispositivo de configuración corresponde a la clave privada para la firma del dispositivo de configuración.
La información de tipo de función del segundo terminal y/o la información de tipo de la función a la que se puede conectar el segundo terminal para incluir/incluye:
una estación, un punto de acceso, un dispositivo propietario de grupo punto a punto, un dispositivo cliente punto a punto, un maestro ancla, un maestro no ancla, un repetidor, un dispositivo central de acoplamiento, un dispositivo acoplado, un periférico, un dispositivo fuente, un dispositivo sumidero, un configurador, un registrado, una capacidad soportada, un servicio soportado, un identificador de conjunto de servicios, o una dirección de control de acceso a medios.
Una primera unidad 604 de determinación está configurada para determinar, según al menos la segunda información de tipo y la segunda información de firma, que se generará la información de clave. La información de clave se usa para que el primer terminal establezca una conexión de seguridad al segundo terminal.
Específicamente, la primera unidad 604 de determinación está configurada además para, si se determina que la primera información de tipo coincide con la segunda información de tipo y el primer terminal determina que la segunda información de firma coincide con la segunda información de tipo, determinar que el primer terminal debe generar la información de clave.
Una prima unidad 605 generación está configurada para generar la información de clave.
Una primera unidad 606 de envío está configurada para enviar la primera información de firma al segundo terminal
Según el primer terminal en esta realización, en un proceso de establecer una conexión de seguridad entre el primer terminal y un segundo terminal, el primer terminal no solo necesita realizar la verificación según la información que se usa para establecer la conexión e incluida en la segunda información de firma, sino que también necesita verificar la segunda información de tipo. Cuando se determina que la primera información de tipo coincide con la segunda información de tipo y que la segunda información de firma es correcta, el primer terminal establece una conexión de seguridad entre el primer terminal y el segundo terminal. Esto evita efectivamente que un terminal altere su función y, por lo tanto, evita efectivamente que un terminal establezca una conexión con un terminal atacante con una función cambiada, evitando así además que el terminal atacante obtenga información del terminal, para garantizar efectivamente la seguridad del terminal.
A continuación se describe, con referencia a la FIG. 7, una estructura específica de un dispositivo de configuración que puede implementar la configuración del terminal para que se pueda establecer una conexión de seguridad entre terminales. La FIG. 7 es un diagrama estructural esquemático del dispositivo de configuración según una realización de la presente invención.
El dispositivo de configuración incluye:
una cuarta unidad 701 receptora, configurada para obtener información de tipo del terminal, donde la información de tipo es información de tipo de función del terminal y/o información de tipo de una función a la que se puede conectar el terminal;
una segunda unidad 702 de generación, configurada para generar información de firma según al menos la información de tipo y una clave privada para la firma del dispositivo de configuración; y
una segunda unidad 703 de envío, configurada para enviar la información de firma y una clave pública para la firma del dispositivo de configuración al terminal, donde la clave pública para la firma del dispositivo de configuración corresponde a la clave privada para la firma del dispositivo de configuración.
Según el dispositivo de configuración ilustrado en esta realización, el dispositivo de configuración envía información de firma y una clave pública para la firma del dispositivo de configuración a un terminal, para que cuando el terminal necesite acceder a otro terminal, el terminal pueda enviar la información de firma enviada por el dispositivo de configuración y la información de tipo del terminal al otro terminal. En consecuencia, el otro terminal no solo necesita verificar si la información de firma es correcta, sino que también debe verificar si los terminales coinciden. Se establece una relación de conexión de seguridad entre los dos terminales solo cuando la información de tipo de los dos terminales coincide entre sí y la información de firma es correcta. Esto evita efectivamente que un terminal altere su función y, por lo tanto, evita efectivamente que un terminal establezca una conexión con un terminal atacante con una función cambiada, evitando así además que el terminal atacante obtenga información del terminal, para garantizar efectivamente la seguridad del terminal.
Lo siguiente describe además en detalle, con referencia a la FIG. 8, una estructura específica del dispositivo de configuración. La FIG. 8 es otro diagrama estructural esquemático del dispositivo de configuración según una realización de la presente invención.
Una cuarta unidad 801 receptora está configurada para obtener información de tipo de un terminal. La información de tipo es información de tipo de función del terminal y/o información de tipo de una función a la que se puede conectar el terminal.
La información de tipo de función del terminal y/o la información de tipo de la función a la que se puede conectar el terminal para incluir/incluye:
una estación, un punto de acceso, un dispositivo propietario de grupo punto a punto, un dispositivo cliente punto a punto, un maestro ancla, un maestro no ancla, un repetidor, un dispositivo central de acoplamiento, un dispositivo acoplado, un dispositivo fuente, un periférico, un dispositivo sumidero, un identificador de conjunto de servicios, una dirección de control de acceso a medios, o un registrado.
La cuarta unidad 801 receptora está configurada además para recibir un mensaje de indicación enviado por el terminal. El mensaje de indicación contiene la información de tipo.
La cuarta unidad 801 receptora está configurada además para recibir una instrucción de operación introducida por un usuario. La instrucción de operación se usa para indicar la información de tipo.
La cuarta unidad 801 receptora está configurada además para escanear un código de respuesta rápida que es del terminal y que contiene la información de tipo.
La cuarta unidad 801 receptora está configurada además para establecer una conexión de comunicación de campo cercano NFC al terminal para obtener la información de tipo.
Opcionalmente, la cuarta unidad 801 receptora incluye:
un módulo 8011 receptor, configurado para recibir un mensaje de descubrimiento enviado por el terminal; y
un módulo 8012 de determinación, configurado para determinar la información de tipo según el mensaje de descubrimiento, donde el mensaje de descubrimiento corresponde a la información de tipo.
Una segunda unidad 802 de generación está configurada para generar información de firma según al menos la información de tipo y una clave privada para la firma del dispositivo de configuración.
La información de la firma incluye además un primer valor hash. El primer valor hash es un valor hash generado por el dispositivo de configuración realizando una operación hash en al menos la información de tipo.
Una segunda unidad 803 de envío está configurada para enviar la información de firma y una clave pública para la firma del dispositivo de configuración al terminal. La clave pública para la firma del dispositivo de configuración corresponde a la clave privada para la firma del dispositivo de configuración.
Según el dispositivo de configuración ilustrado en esta realización, el dispositivo de configuración envía información de firma y una clave pública para la firma del dispositivo de configuración a un terminal, para que cuando el terminal necesite acceder a otro terminal, el terminal pueda enviar la información de firma enviada por el dispositivo de configuración y la información de tipo del terminal al otro terminal. En consecuencia, el otro terminal no solo necesita verificar si la información de firma es correcta, sino que también debe verificar si los terminales coinciden. Se establece una relación de conexión de seguridad entre los dos terminales solo cuando la información de tipo de los dos terminales coincide entre sí y la información de firma es correcta. Esto evita efectivamente que un terminal altere su función y, por lo tanto, evita efectivamente que un terminal establezca una conexión con un terminal atacante con una función cambiada, evitando así además que el terminal atacante obtenga información del terminal, para garantizar efectivamente la seguridad del terminal.
La FIG. 7 y la FIG. 8 describen, desde la perspectiva de un dispositivo de configuración, estructuras específicas del dispositivo de configuración cuando el dispositivo de configuración configura un dispositivo terminal. A continuación se describe, con referencia a la FIG. 9, una estructura específica de un terminal cuando un dispositivo de configuración configura el dispositivo terminal.
La FIG. 9 es un diagrama estructural esquemático del terminal según una realización de la presente invención.
El terminal incluye:
una tercera unidad 901 de envío, configurada para transferir información de tipo del terminal al dispositivo de configuración, donde la información de tipo es información de tipo de función del terminal y/o información de tipo de una función a la que se puede conectar el terminal; y
una quinta unidad 902 receptora, configurada para recibir información de firma y una clave pública para la firma del dispositivo de configuración que son enviadas por el dispositivo de configuración, donde la información de firma es generada por el dispositivo de configuración según al menos el tipo de información y una clave privada para la firma del dispositivo de configuración, y la clave pública para la firma del dispositivo de configuración corresponde a la clave privada para la firma del dispositivo de configuración.
Según el terminal ilustrado en esta realización, un dispositivo de configuración envía información de firma y una clave pública para la firma del dispositivo de configuración al terminal, para que cuando el terminal necesite acceder a otro terminal, el terminal pueda enviar la información de firma enviada por el dispositivo de configuración e información de tipo del terminal al otro terminal. En consecuencia, el otro terminal no solo necesita verificar si la información de firma es correcta, sino que también debe verificar si los terminales coinciden. Se establece una relación de conexión de seguridad entre los dos terminales solo cuando la información de tipo de los dos terminales coincide entre sí y la información de firma es correcta. Esto evita efectivamente que un terminal altere su función y, por lo tanto, evita efectivamente que un terminal establezca una conexión con un terminal atacante con una función cambiada, evitando así además que el terminal atacante obtenga información del terminal, para garantizar efectivamente la seguridad del terminal.
Lo siguiente describe además en detalle, con referencia a la FIG. 10, una estructura específica del terminal.
La FIG. 10 es otro diagrama estructural esquemático del terminal según una realización de la presente invención. El terminal incluye las siguientes unidades.
Una tercera unidad 1001 de envío está configurada para transferir información de tipo del terminal a un dispositivo de configuración, donde la información de tipo es información de tipo de función del terminal y/o información de tipo de una función a la que se puede conectar el terminal.
Específicamente, la tercera unidad 1001 de envío incluye:
un primer módulo 10011 de generación, configurado para generar un mensaje de indicación, donde el mensaje de indicación contiene la información de tipo; y
un segundo módulo 10012 de envío, configurado para enviar el mensaje de indicación al dispositivo de configuración. Alternativamente,
la tercera unidad 1001 de envío incluye:
Un segundo módulo 10013 de generación, configurado para generar un mensaje de descubrimiento; y
un tercer módulo 10014 de envío, configurado para enviar el mensaje de descubrimiento al dispositivo de configuración, donde el mensaje de descubrimiento corresponde a la información de tipo.
Alternativamente,
la tercera unidad 1001 de envío incluye:
un tercer módulo 10015 de generación, configurado para generar un código de respuesta rápida, donde el código de respuesta rápida contiene la información de tipo.
Alternativamente,
la tercera unidad 1001 de envío incluye:
un módulo 10016 de establecimiento, configurado para establecer una conexión de comunicación de campo cercano NFC al dispositivo de configuración; y
un cuarto módulo 10017 de envío, configurado para enviar la información de tipo al dispositivo de configuración usando la NFC.
Una quinta unidad 1002 receptora está configurada para recibir información de firma y una clave pública para la firma del dispositivo de configuración que son enviadas por el dispositivo de configuración. La información de firma es generada por el dispositivo de configuración según al menos la información de tipo y una clave privada para la firma del dispositivo de configuración, y la clave pública para la firma del dispositivo de configuración corresponde a la clave privada para la firma del dispositivo de configuración.
La información de tipo de función del terminal y/o la información de tipo de la función a la que se puede conectar el terminal para incluir/incluye:
una estación, un punto de acceso, un dispositivo propietario de grupo punto a punto, un dispositivo cliente punto a punto, un maestro ancla, un maestro no ancla, un repetidor, un dispositivo central de acoplamiento, un dispositivo acoplado, dispositivo fuente, un periférico, un dispositivo sumidero, un identificador de conjunto de servicios, una dirección de control de acceso a medios, o un registrado.
Según el terminal ilustrado en esta realización, un dispositivo de configuración envía información de firma y una clave pública para la firma del dispositivo de configuración al terminal, para que cuando el terminal necesite acceder a otro terminal, el terminal pueda enviar la información de firma enviada por el dispositivo de configuración e información de tipo del terminal al otro terminal. En consecuencia, el otro terminal no solo necesita verificar si la información de firma es correcta, sino que también debe verificar si los terminales coinciden. Se establece una relación de conexión de seguridad entre los dos terminales solo cuando la información de tipo de los dos terminales coincide entre sí y la información de firma es correcta. Esto evita efectivamente que un terminal altere su función y, por lo tanto, evita efectivamente que un terminal establezca una conexión con un terminal atacante con una función cambiada, evitando así además que el terminal atacante obtenga información del terminal, para garantizar efectivamente la seguridad del terminal.
En las realizaciones mostradas en la FIG. 5 y la FIG. 6, las estructuras específicas de un primer terminal se describen desde una perspectiva de módulos de función. A continuación se describe una estructura específica de un primer terminal desde una perspectiva de hardware con referencia a una realización mostrada en la FIG. 11.
Como se muestra en la FIG. 11, el primer terminal incluye un transmisor 1101, un receptor 1102, y un procesador 1103. Puede haber uno o más procesadores 1103. En esta realización, se usa un procesador como ejemplo para la descripción.
Además, en esta realización, el transmisor 1101, el receptor 1102, y el procesador 1103 están conectados usando un bus, o ciertamente pueden estar conectados de otra forma de conexión. Una forma de conexión específica no se limita en esta realización.
El primer terminal involucrado en esta realización de la presente invención puede tener más o menos partes que las mostradas en la FIG. 11, puede combinar dos o más partes, o puede tener diferentes configuraciones o ajustes de partes. Cada parte puede implementarse usando hardware que incluye uno o más circuitos integrados de procesamiento de señales y/o aplicaciones específicas, software, o una combinación de hardware y software.
El receptor 1102 está configurado para recibir una clave pública para la firma de un dispositivo de configuración enviada por el dispositivo de configuración.
El receptor 1102 está configurado para recibir una segunda información de firma y una segunda información de tipo. La segunda información de firma es información de firma enviada por el dispositivo de configuración a un segundo terminal. La segunda información de firma es generada por el dispositivo de configuración según al menos la segunda información de tipo y una clave privada para la firma del dispositivo de configuración. La segunda información de tipo es información de tipo de función del segundo terminal y/o información de tipo de una función a la que se puede el segundo terminal. La clave pública para la firma del dispositivo de configuración corresponde a la clave privada para la firma del dispositivo de configuración.
El procesador 1103 está configurado para determinar, según al menos la segunda información de tipo y la segunda información de firma, que el primer terminal debe generar información de clave. La información de clave se usa para que el primer terminal establezca una conexión de seguridad al segundo terminal.
Opcionalmente, el receptor 1102 está configurado para recibir la primera información de firma enviada por el dispositivo de configuración. La primera información de firma es generada por el dispositivo de configuración según al menos la primera información de tipo y la clave privada para la firma. La primera información de tipo es información de tipo de función del primer terminal y/o información de tipo de una función a la que se puede conectar el primer terminal.
Opcionalmente, la información de tipo de función del primer terminal y/o la información de tipo de la función a la que se puede conectar el primer terminal para incluir/incluye:
una estación, un punto de acceso, un dispositivo propietario de grupo punto a punto, un dispositivo cliente punto a punto, un maestro ancla, un maestro no ancla, un repetidor, un dispositivo central de acoplamiento, un dispositivo acoplado, un periférico, un dispositivo fuente, un dispositivo sumidero, un configurador, un registrado, una capacidad soportada, un servicio soportado, un identificador de conjunto de servicios, o una dirección de control de acceso a medios.
Opcionalmente, la información de tipo de función del segundo terminal y/o la información de tipo de la función a la que se puede conectar el segundo terminal para incluir/incluye:
una estación, un punto de acceso, un dispositivo propietario de grupo punto a punto, un dispositivo cliente punto a punto, un maestro ancla, un maestro no ancla, un repetidor, un dispositivo central de acoplamiento, un dispositivo acoplado, un periférico, un dispositivo fuente, un dispositivo sumidero, un configurador, un registrado, una capacidad soportada, un servicio soportado, un identificador de conjunto de servicios, o una dirección de control de acceso a medios.
Opcionalmente, el procesador 1103 está configurado para, si se determina que la primera información de tipo coincide con la segunda información de tipo y el primer terminal determina que la segunda información de firma coincide con la segunda información de tipo, determinar generar información de clave.
Opcionalmente, el procesador 1103 está configurado para generar la información de clave.
Opcionalmente, el transmisor 1101 está configurado para enviar la primera información de firma al segundo terminal. En las realizaciones mostradas en la FIG. 7 y la FIG. 8, las estructuras específicas de un dispositivo de configuración se describen desde una perspectiva de módulos de función. A continuación se describe una estructura específica de un dispositivo de configuración desde una perspectiva de hardware con referencia a una realización mostrada en la FIG. 12.
Como se muestra en la FIG. 12, el dispositivo de configuración incluye un transmisor 1201, un receptor 1202, y un procesador 1203. Puede haber uno o más procesadores 1203. En esta realización, se usa un procesador como un ejemplo para la descripción.
En esta realización, el transmisor 1201, el receptor 1202, y el procesador 1203 están conectados usando un bus, o ciertamente pueden estar conectados en otra forma de conexión. Una forma de conexión específica no se limita en esta realización.
El dispositivo de configuración involucrado en esta realización de la presente invención puede tener más o menos partes que las mostradas en la FIG. 12, pueden combinarse dos o más partes, o pueden tener diferentes configuraciones o ajustes de partes. Cada parte puede implementarse usando hardware que incluye uno o más circuitos integrados de procesamiento de señales y/o aplicaciones específicas, software, o una combinación de hardware y software.
El receptor 1202 está configurado para obtener información de tipo de un terminal. La información de tipo es información de tipo de función del terminal y/o información de tipo de una función a la que se puede conectar el terminal.
El procesador 1203 está configurado para generar información de firma según al menos la información de tipo y una clave privada para la firma del dispositivo de configuración.
El transmisor 1201 está configurado para enviar la información de firma y una clave pública para la firma del dispositivo de configuración al terminal. La clave pública para la firma del dispositivo de configuración corresponde a la clave privada para la firma del dispositivo de configuración.
Opcionalmente, el receptor 1202 está configurado para recibir un mensaje de indicación enviado por el terminal. El mensaje de indicación contiene la información de tipo.
Opcionalmente, el receptor 1202 está configurado para recibir un mensaje de descubrimiento enviado por el terminal. El procesador 1203 está configurado para determinar la información de tipo según el mensaje de descubrimiento. El mensaje de descubrimiento corresponde a la información de tipo.
Opcionalmente, el receptor 1202 está configurado para recibir una instrucción de operación introducida por un usuario. La instrucción de operación se usa para indicar la información de tipo.
Opcionalmente, el receptor 1202 está configurado para escanear un código de respuesta rápida que es del terminal y que contiene la información de tipo.
Alternativamente,
el receptor 1202 está configurado para establecer una conexión de comunicación de campo cercano NFC al terminal para obtener la información de tipo.
Opcionalmente, la información de tipo de función del terminal y/o la información de tipo de la función a la que se puede conectar el terminal para incluir/incluye:
una estación, un punto de acceso, un dispositivo propietario de grupo punto a punto, un dispositivo cliente punto a punto, un maestro ancla, un maestro no ancla, un repetidor, un dispositivo central de acoplamiento, un dispositivo acoplado, un dispositivo fuente, un periférico, un dispositivo sumidero, un identificador de conjunto de servicios, una dirección de control de acceso a medios, o un registrado.
Opcionalmente, la información de firma incluye además un primer valor hash. El primer valor hash es un valor hash generado por el dispositivo de configuración realizando una operación hash en al menos la información de tipo. En las realizaciones mostradas en la FIG. 9 y la FIG. 10, las estructuras específicas de un terminal se describen desde una perspectiva de módulos de función. A continuación se describe una estructura específica de un terminal desde una perspectiva de hardware con referencia a una realización mostrada en la FIG. 13.
Como se muestra en la FIG. 13, el terminal incluye un transmisor 1301, un receptor 1302, y un procesador 1303. Puede haber uno o más procesadores 1303. En esta realización, se usa un procesador como un ejemplo para la descripción.
En esta realización, el transmisor 1301, el receptor 1302, y el procesador 1303 están conectados usando un bus, o ciertamente pueden estar conectados de otra forma de conexión. Una forma de conexión específica no se limita en esta realización.
El terminal involucrado en esta realización puede tener más o menos partes que las mostradas en la FIG. 13, puede combinar dos o más partes, o puede tener diferentes configuraciones o ajustes de partes. Cada parte puede implementarse usando hardware que incluye uno o más circuitos integrados de procesamiento de señales y/o aplicaciones específicas, software, o una combinación de hardware y software.
El terminal incluye:
el transmisor 1301, configurado para transferir información de tipo del terminal a un dispositivo de configuración, donde la información de tipo es información de tipo de función del terminal y/o información de tipo de una función a la que se puede conectar el terminal; y
el receptor 1302, configurado para recibir información de firma y una clave pública para la firma del dispositivo de configuración que son enviadas por el dispositivo de configuración, donde la información de firma es generada por el dispositivo de configuración según al menos la información de tipo y una clave privada para la firma del dispositivo de configuración, y la clave pública para la firma del dispositivo de configuración corresponde a la clave privada para la firma del dispositivo de configuración.
Opcionalmente,
el procesador 1303 está configurado para generar un mensaje de indicación, donde el mensaje de indicación contiene la información de tipo; y
el transmisor 1301 está configurado para enviar el mensaje de indicación al dispositivo de configuración.
Opcionalmente,
el procesador 1303 está configurado para generar un mensaje de descubrimiento; y
el transmisor 1301 está configurado para enviar el mensaje de descubrimiento al dispositivo de configuración, donde el mensaje de descubrimiento corresponde a la información de tipo.
Opcionalmente, el procesador 1303 está configurado para generar un código de respuesta rápida, y el código de respuesta rápida contiene la información de tipo.
Alternativamente,
el procesador 1303 está configurado para establecer una conexión de comunicación de campo cercano NFC con el dispositivo de configuración; y
el transmisor 1301 está configurado para enviar la información de tipo al dispositivo de configuración usando la NFC. Opcionalmente, la información de tipo de función del terminal y/o la información de tipo de la función a la que se puede conectar el terminal para incluir/incluye:
una estación, un punto de acceso, un dispositivo propietario de grupo punto a punto, un dispositivo cliente punto a punto, un maestro ancla, un maestro no ancla, un repetidor, un dispositivo central de acoplamiento, un dispositivo acoplado, un dispositivo fuente, un periférico, un dispositivo sumidero, un identificador de conjunto de servicios, una dirección de control de acceso a medios, o un registrado.
Una persona experta en la técnica puede entender claramente que, con el propósito de una descripción breve y conveniente, para un proceso de trabajo detallado del sistema, aparato o unidad anterior, se puede hacer referencia a un proceso que se corresponde a las realizaciones del método anterior, y los detalles no se describen de nuevo en esta memoria.
Las realizaciones anteriores tienen por objeto simplemente describir las soluciones técnicas de la presente invención, pero no a limitar la presente invención. Aunque la presente invención se describe en detalle con referencia a las realizaciones anteriores, una persona con conocimientos ordinarios en la técnica debe comprender que aún pueden hacer modificaciones a las soluciones técnicas descritas en las realizaciones anteriores o hacer reemplazos equivalentes a algunas características técnicas de las mismas, sin apartarse del alcance de las soluciones técnicas de las realizaciones de la presente invención.

Claims (18)

REIVINDICACIONES
1. Un método de autentificación de seguridad, que comprende:
recibir (101), por un primer terminal, una clave pública para la firma de un dispositivo de configuración enviada por el dispositivo de configuración;
recibir (102), por el primer terminal, la segunda información de firma y segunda información de tipo de un segundo terminal, en donde la segunda información de firma es información de firma enviada por el dispositivo de configuración al segundo terminal, la segunda información de firma es generada por el dispositivo de configuración según al menos la segunda información de tipo y una clave privada para la firma del dispositivo de configuración, la segunda información de tipo es la información de tipo de función del segundo terminal, y la clave pública para la firma del dispositivo de configuración corresponde a la clave privada para la firma del dispositivo de configuración; y determinar (103), por el primer terminal según al menos la segunda información de tipo y la segunda información de firma, que el primer terminal debe generar información de clave, en donde la información de clave se usa para que el primer terminal establezca una conexión de seguridad al segundo terminal;
en donde determinar (103), por el primer terminal según al menos la segunda información de tipo y la segunda información de firma, que el primer terminal debe generar información de clave comprende:
determinar que la primera información de tipo coincide con la segunda información de tipo y que la segunda información de firma es correcta, en donde la primera información de tipo es información de tipo de función del primer terminal.
2. El método según la reivindicación 1, en donde el primer terminal determina que la primera información de tipo coincide con la segunda información de tipo, comprende:
si la información de tipo de función del segundo terminal es un punto de acceso, AP, y la información de tipo de función del primer terminal es una estación, STA, el primer terminal determina que el primer terminal coincide con el segundo terminal; o,
si la información de tipo de función del segundo terminal es un propietario de grupo entre pares, P2P GO, y la información de tipo de función del primer terminal es un cliente P2P, el primer terminal determina que el primer terminal coincide con el segundo terminal.
3. El método según una cualquiera de las reivindicaciones 1-2, en donde la segunda información de firma es correcta comprende:
un primer valor hash es igual a un segundo valor hash, en donde el primer valor hash es un valor hash generado por el dispositivo de configuración realizando una operación hash en al menos la segunda información de tipo y se obtiene por el primer terminal descifrando la segunda información de firma usando la clave pública para la firma del dispositivo de configuración, y el segundo valor hash es generado por el primer terminal realizando la operación hash en al menos la segunda información de tipo.
4. El método según una cualquiera de las reivindicaciones 1-3, en donde la información recibida desde el segundo terminal incluye además un identificador de red y una clave de par.
5. El método según la reivindicación 4, en donde determinar (103), por el primer terminal según al menos la segunda información de tipo y la segunda información de firma, que el primer terminal debe generar información de clave comprende además:
determinar que el identificador de red es el mismo que un identificador de red del primer terminal, y la clave de par coincide con una clave de red del primer terminal.
6. El método según una cualquiera de las reivindicaciones 1-5, en donde el método comprende además: recibir (201), por el primer terminal, la primera información de firma enviada por el dispositivo de configuración, en donde la primera información de firma es generada por el dispositivo de configuración según al menos la primera información de tipo y la clave privada para la firma del dispositivo de configuración.
7. El método según una cualquiera de las reivindicaciones 1 -6, en donde la información de tipo de función del segundo terminal y/o la información de tipo de la función a la que se puede conectar el segundo terminal son/es:
una estación, un punto de acceso, un dispositivo propietario de grupo entre pares, un dispositivo cliente entre pares, un maestro ancla, un maestro no ancla, un repetidor, un dispositivo central de acoplamiento, un dispositivo acoplado, un periférico, un dispositivo fuente, un dispositivo sumidero, un configurador, un registrado, una capacidad soportada, un servicio soportado, un identificador de conjunto de servicios, o una dirección de control de acceso a medios.
8. Un primer terminal, que comprende un receptor (1102), un transmisor (1101), y un procesador (1103), en donde el procesador está conectado al receptor y al transmisor respectivamente;
el receptor (1102) está configurado para recibir una clave pública para la firma de un dispositivo de configuración enviada por el dispositivo de configuración;
el receptor (1102) está configurado además para recibir segunda información de firma y segunda información de tipo desde un segundo terminal, en donde la segunda información de firma es información de firma enviada por el dispositivo de configuración al segundo terminal, la segunda información de firma es generada por el dispositivo de configuración según al menos la segunda información de tipo y una clave privada para la firma del dispositivo de configuración, la segunda información de tipo es información de tipo de función del segundo terminal, y la clave pública para la firma del dispositivo de configuración corresponde a la clave privada para la firma del dispositivo de configuración; y
el procesador (1103) está configurado para determinar, según al menos la segunda información de tipo y la segunda información de firma, que el primer terminal debe generar información de clave, en donde la información de clave se usa para que el primer terminal establezca una conexión de seguridad al segundo terminal;
en donde la operación de determinar según al menos la segunda información de tipo y la segunda información de firma, que el primer terminal debe generar información de clave comprende:
determinar que la primera información de tipo coincide con la segunda información de tipo y que la segunda información de firma es correcta, en donde la primera información de tipo es información de tipo de función del primer terminal.
9. El primer terminal según la reivindicación 8, en donde la operación de determinar que la primera información de tipo coincide con la segunda información de tipo comprende:
si la información de tipo de función del segundo terminal es un punto de acceso, AP, y la información de tipo de función del primer terminal es una estación, STA, determinar que el primer terminal coincide con el segundo terminal; o, si la información de tipo de función del segundo terminal es un propietario de grupo entre pares, P2P GO, y la información de tipo de función del primer terminal es un cliente P2P, determinar que el primer terminal coincide con el segundo terminal.
10. El primer terminal según una cualquiera de las reivindicaciones 8 o 9, en donde la segunda información de firma es correcta comprende:
un primer valor hash es igual a un segundo valor hash, en donde el primer valor hash es un valor hash generado por el dispositivo de configuración realizando una operación hash en al menos la segunda información de tipo y se obtiene por el primer terminal descifrando la segunda información de firma usando la clave pública para la firma del dispositivo de configuración, y el segundo valor hash es generado por el primer terminal realizando la operación hash en al menos la segunda información de tipo.
11. El primer terminal según una cualquiera de las reivindicaciones 8-10, en donde la información recibida desde el segundo terminal incluye además un identificador de red y una clave de par.
12. El primer terminal según la reivindicación 11, en donde la operación de determinar según al menos la segunda información de tipo y la segunda información de firma, que el primer terminal debe generar información de clave comprende además:
determinar que el identificador de red es el mismo que un identificador de red del primer terminal, y la clave de par coincide con una clave de red del primer terminal.
13. El primer terminal según una cualquiera de las reivindicaciones 8-12, en donde
el receptor (1102) está configurado además para recibir la primera información de firma enviada por el dispositivo de configuración, en donde la primera información de firma es generada por el dispositivo de configuración según al menos una primera información de tipo y la clave privada para la firma del dispositivo de configuración.
14. El primer terminal según la reivindicación 13, en donde
el transmisor (1101) está configurado para enviar la primera información de firma al segundo terminal.
15. Un dispositivo de configuración, que comprende un transmisor, un receptor, y un procesador, en donde el procesador está conectado al transmisor y al receptor respectivamente;
el receptor está configurado para obtener información de tipo de un terminal, en donde la información de tipo es información de tipo de función del terminal y/o información de tipo de una función a la que se puede conectar el terminal;
el procesador está configurado para generar información de firma según al menos la información de tipo y una clave privada para la firma del dispositivo de configuración; y
el transmisor está configurado para enviar la información de firma y una clave pública para la firma del dispositivo de configuración al terminal, en donde la clave pública para la firma del dispositivo de configuración corresponde a la clave privada para la firma del dispositivo de configuración.
16. El dispositivo de configuración según la reivindicación 15, en donde la información de firma comprende un primer valor hash, y el primer valor hash es un valor hash generado por el dispositivo de configuración realizando una operación hash en al menos la información de tipo.
17. Un terminal, que comprende un transmisor, un receptor, y un procesador, en donde el procesador está conectado al transmisor y al receptor respectivamente;
el transmisor está configurado para transferir información de tipo del terminal a un dispositivo de configuración, en donde la información de tipo es información de tipo de función del terminal y/o información de tipo de una función a la que se puede conectar el terminal; y
el receptor está configurado para recibir información de firma y una clave pública para la firma del dispositivo de configuración que son enviadas por el dispositivo de configuración, en donde la información de firma es generada por el dispositivo de configuración según al menos la información de tipo y una clave privada para la firma del dispositivo de configuración, y la clave pública para la firma del dispositivo de configuración corresponde a la clave privada para la firma del dispositivo de configuración.
18. Un sistema, que comprende un primer terminal según cualquiera de las reivindicaciones de 8 a 14, un dispositivo de configuración según la reivindicación 15 o 16 y un segundo terminal según la reivindicación 17, en donde el sistema está configurado para implementar cualquiera de los métodos de las reivindicaciones 1-7.
ES15901945T 2015-08-24 2015-08-24 Método de autentificación de seguridad, método de configuración y dispositivo relacionado Active ES2835873T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2015/087967 WO2017031674A1 (zh) 2015-08-24 2015-08-24 一种安全认证方法、配置方法以及相关设备

Publications (1)

Publication Number Publication Date
ES2835873T3 true ES2835873T3 (es) 2021-06-23

Family

ID=58091921

Family Applications (1)

Application Number Title Priority Date Filing Date
ES15901945T Active ES2835873T3 (es) 2015-08-24 2015-08-24 Método de autentificación de seguridad, método de configuración y dispositivo relacionado

Country Status (7)

Country Link
US (1) US11343104B2 (es)
EP (3) EP3700124B1 (es)
JP (1) JP6727292B2 (es)
KR (2) KR102210897B1 (es)
CN (2) CN106464690B (es)
ES (1) ES2835873T3 (es)
WO (1) WO2017031674A1 (es)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170034066A (ko) * 2015-09-18 2017-03-28 삼성전자주식회사 전자기기 및 그 제어방법
JP6746427B2 (ja) * 2016-08-10 2020-08-26 キヤノン株式会社 通信装置、通信方法、及びプログラム
CN106850209A (zh) * 2017-02-28 2017-06-13 苏州福瑞思信息科技有限公司 一种身份认证方法及装置
US11109431B2 (en) * 2017-07-06 2021-08-31 Beijing Xiaomi Mobile Software Co., Ltd. Method and apparatus for establishing quick connection between internet of things devices, and device
KR102530441B1 (ko) * 2018-01-29 2023-05-09 삼성전자주식회사 전자 장치와 외부 전자 장치 및 이를 포함하는 시스템
US10834170B2 (en) * 2018-03-19 2020-11-10 Citrix Systems, Inc. Cloud authenticated offline file sharing
CN108494777A (zh) * 2018-03-27 2018-09-04 四川斐讯信息技术有限公司 一种基于智能设备的验证码验证方法及系统
JP7262949B2 (ja) * 2018-09-11 2023-04-24 キヤノン株式会社 通信装置、通信方法及びプログラム
JP7278087B2 (ja) * 2019-01-31 2023-05-19 キヤノン株式会社 通信装置およびその制御方法、プログラム
CN110234110B (zh) * 2019-06-26 2021-11-02 恒宝股份有限公司 一种移动网络自动切换方法
SE544340C2 (en) * 2019-11-19 2022-04-12 Assa Abloy Ab Secure configuration of a target device performed by a user device
SE545260C2 (en) * 2021-03-01 2023-06-13 Assa Abloy Ab Privacy-enhanced delegation of access right to unlock a physical lock involving a delegator, a delegatee, a derivation scalar and public and secret keys
WO2023091613A1 (en) * 2021-11-17 2023-05-25 X70.Io Ltd. Method for securing security token and smartcard into processing device, and system, terminal and computer-readable medium for the same

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CZ11597A3 (en) * 1994-07-19 1997-09-17 Bankers Trust Co Method of safe use of digital designation in a commercial coding system
US6671805B1 (en) * 1999-06-17 2003-12-30 Ilumin Corporation System and method for document-driven processing of digitally-signed electronic documents
US6789193B1 (en) * 2000-10-27 2004-09-07 Pitney Bowes Inc. Method and system for authenticating a network user
US7246230B2 (en) * 2002-01-29 2007-07-17 Bea Systems, Inc. Single sign-on over the internet using public-key cryptography
WO2007035655A2 (en) * 2005-09-16 2007-03-29 The Trustees Of Columbia University In The City Of New York Using overlay networks to counter denial-of-service attacks
EP1833222A1 (en) * 2006-03-10 2007-09-12 Abb Research Ltd. Access control protocol for embedded devices
US7992194B2 (en) * 2006-03-14 2011-08-02 International Business Machines Corporation Methods and apparatus for identity and role management in communication networks
JP4963425B2 (ja) * 2007-02-23 2012-06-27 日本電信電話株式会社 セッション鍵共有システム、第三者機関装置、要求側装置、および応答側装置
CN101378315B (zh) * 2007-08-27 2011-09-14 华为技术有限公司 认证报文的方法、系统、设备和服务器
CN101319582B (zh) * 2008-07-10 2011-06-22 宇龙计算机通信科技(深圳)有限公司 一种安全系统及其开锁方法
CN101772024B (zh) 2008-12-29 2012-10-31 中国移动通信集团公司 一种用户身份确定方法及装置和系统
JP2011004317A (ja) * 2009-06-22 2011-01-06 Hitachi Ltd 認証システム、記憶媒体、認定装置、および検証装置
US9912654B2 (en) * 2009-11-12 2018-03-06 Microsoft Technology Licensing, Llc IP security certificate exchange based on certificate attributes
CN102215274B (zh) * 2010-04-07 2014-04-30 苹果公司 用于邀请用户到在线会话的设备和方法
CN102065126A (zh) * 2010-11-19 2011-05-18 东莞宇龙通信科技有限公司 用于移动终端的远程登录方法、远程登录系统和移动终端
US8493353B2 (en) * 2011-04-13 2013-07-23 Longsand Limited Methods and systems for generating and joining shared experience
US10068084B2 (en) * 2011-06-27 2018-09-04 General Electric Company Method and system of location-aware certificate based authentication
MY172974A (en) * 2012-07-13 2019-12-16 Mimos Berhad A system and method for authentication using non-reusable random generated mobile sms key
CN103702291B (zh) * 2012-09-27 2017-06-09 中兴通讯股份有限公司 一种基于Wi‑Fi建立群组的方法和WiFi直连设备
WO2014068632A1 (ja) * 2012-10-29 2014-05-08 三菱電機株式会社 設備管理装置、設備管理システム及びプログラム
CN104349319B (zh) * 2013-08-01 2018-10-30 华为终端(东莞)有限公司 一种用于配置多设备的方法、设备和系统
CN105684344B (zh) * 2013-10-28 2019-06-11 华为终端有限公司 一种密钥配置方法和装置
CN103532975B (zh) 2013-10-28 2016-08-17 国家电网公司 一种可动态平滑扩展的数据采集系统及方法
EP3065334A4 (en) 2013-10-30 2016-11-09 Huawei Device Co Ltd BUTTON CONFIGURATION METHOD, SYSTEM AND APPARATUS
CN103580872B (zh) * 2013-11-11 2016-12-07 北京华大智宝电子系统有限公司 一种用于密钥生成与管理的系统及方法
US20150229475A1 (en) 2014-02-10 2015-08-13 Qualcomm Incorporated Assisted device provisioning in a network
US9413536B2 (en) * 2014-06-12 2016-08-09 Cisco Technology, Inc. Remote secure device management in smart grid ami networks
CN104539701B (zh) 2014-12-29 2018-04-27 飞天诚信科技股份有限公司 一种在线激活移动终端令牌的设备和系统的工作方法

Also Published As

Publication number Publication date
EP3982590B1 (en) 2023-06-07
CN111465014B (zh) 2021-12-28
CN106464690B (zh) 2020-04-10
EP3700124B1 (en) 2021-10-06
EP3982590A1 (en) 2022-04-13
EP3334084B1 (en) 2020-10-07
KR102210897B1 (ko) 2021-02-01
KR102062162B1 (ko) 2020-01-03
WO2017031674A1 (zh) 2017-03-02
JP2018525939A (ja) 2018-09-06
EP3334084A1 (en) 2018-06-13
EP3700124A1 (en) 2020-08-26
US11343104B2 (en) 2022-05-24
CN111465014A (zh) 2020-07-28
JP6727292B2 (ja) 2020-07-22
EP3334084A4 (en) 2018-07-25
KR20180030192A (ko) 2018-03-21
KR20200000502A (ko) 2020-01-02
CN106464690A (zh) 2017-02-22
US20180241570A1 (en) 2018-08-23

Similar Documents

Publication Publication Date Title
ES2835873T3 (es) Método de autentificación de seguridad, método de configuración y dispositivo relacionado
US10218501B2 (en) Method, device, and system for establishing secure connection
US11765172B2 (en) Network system for secure communication
KR101350538B1 (ko) 직접 링크 통신의 향상된 보안
US20150358820A1 (en) Method for Establishing Connection Between Devices, Configuration Device, and Wireless Device
TW201703557A (zh) 分布組態器本體
CA2922826C (en) Wireless terminal configuration method, apparatus, and wireless terminal
TW201921890A (zh) 用於向網路登記客戶端設備的方法、設備、及電腦程式產品
US20170099137A1 (en) Secure connection method for network device, related apparatus, and system
JP2018526846A (ja) ワイヤレスデバイスのコンフィギュレーションおよび認証
CN116438822A (zh) 应用于WiFi的安全认证的方法和装置
CN117641345A (zh) 无线设备的网络接入信息的传输
KR20130062965A (ko) 무선 네트워크 접속 인증 방법 및 그 시스템