JP2016540462A - 鍵コンフィギュレーション方法、システム、および装置 - Google Patents

鍵コンフィギュレーション方法、システム、および装置 Download PDF

Info

Publication number
JP2016540462A
JP2016540462A JP2016550902A JP2016550902A JP2016540462A JP 2016540462 A JP2016540462 A JP 2016540462A JP 2016550902 A JP2016550902 A JP 2016550902A JP 2016550902 A JP2016550902 A JP 2016550902A JP 2016540462 A JP2016540462 A JP 2016540462A
Authority
JP
Japan
Prior art keywords
key
configuration
shared
shared key
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2016550902A
Other languages
English (en)
Inventor
高昆 ▲パン▼
高昆 ▲パン▼
志明 丁
志明 丁
Original Assignee
▲華▼▲為▼▲終▼端有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ▲華▼▲為▼▲終▼端有限公司 filed Critical ▲華▼▲為▼▲終▼端有限公司
Publication of JP2016540462A publication Critical patent/JP2016540462A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/77Graphical identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本発明は鍵コンフィギュレーション方法、システム及び装置を提供し、本方法は:コンフィギュレーションデバイスによって第2のデバイスの公開鍵を取得し、第2のデバイスの公開鍵を第1のデバイスに送信し;第1のデバイスによって第1の共有鍵を生成し、第2のデバイスの公開鍵を用いて第1の共有鍵を取得するための情報を第2のデバイスに送信し、又は第1のデバイスによって、第2のデバイスの公開鍵を用いて第1の共有鍵を生成して、第1の共有鍵を取得するための情報を第2のデバイスに送信し;及び、第2のデバイスによって、第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて第1の共有鍵を生成し、第1の共有鍵は、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される、ステップを含む。本発明は、第1のデバイスと第2のデバイスとの間のインタラクションのセキュリティを向上させ得る。

Description

本発明は、ネットワーク通信技術の分野に関し、詳細には、鍵コンフィギュレーション方法、システム、および装置に関する。
WiFi(Wireless Fidelity、ワイファイ)技術は、業界をリードする多くの企業によって形成されているWIFIユニオンによる大きなプロモーションの下で、無線ローカルエリアネットワーク規格IEEE802.11によって1997年に策定されたため、および迅速な導入、使いやすさ、および高い伝送速度などのWiFi技術の利点のために、この技術は急速に発展している。WiFi技術は、さまざまな産業に広く適用されている。既存のパソコン、PDA(Personal Digital Assistant、パーソナルデジタルアシスタント)、携帯電話等のすべてが、WiFi技術に対応している。WiFiネットワークのアクセスポイントは、ホテル、喫茶店、学校、病院などの場所に配置されている。WiFi技術は、言わば、生活の周りすべてに存在する。
WiFi技術の開発と幅広い適用は、WiFi技術に関連したセキュリティ技術要件の必要性をもたらした。WPA(Wi−Fi Protected Access、WiFi保護アクセス)は、WiFiで使用されるセキュリティ技術であり、これは、ユーザがCredential(アカウント名とパスワードを含むクレデンシャル)および暗号化アルゴリズムのような他のWPA関連パラメータを設定することを必要とする。ただし、ユーザがこれらのパラメータの意味を理解していない場合、ユーザはこれらのパラメータを設定する方法を知らないため、WPAセキュリティ技術の適用を妨げる。ユーザはWPAパラメータを設定する方法を知らないので、結果として、ユーザは、セキュリティ機構の保護を欠いているネットワークを使用することを選択する。WPS(WiFi Protected Setup、WiFi保護セットアップ)は、クレデンシャルの設定においてユーザを支援することを目的とする技術である。WPSは、セキュリティとシンプルさの2つの点に主に焦点を当てており、すなわち、コンフィギュレーションプロセスはシンプルであるべきであり、コンフィギュレーション後のネットワークがセキュアであるべきである。現行では、WPSは、鍵交換アルゴリズムに基づいて、傍受や辞書攻撃などのいくつかの攻撃アクションを、主に妨げる。
現段階では、主に以下の2つのWPS適用のシナリオが含まれている:第1のシナリオでは、クレデンシャルコンフィギュレーションが、WiFiネットワークの、registrar(レジストラ)として機能する、enrollee(エンローリ)として機能する端末とAP(Access Point、アクセスポイント)との間で実行され、このため、セキュア接続を確立するために、端末とAPとの間のクレデンシャルに基づいて、その後に認証を行うことができる。第2のシナリオでは、認証およびコンフィギュレーションプロセスは、P2P(Peer to Peer、ピアツーピア)シナリオで実行される。WiFi技術のP2Pに関する研究は、端末デバイスが、セルラーネットワークまたはホットスポットなどのインフラストラクチャの非存在下で、WiFi機能を使用することによってまたエンドツーエンドの直接検出を実施することを可能にすることを目的としている;このようなシナリオでは、一方の端末デバイスはclient(クライアント)として機能し、他方の端末はGO(Group Owner、グループ所有者)として機能し、鍵コンフィギュレーションは、clientとGOとの間で実行され、このため、clientおよびGOは、コンフィギュレーションされた鍵に基づいて、続いて、相互にデータインタラクションを実行することができる。
WiFi技術は、スマートグリッド、センサネットワーク、医療ネットワークのような新しい分野に徐々に適用されている。大容量のWiFiデバイスは、ヘッドレスデバイス(Headless Devices)であり、ここで、いわゆるヘッドレスデバイスは、表示画面およびキーボードなどのマンマシンインタフェースなしのデバイス、または近距離無線通信をサポートしないデバイスである。サードパーティのコンフィギュレーションデバイスは、これらのヘッドレスデバイス間の接続を実現するために必要とされ、例えば、APは、コンフィギュレーションデバイスを使用してセットトップボックスに接続されるか、またはセンサは、コンフィギュレーションデバイスを使用して接続される。サードパーティのコンフィギュレーションデバイスの支援を受けて2つのデバイス間で実行されるこのような鍵コンフィギュレーションについては、従来技術では、次の方法を使用している:
図1に示すように、コンフィギュレーションデバイスは、第1のデバイス上の2次元コードをスキャンし、2次元コードに含まれる第1のデバイスのパスワード情報を取得し、第2のデバイス上の2次元コードをスキャンし、2次元コードに含まれる第2のデバイスのパスワード情報を取得する;コンフィギュレーションデバイスは、第1のデバイスのパスワード情報に基づいて、第1のデバイスとのWPSインタラクションプロセスを実行し、鍵key1を生成し、第1のデバイスのパスワード情報を用いてkey1を暗号化し、その後、暗号化された鍵を第1のデバイスに送信する;コンフィギュレーションデバイスは、第2のデバイスのパスワード情報に基づいて、第2のデバイスとのWPSインタラクションプロセスを実行し、鍵key2を生成し、第2のデバイスのパスワード情報を用いてkey2を暗号化し、その後、暗号化された鍵を第2のデバイスに送信する。その後、第1のデバイスおよび第2のデバイスは、key1およびkey2に基づいて、互いにセキュア接続を実行し、すなわち、key1およびkey2に基づいてインタラクションを実行する。
ただし、上記の方法での第1のデバイスおよび第2のデバイスのパスワード情報はオープン状態であり、容易かつ不正に取得される。つまり、サードパーティのデバイスは、パスワード情報を取得し、鍵を生成し、その後、第1のデバイスと第2のデバイスに鍵を送信することができ、その結果、第1のデバイスと第2のデバイスとの間のインタラクションで容易に傍受すること、および不十分なセキュリティをもたらす。
そこで、第1のデバイスと第2のデバイスとの間のインタラクションのセキュリティを向上させるために、本発明の実施形態は、サードパーティのコンフィギュレーションデバイスに基づく、鍵コンフィギュレーション方法、システム、および装置を提供する。
第1の態様によれば、本発明の実施形態は鍵コンフィギュレーション方法を提供し、ここで、鍵コンフィギュレーション方法は:
コンフィギュレーションデバイスが第2のデバイスの公開鍵を取得した後に、コンフィギュレーションデバイスによって送信される第2のデバイスの公開鍵を第1のデバイスによって受信するステップ;および、第2のデバイスの公開鍵を用いて第1の共有鍵を取得するための情報を第2のデバイスに送信するか、または、第1のデバイスによって、第2のデバイスの公開鍵を用いて第1の共有鍵を生成して、第1の共有鍵を取得するための情報を第2のデバイスに送信するステップ
を含み、
このため、第2のデバイスは、第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて第1の共有鍵を生成し、ここで、第1の共有鍵は、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される。
第1の態様に関連して、第1の可能な実施態様では、第2のデバイスの公開鍵を用いて、第1のデバイスによって、第1の共有鍵を取得するための情報を第2のデバイスに送信するステップは:第1のデバイスによってパスワードを生成するステップと;そのパスワードを第1の共有鍵として使用するステップと;暗号化結果を取得するために、第2のデバイスの公開鍵を用いてパスワードを暗号化するステップと;その暗号化結果を第2のデバイスに送信するステップとを含み;
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップは:パスワードを取得するために、第2のデバイスの秘密鍵を用いて、第2のデバイスによって暗号化結果を復号化し、そのパスワードを第1の共有鍵として使用するステップを含むか;または、
第1のデバイスによって第1の共有鍵を生成して、第2のデバイスの公開鍵を用いて第1の共有鍵を取得するための情報を第2のデバイスに送信するステップは:第1のデバイスによってパスワードを生成するステップと;暗号化結果を取得するために、第2のデバイスの公開鍵を用いてパスワードを暗号化するステップと;暗号化結果を第2のデバイスに送信するステップと;鍵導出アルゴリズムを用いてパスワードのための導出鍵を生成するステップと;その導出鍵を第1の共有鍵として使用するステップとを含み;
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップは:パスワードを取得するために、第2のデバイスの秘密鍵を用いて、第2のデバイスによって暗号化結果を復号化するステップ;鍵導出アルゴリズムを用いてパスワードのための導出鍵を生成するステップ;および、導出鍵を第1の共有鍵として使用するステップを含む。
第1の態様に関連して、第2の可能な実施態様では、第1のデバイスによって第1の共有鍵を生成して、第2のデバイスの公開鍵を用いて第1の共有鍵を取得するための情報を第2のデバイスに送信するステップは:第1のデバイスによってランダマイザを生成するステップと;第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成するステップと;第2のデバイスの公開鍵を用いてランダマイザを暗号化し、その後、暗号化結果を第2のデバイスに送信するステップとを含み;
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップは:ランダマイザを取得するために、第2のデバイスの秘密鍵を用いて、第2のデバイスによって暗号化結果を復号化するステップ;および、第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成するステップを含む。
第1の態様に関連して、第3の可能な実施態様では、第2のデバイスの公開鍵を用いて、第1の共有鍵を取得するための情報を第2のデバイスに送信するステップは:第2のデバイスの公開鍵を用いて第1のデバイスの公開鍵を、第1のデバイスによって暗号化し、その後、暗号化結果を第2のデバイスに送信するステップを含み;
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップは:第1のデバイスの公開鍵を取得するために、第2のデバイスの秘密鍵を用いて、第2のデバイスによって暗号化結果を復号化するステップと;パスワードを生成するステップと;そのパスワードを第1の共有鍵として使用するステップとを含み;
方法は:第2のデバイスが第1のデバイスの公開鍵を用いてパスワードを暗号化した後に取得される暗号化結果を、第1のデバイスによって受信するステップ;第1のデバイスの秘密鍵を用いて、受信した暗号化結果を復号化するステップ;および、取得したパスワードを第1の共有鍵として使用するステップをさらに含む。
第1の態様に関連して、第4の可能な実施態様では、方法は:第1のデバイスおよび第2のデバイスによって、鍵交換アルゴリズムを事前認証するステップをさらに含み;
第2のデバイスの秘密鍵を用いて、第1のデバイスによって第1の共有鍵を生成し、第1の共有鍵を取得するための情報を第2のデバイスに送信するステップは:第2のデバイスの公開鍵および第1のデバイスの秘密鍵を用いて鍵交換アルゴリズムに従って、第1のデバイスによって第1の共有鍵を生成するステップ;および、第1のデバイスの公開鍵を第2のデバイスに送信するステップを含み;
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップは:第2のデバイスの秘密鍵および第1のデバイスの公開鍵を用いて、鍵交換アルゴリズムに従って、第2のデバイスによって第1の共有鍵を生成するステップを含む。
第1の態様の第4の可能な実施態様に関連して、第5の可能な実施態様では、第1のデバイスおよび第2のデバイスによって、鍵交換アルゴリズムを事前認証するステップは:
第1のデバイスおよび第2のデバイスにおいて、鍵交換アルゴリズムによって使用されるパラメータを事前構成するステップ;または、
鍵交換アルゴリズムによって使用されるパラメータを、コンフィギュレーションデバイスによって、第1のデバイスおよび第2のデバイスに送信するステップ
を含む。
第1の態様、第1の態様の第1の可能な実施態様、第1の態様の第2の可能な実施態様、第1の態様の第3の可能な実施態様、第1の態様の第4の可能な実施態様、または第1の態様の第5の可能な実施態様に関連して、第6の可能な実施態様では、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用されている第1の共有鍵は:
第1の共有鍵を取得した後に、第1のデバイスによってクレデンシャルを生成するステップ;第1の共有鍵または第1の共有鍵の導出鍵を用いてクレデンシャルを暗号化し、その後、暗号化結果を第2のデバイスに送信するステップであって、このため、第2のデバイスは、クレデンシャルを取得するために、取得した第1の共有鍵または第1の共有鍵の導出鍵を用いて暗号化結果を復号化し、ここで、クレデンシャルは、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される、ステップ;または、
クレデンシャルを取得するために、取得した第1の共有鍵または第1の共有鍵の導出鍵を用いて、第2のデバイスによって送信される、クレデンシャルの暗号化結果を、第1のデバイスによって復号化するステップであって、クレデンシャルの暗号化結果は、第2のデバイスが、第1の共有鍵を取得し、クレデンシャルを生成し、その後、第1の共有鍵または第1の共有鍵の導出鍵を用いてクレデンシャルを暗号した後に取得され、クレデンシャルは、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される、ステップ、
を含む。
第1の態様の第6の可能な実施態様に関連して、第7の可能な実施態様では、第1のデバイスが、レジストラRegistrar、中央ノード、またはグループ所有者GOである場合、第1のデバイスは、クレデンシャルを生成し、クレデンシャルの暗号化結果を第2のデバイスに送信するか;または、
第2のデバイスが、Registrar、中央ノード、またはGOである場合、第2のデバイスは、クレデンシャルを生成し、クレデンシャルの暗号化結果を第1のデバイスに送信する。
第1の態様、第1の態様の第1の可能な実施態様、第1の態様の第2の可能な実施態様、第1の態様の第3の可能な実施態様、第1の態様の第4の可能な実施態様、第1の態様の第5の可能な実施態様、第1の態様の第6の可能な実施態様、または第1の態様の第7の可能な実施態様に関連して、第8の可能な実施態様では、コンフィギュレーションデバイスが第2のデバイスの公開鍵を取得した後に、コンフィギュレーションデバイスによって送信される第2のデバイスの公開鍵を、第1のデバイスによって受信するステップは、特に:
コンフィギュレーションデバイスが第2のデバイスの公開鍵と第1のデバイスの公開鍵を取得した後に、コンフィギュレーションデバイスによって送信される暗号化結果を、第1のデバイスによって受信するステップであって、暗号化結果は、コンフィギュレーションデバイスが第1のデバイスの公開鍵を用いて第2のデバイスの公開鍵を暗号化した後に取得される、ステップであり;および、
方法は:第2のデバイスの公開鍵を取得するために、第1のデバイスによって暗号化結果を復号化するステップをさらに含む。
第1の態様、第1の態様の第1の可能な実施態様、第1の態様の第2の可能な実施態様、第1の態様の第3の可能な実施態様、第1の態様の第4の可能な実施態様、第1の態様の第5の可能な実施態様、第1の態様の第6の可能な実施態様、第1の態様の第7の可能な実施態様、または第1の態様の第8の可能な実施態様に関連して、第9の可能な実施態様では、コンフィギュレーションデバイスが第2のデバイスの公開鍵を取得した後に、コンフィギュレーションデバイスによって送信される第2のデバイスの公開鍵を、第1のデバイスによって受信するステップは、特に:
第2の共有鍵を生成するように、第1のデバイスによって、コンフィギュレーションデバイスへのセキュア接続を確立するステップ;および、
コンフィギュレーションデバイスが第2のデバイスの公開鍵を取得した後に、コンフィギュレーションデバイスによって送信される暗号化結果を、第1のデバイスによって受信するステップであって、暗号化結果は、コンフィギュレーションデバイスが第2の共有鍵を用いて第2のデバイスの公開鍵を暗号化した後に取得される、ステップであり;および、
方法は:第2のデバイスの公開鍵を取得するために、第2の共有鍵を用いて受信した暗号化結果を、第1のデバイスによって復号化するステップをさらに含む。
第1の態様の第9の可能な実施態様に関連して、第10の可能な実施態様では、第2の共有鍵を生成するように、第1のデバイスによって、コンフィギュレーションデバイスへのセキュア接続を確立するステップは:
クレデンシャルを共有するためにワイファイの手段によってコンフィギュレーションデバイスとのWPSインタラクション方法を、第1のデバイスによってセキュアに確立し、そのクレデンシャルを第2の共有鍵として使用するステップ;または、
コンフィギュレーションデバイスによって送信されるコンフィギュレーションデバイスの公開鍵を、第1のデバイスによって受信するステップ;および、コンフィギュレーションデバイスの公開鍵および第1のデバイスの秘密鍵を用いて、事前認証された鍵交換アルゴリズムに従って、第1のデバイスによって第2の共有鍵を生成するステップであって、このため、コンフィギュレーションデバイスは、第1のデバイスの公開鍵を取得した後に、第1のデバイスの公開鍵およびコンフィギュレーションデバイスの秘密鍵を用いて、事前認証された鍵交換アルゴリズムに従って、第2の共有鍵を生成するステップ、
を含む。
第1の態様の第4の可能な実施態様に関連して、第11の可能な実施態様では、第2のデバイスの公開鍵を第1のデバイスによって取得するステップの後に、方法は:新たな公開鍵および新たな秘密鍵を第1のデバイスによって生成するステップをさらに含み;
第1のデバイスによって第2のデバイスに送信される第1のデバイスの公開鍵が、新たな公開鍵であり;第1の共有鍵を生成するために第2のデバイスによって使用される第1のデバイスの公開鍵が、新たな公開鍵であり;第1の共有鍵を生成するために第1のデバイスによって使用される第1のデバイスの秘密鍵が、新たな秘密鍵である。
第1の態様または第1の態様の第1から第11の可能な実施態様のいずれか1つに関連して、第12の可能な実施態様では、第1のデバイスはエンローリenrolleeであり、第2のデバイスはregistrarであり;または、第1のデバイスはクライアントclientであり、第2のデバイスはGOであり;または、第1のデバイスは無線端末であり、第2のデバイスはアクセスポイントであり;または、第1のデバイスは中央ノードであり、第2のデバイスはセンサノードである。
第1の態様または第1の態様の第1から第12の可能な実施態様のいずれか1つに関連して、第13の可能な実施態様では、方法は:第1の共有鍵を取得するための情報を第2のデバイスに送信するステップを実行するように、第2のデバイスのチャネル情報に従って、第1のデバイスによって、第2のデバイスを迅速に発見するステップをさらに含み、ここで、第2のデバイスのチャネル情報は、第2のデバイスからコンフィギュレーションデバイスによって取得され、その後、第1のデバイスに送信される。
第1の態様または第1の態様の第1から第13の可能な実施態様のいずれか1つに関連して、第14の可能な実施態様では、コンフィギュレーションデバイスは、2次元コードをスキャンすることによって、ユニバーサルシリアルバスUSBを使用することによって、または近距離無線通信の手段によって、第1のデバイスまたは第2のデバイスから情報を取得する。
第1の態様または第1の態様の第1から第14の可能な実施態様のいずれか1つに関連して、第15の可能な実施態様では、方法は:第2のデバイスの公開鍵を用いて、第1のデバイスによって検証値を生成し、その検証値を第2のデバイスに送信するステップをさらに含み、
このため、第2のデバイスは、第1の共有鍵を生成する前に、第2のデバイスの公開鍵を用いて受信した検証値を検証し、検証が成功した場合には、第1の共有鍵を生成するステップを実行する。
第2の態様によれば、本発明の実施形態は鍵コンフィギュレーション方法を提供し、ここで、鍵コンフィギュレーション方法は:
コンフィギュレーションデバイスによって第2のデバイスの公開鍵を取得し、第2のデバイスの公開鍵を第1のデバイスに送信するステップを含み、
このため、第1のデバイスは、第2のデバイスの公開鍵を用いて第1の共有鍵を取得するための情報を第2のデバイスに送信するか;または、このため、第1のデバイスは、第2のデバイスの公開鍵を用いて第1の共有鍵を生成して、第1の共有鍵を取得するための情報を第2のデバイスに送信し;および、
このため、第2のデバイスは、第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて第1の共有鍵を生成し、ここで、第1の共有鍵は、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される。
第2の態様に関連して、第1の可能な実施態様では、第2のデバイスの公開鍵を用いて、第1のデバイスによって、第1の共有鍵を取得するための情報を第2のデバイスに送信するステップは:第1のデバイスによってパスワードを生成するステップと;そのパスワードを第1の共有鍵として使用するステップと;暗号化結果を取得するために、第2のデバイスの公開鍵を用いてパスワードを暗号化するステップと;その暗号化結果を第2のデバイスに送信するステップとを含み;
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップは:パスワードを取得するために、第2のデバイスの秘密鍵を用いて、第2のデバイスによって暗号化結果を復号化し、そのパスワードを第1の共有鍵として使用するステップを含むか;または、
第1のデバイスによって第1の共有鍵を生成して、第2のデバイスの公開鍵を用いて第1の共有鍵を取得するための情報を第2のデバイスに送信するステップは:第1のデバイスによってパスワードを生成するステップと;暗号化結果を取得するために、第2のデバイスの公開鍵を用いてパスワードを暗号化するステップと;暗号化結果を第2のデバイスに送信するステップと;鍵導出アルゴリズムを用いてパスワードのための導出鍵を生成するステップと;その導出鍵を第1の共有鍵として使用するステップとを含み;
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップは:パスワードを取得するために、第2のデバイスの秘密鍵を用いて、第2のデバイスによって暗号化結果を復号化するステップ;鍵導出アルゴリズムを用いてパスワードのための導出鍵を生成するステップ;および、導出鍵を第1の共有鍵として使用するステップを含む。
第2の態様に関連して、第2の可能な実施態様では、第1のデバイスによって第1の共有鍵を生成して、第2のデバイスの公開鍵を用いて第1の共有鍵を取得するための情報を第2のデバイスに送信するステップは:第1のデバイスによってランダマイザを生成するステップと;第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成するステップと;第2のデバイスの公開鍵を用いてランダマイザを暗号化し、その後、暗号化結果を第2のデバイスに送信するステップとを含み;および
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップは:ランダマイザを取得するために、第2のデバイスの秘密鍵を用いて、第2のデバイスによって暗号化結果を復号化するステップ;および、第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成するステップを含む。
第2の態様に関連して、第3の可能な実施態様では、第1の共有鍵を取得するための情報を、第2のデバイスの公開鍵を用いて、第1のデバイスによって第2のデバイスに送信するステップは:第2のデバイスの公開鍵を用いて第1のデバイスの公開鍵を、第1のデバイスによって暗号化し、その後、暗号化結果を第2のデバイスに送信するステップを含み;
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップは:第1のデバイスの公開鍵を取得するために、第2のデバイスの秘密鍵を用いて、第2のデバイスによって暗号化結果を復号化するステップと;パスワードを生成するステップと;そのパスワードを暗号化して、その後、暗号化結果を第1のデバイスに送信するステップとを含み;
このため、第1のデバイスは、第1のデバイスの秘密鍵を用いて、受信した暗号化結果を復号化し、その後、取得したパスワードを第1の共有鍵として使用する。
第2の態様に関連して、第4の可能な実施態様では、方法は:第1のデバイスおよび第2のデバイスによって、鍵交換アルゴリズムを事前認証するステップをさらに含み;
第2のデバイスの秘密鍵を用いて、第1のデバイスによって第1の共有鍵を生成し、第1の共有鍵を取得するための情報を第2のデバイスに送信するステップは:第2のデバイスの公開鍵および第1のデバイスの秘密鍵を用いて鍵交換アルゴリズムに従って、第1のデバイスによって第1の共有鍵を生成するステップ;および、第1のデバイスの公開鍵を第2のデバイスに送信するステップを含み;
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップは:第2のデバイスの秘密鍵および第1のデバイスの公開鍵を用いて、鍵交換アルゴリズムに従って、第2のデバイスによって第1の共有鍵を生成するステップを含む。
第2の態様の第4の可能な実施態様に関連して、第5の可能な実施態様では、第1のデバイスおよび第2のデバイスによって、鍵交換アルゴリズムを事前認証するステップは:
第1のデバイスおよび第2のデバイスにおいて、鍵交換アルゴリズムによって使用されるパラメータを事前構成するステップ;または、
鍵交換アルゴリズムによって使用されるパラメータを、コンフィギュレーションデバイスによって、第1のデバイスおよび第2のデバイスに送信するステップ
を含む。
第2の態様または第2の態様の第1から第5の可能な実施態様のいずれか1つに関連して、第6の可能な実施態様では、コンフィギュレーションデバイスは第1のデバイスの公開鍵を取得し;および、
コンフィギュレーションデバイスによって、第2でのデバイスの公開鍵を第1のデバイスに送信するステップは:第1のデバイスの公開鍵を用いて、コンフィギュレーションデバイスによって、第2のデバイスの公開鍵を暗号化し、その後暗号化結果を第1のデバイスに送信するステップを含み、このため、第1のデバイスは、第2のデバイスの公開鍵を取得するために、暗号化結果を復号化する。
第2の態様または第2の態様の第1から第5の可能な実施態様のいずれか1つに関連して、第7の可能な実施態様では、方法は:第2の共有鍵を生成するように、コンフィギュレーションデバイスによって、第1のデバイスへのセキュア接続を確立するステップをさらに含み;
第2のデバイスの公開鍵を第1のデバイスに送信するステップは:第2の共有鍵を用いて、コンフィギュレーションデバイスによって、第2のデバイスの公開鍵を暗号化し、その後、暗号化結果を第1のデバイスに送信するステップを含み、このため、第1のデバイスは、第2のデバイスの公開鍵を取得するために、第2の共有鍵を用いて、受信した暗号化結果を復号化する。
第2の態様の第7の可能な実施態様に関連して、第8の可能な実施態様では、第2の共有鍵を生成するように、コンフィギュレーションデバイスによって、第1のデバイスへのセキュア接続を確立するステップは:
コンフィギュレーションデバイスによって、WPSインタラクション方法で、第1のデバイスとクレデンシャルを共有し、そのクレデンシャルを第2の共有鍵として使用するステップ;または、
コンフィギュレーションデバイスによって、コンフィギュレーションデバイスの公開鍵を第1のデバイスに送信するステップであって、このため、コンフィギュレーションデバイスは、第1のデバイスの公開鍵とコンフィギュレーションデバイスの秘密鍵を用いて、事前認証された鍵交換アルゴリズムに従って、第2の共有鍵を生成し、第1のデバイスは、コンフィギュレーションデバイスの公開鍵と第1のデバイスの秘密鍵を用いて、事前認証された鍵交換アルゴリズムに従って、第2の共有鍵を生成する、ステップ、
を含む。
第2の態様または第2の態様の第1から第8の可能な実施態様のいずれか1つに関連して、第9の可能な実施態様では、第1のデバイスはエンローリenrolleeであり、第2のデバイスはregistrarであり;または、第1のデバイスはクライアントclientであり、第2のデバイスはGOであり;または、第1のデバイスは無線端末であり、第2のデバイスはアクセスポイントであり;または、第1のデバイスは中央ノードであり、第2のデバイスはセンサノードである。
第2の態様または第2の態様の第1から第9の可能な実施態様のいずれか1つに関連して、第10の可能な実施態様では、方法は:コンフィギュレーションデバイスによって、第2のデバイスのチャネル情報を取得し、そのチャネル情報を第1のデバイスに送信するステップをさらに含み、このため、第1のデバイスは、第1の共有鍵を取得するための情報を第2のデバイスに送信するステップを実行するように、第2のデバイスのチャネル情報に従って、第2のデバイスを迅速に発見する。
第2の態様または第2の態様の第1から第10の可能な実施態様のいずれか1つに関連して、第11の可能な実施態様では、コンフィギュレーションデバイスは、2次元コードをスキャンすることによって、ユニバーサルシリアルバス(USB)を使用することによって、または近距離無線通信の手段によって、第1のデバイスまたは第2のデバイスから情報を取得する。
第3の態様によれば、本発明の実施形態は、鍵コンフィギュレーション方法を提供し、ここで、鍵コンフィギュレーション方法は:
コンフィギュレーションデバイスが、第2のデバイス公開鍵を第1のデバイスに送信するために、第2のデバイスによって、第2のデバイスの公開鍵をコンフィギュレーションデバイスに提供するステップ;
第1の共有鍵を取得するために使用され、第2のデバイスの公開鍵を用いて第1のデバイスによって送信される情報を、第2のデバイスによって受信するステップ;または、第1のデバイスが第2のデバイスの公開鍵を用いて第1の共有鍵を生成した後に、第1の共有鍵を取得するために使用され、第1のデバイスによって送信される情報を受信するステップ;および、
第2のデバイスの秘密鍵と第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップであって、第1の共有鍵は、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される、ステップ、
を含む。
第3の態様に関連して、第1の可能な実施態様では、第1の共有鍵を取得するために使用され、第2のデバイスの公開鍵を用いて第1のデバイスによって送信される情報を、第2のデバイスによって受信するステップは:第1のデバイスによって送信される暗号化結果を、第2のデバイスによって受信するステップであって、暗号化結果は、第1のデバイスがパスワードを生成し、そのパスワードを第1の共有鍵として使用し、その後、第2のデバイスの公開鍵を用いてパスワードを復号化した後に取得される、ステップ、を含み;および、
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップは:パスワードを取得するために、第2のデバイスの秘密鍵を用いて、第2のデバイスによって暗号化結果を復号化し、そのパスワードを第1の共有鍵として使用するステップを含むか;または、
第1の共有鍵を取得するために使用され、第2のデバイスの公開鍵を用いて第1のデバイスによって送信される情報を、第2のデバイスによって受信するステップは:第1のデバイスによって送信される暗号化結果を、第2のデバイスによって受信するステップであって、暗号化結果は、第1のデバイスがパスワードを生成し、その後、第2のデバイスの公開鍵を用いてパスワードを復号化した後に取得される、ステップ、を含み;および、
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップは:パスワードを取得するために、第2のデバイスの秘密鍵を用いて、第2のデバイスによって暗号化結果を復号化するステップ;鍵導出アルゴリズムを用いてパスワードのための導出鍵を生成するステップ;および、導出鍵を第1の共有鍵として使用するステップを含む。
第3の態様に関連して、第2の可能な実施態様では、第1の共有鍵を取得するために使用され、第2のデバイスの公開鍵を用いて第1のデバイスによって送信される情報を、第2のデバイスによって受信するステップは:第1のデバイスによって送信される暗号化結果を、第2のデバイスによって受信するステップであって、暗号化結果は、第1のデバイスがランダマイザを生成し、その後、第2のデバイスの公開鍵を用いてそのランダマイザを暗号化した後に取得され、第1のデバイスは、第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成する、ステップ、を含み;および、
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップは:ランダマイザを取得するために、第2のデバイスの秘密鍵を用いて、第2のデバイスによって暗号化結果を復号化するステップ;および、第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成するステップを含む。
第3の態様に関連して、第3の可能な実施態様では、第1の共有鍵を取得するために使用され、第2のデバイスの公開鍵を用いて第1のデバイスによって送信される情報を、第2のデバイスによって受信するステップは:第1のデバイスが、第2のデバイスの公開鍵を用いて第1のデバイスの公開鍵を暗号化した後に取得される暗号化結果を、第2のデバイスによって受信するステップを含み;および、
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップは:第1のデバイスの公開鍵を取得するために、第2のデバイスの秘密鍵を用いて、第2のデバイスによって暗号化結果を復号化するステップと;パスワードを生成するステップと;そのパスワードを第1の共有パスワードとして使用するステップと;第1のデバイスの公開鍵を用いてパスワードを暗号化し、その後、暗号化結果を第1のデバイスに送信するステップとを含み、
このため、第1のデバイスは、第1のデバイスの秘密鍵を用いて、受信した暗号化結果を復号化し、その後、取得したパスワードを第1の共有鍵として使用する。
第3の態様に関連して、第4の可能な実施態様では、方法は:第1のデバイスと第2のデバイスによって、鍵交換アルゴリズムを事前認証するステップをさらに含み;
第1のデバイスが第2のデバイスの公開鍵を用いて第1の共有鍵を生成した後に、第1の共有鍵を取得するために使用され、第1のデバイスによって送信される情報を受信するステップは:第1のデバイスが、第2のデバイスの公開鍵と第1のデバイスの秘密鍵を用いて鍵交換アルゴリズムに従って、第1のデバイスの公開鍵を生成した後に、第2のデバイスによって、第1のデバイスにより送信される第1のデバイスの公開鍵を受信するステップを含み;および、
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップは:第2のデバイスの秘密鍵および第1のデバイスの公開鍵を用いて、鍵交換アルゴリズムに従って、第2のデバイスによって第1の共有鍵を生成するステップを含む。
第3の態様の第4の可能な実施態様に関連して、第5の可能な実施態様では、第1のデバイスおよび第2のデバイスによって、鍵交換アルゴリズムを事前認証するステップは:
第2のデバイスおよび第1のデバイスにおいて、鍵交換アルゴリズムによって使用されるパラメータを事前構成するステップ;または、
鍵交換アルゴリズムによって使用され、コンフィギュレーションデバイスによって送信されるパラメータを、第2のデバイスおよび第1のデバイスによって受信するステップ
を含む。
第3の態様または第3の態様の第1から第5の可能な実施態様のいずれか1つに関連して、第6の可能な実施態様では、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される第1の共有鍵は:
第2のデバイスによって、第1のデバイスによって送信される暗号化結果を受信するステップであって、暗号化結果は、第1のデバイスが第1の共有鍵を取得し、クレデンシャルを生成し、その後第1の共有鍵または第1の共有鍵の導出鍵を用いてクレデンシャルを暗号化した後に取得される、ステップ;および、
クレデンシャルを取得するために、取得した第1の共有鍵または第1の共有鍵の導出鍵を用いて、第2のデバイスによって、暗号化結果を復号化するステップであって、クレデンシャルは、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される、ステップ;または、
第1の共有鍵を取得した後に、第2のデバイスによってクレデンシャルを生成するステップと;第1の共有鍵または第1の共有鍵の導出鍵を用いてクレデンシャルを暗号化し、その後、暗号化結果を第1のデバイスに送信するステップであって、このため、第1のデバイスは、クレデンシャルを取得するために、取得した第1の共有鍵または第1の共有鍵の導出鍵を用いて暗号化結果を復号化し、ここで、クレデンシャルは、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される、ステップと、
を含む。
第3の態様の第6の可能な実施態様に関連して、第7の可能な実施態様では、第1のデバイスが、レジストラRegistrar、中央ノード、またはグループ所有者GOである場合、第1のデバイスは、クレデンシャルを生成し、クレデンシャルの暗号化結果を第2のデバイスに送信するか;または、
第2のデバイスが、Registrar、中央ノード、またはGOである場合、第2のデバイスは、クレデンシャルを生成し、クレデンシャルの暗号化結果を第1のデバイスに送信する。
第3の態様または第3の態様の第1から第7の可能な実施態様のいずれか1つに関連して、第8の可能な実施態様では、方法は:
第2のデバイスによって、第2のデバイスのチャネル情報をコンフィギュレーションデバイスに提供するステップをさらに含み、このため、コンフィギュレーションデバイスは、第2のデバイスのチャネル情報を第1のデバイスに送信し、その後、第1のデバイスは、第1の共有鍵を取得するための情報を第2のデバイスに送信するステップを実行するように、第2のデバイスのチャネル情報に従って、第2のデバイスを迅速に発見する。
第3の態様または第3の態様の第1から第8の可能な実施態様のいずれか1つに関連して、第9の可能な実施態様では、コンフィギュレーションデバイスは、2次元コードまたはUSBを使用することによって、または近距離無線通信の手段によって、第2のデバイスまたは第1のデバイスから情報を取得する。
第3の態様または第3の態様の第1から第9の可能な実施態様のいずれか1つに関連して、第10の可能な実施態様では、方法は:
第2のデバイスの公開鍵を用いて、第1のデバイスによって生成される検証値を、第2のデバイスによって受信するステップと;第2のデバイスの公開鍵を用いて受信した検証値を、第2のデバイスによって検証するステップと;検証が成功した場合には、第1の共有鍵を生成するステップを実行するステップとをさらに含む。
第4の態様によれば、鍵コンフィギュレーション装置は:
コンフィギュレーションデバイスが第2のデバイスの公開鍵を取得した後にコンフィギュレーションデバイスによって送信される第2のデバイスの公開鍵を受信するように構成される、コンフィギュレーション受信部;および、
第2のデバイスの公開鍵を用いて第1の共有鍵を取得するための情報を第2のデバイスに送信するか、または、第2のデバイスの公開鍵を用いて第1の共有鍵を生成して、第1の共有鍵を取得するための情報を第2のデバイスに送信するように構成された鍵処理部であって、このため、第2のデバイスは、第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて第1の共有鍵を生成し、ここで、第1の共有鍵は、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される、鍵処理部
を含む。
第4の態様に関連して、第1の可能な実施態様では、鍵処理部は、パスワードを生成し、そのパスワードを第1の共有鍵として使用し;暗号化結果を取得するために、第2のデバイスの公開鍵を用いてパスワードを暗号化し;および、暗号化結果を第2のデバイスに送信するように特に構成され、このため、第2のデバイスは、パスワードを取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し、そのパスワードを第1の共有鍵として使用するか;または、
鍵処理部は、パスワードを生成し、暗号化結果を取得するために、第2のデバイスの公開鍵を用いてそのパスワードを暗号化し;その暗号化結果を第2のデバイスに送信し;鍵導出アルゴリズムを用いてパスワードのための導出鍵を生成し;その導出鍵を第1の共有鍵として使用するように特に構成され、このため、第2のデバイスは、パスワードを取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し、鍵導出アルゴリズムを用いてパスワードのための導出鍵を生成して、その導出鍵を第1の共有鍵として使用する。
第4の態様に関連して、第2の可能な実施態様では、鍵処理部は、ランダマイザを生成し;第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成し;第2のデバイスの公開鍵を用いてランダマイザを暗号化し、その後、暗号化結果を第2のデバイスに送信するように特に構成され、このため、第2のデバイスは、ランダマイザを取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し、第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成する。
第4の態様に関連して、第3の可能な実施態様では、鍵処理部は、第2のデバイスの公開鍵を用いて第1のデバイスの公開鍵を暗号化し、その後、暗号化結果を第2のデバイスに送信し;第2のデバイスによって送信される暗号化結果を受信し、ここで、暗号化結果は、第1のデバイスの公開鍵を取得するために、第2のデバイスが、第2のデバイスの秘密鍵を用いて受信した暗号化結果を復号化し、パスワードを生成し、そのパスワードを第1の共有鍵として使用し、その後、第1のデバイスの公開鍵を用いてパスワードを暗号化した後に取得されたものであり;第1のデバイスの秘密鍵を用いて、受信した暗号化結果を復号化し、その後、取得したパスワードを第1の共有鍵として使用するように特に構成される。
第4の態様に関連して、第4の可能な実施態様では、鍵処理部は、第1のデバイスおよび第2のデバイスによって事前認証された鍵交換アルゴリズムに従って、第2のデバイスの公開鍵および第1のデバイスの秘密鍵を用いて、第1の共有鍵を生成し;第1のデバイスの公開鍵を第2のデバイスに送信するように特に構成され、このため、第2のデバイスは、第2のデバイスの秘密鍵および第1のデバイスの公開鍵を用いて、鍵交換アルゴリズムに従って、第1の共有鍵を生成する。
第4の態様の第4の可能な実施態様に関連して、第5の可能な実施態様では、鍵交換アルゴリズムによって使用されるパラメータは、鍵処理部で事前構成されるか;または、
コンフィギュレーション受信部は、鍵交換アルゴリズムによって使用され、コンフィギュレーションデバイスによって送信されるパラメータを受信し、パラメータを鍵処理部に提供するように、さらに構成される。
第4の態様または第4の態様の第1から第5の可能な実施態様のいずれか1つに関連して、第6の可能な実施態様では、鍵コンフィギュレーション装置は:セキュア接続部をさらに含み、
このセキュア接続部は、鍵処理部が第1の共有鍵を取得した後に、クレデンシャルを生成し;第1の共有鍵または第1の共有鍵の導出鍵を用いてクレデンシャルを暗号化し、その後、暗号化結果を第2のデバイスに送信するように構成され、このため、第2のデバイスは、クレデンシャルを取得するために、取得した第1の共有鍵または第1の共有鍵の導出鍵を用いて暗号化結果を復号化し、ここで、クレデンシャルは、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用されるか;または、クレデンシャルを取得するために、取得した第1の共有鍵または第1の共有鍵の導出鍵を用いて、第2のデバイスによって送信される、クレデンシャルの暗号化結果を復号化し、ここで、クレデンシャルの暗号化結果は、第2のデバイスが、第1の共有鍵を取得し、クレデンシャルを生成し、その後、第1の共有鍵および第1の共有鍵の導出鍵を用いてクレデンシャルを暗号化した後に取得され、クレデンシャルは、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される。
第4の態様または第4の態様の第1から第6の可能な実施態様のいずれか1つに関連して、第7の可能な実施態様では、コンフィギュレーション受信部は、コンフィギュレーションデバイスが第2のデバイスの公開鍵および第1のデバイスの公開鍵を取得した後に、コンフィギュレーションデバイスによって送信される暗号化結果を受信するように特に構成され、ここで、暗号化結果は、コンフィギュレーションデバイスが第1のデバイスの公開鍵を用いて第2のデバイスの公開鍵を暗号化した後に取得され;
鍵処理部は、第2のデバイスの公開鍵を取得するために、暗号化結果を復号化するようにさらに構成される。
第4の態様または第4の態様の第1から第6の可能な実施態様のいずれか1つに関連して、第8の可能な実施態様では、コンフィギュレーション受信部は、第2の共有鍵を生成するように、コンフィギュレーションデバイスとのセキュア接続を確立し;コンフィギュレーションデバイスが第2のデバイスの公開鍵を取得した後に、コンフィギュレーションデバイスによって送信される暗号化結果を受信するように特に構成され、ここで、暗号化結果は、コンフィギュレーションデバイスが第2の共有鍵を用いて第2のデバイスの公開鍵を暗号化した後に取得され;
鍵処理部は、第2のデバイスの公開鍵を取得するために、第2の共有鍵を用いて受信した暗号化結果を復号化するようにさらに構成される。
第4の態様の第8の可能な実施態様に関連して、第9の可能な実施態様では、第2の共有鍵を生成するようにコンフィギュレーションデバイスとのセキュア接続を確立するとき、特に、コンフィギュレーション受信部は、クレデンシャルを共有するためにワイファイの手段によってコンフィギュレーションデバイスとのWPSインタラクション方法をセキュアに確立し、そのクレデンシャルを第2の共有鍵として使用するか;または、コンフィギュレーションデバイスによって送信されるコンフィギュレーションデバイスの公開鍵を特に受信し、このため、第1のデバイスは、コンフィギュレーションデバイスの公開鍵および第1のデバイスの秘密鍵を用いて、事前認証された鍵交換アルゴリズムに従って、第2の共有鍵を生成する。
第4の態様の第4の可能な実施態様に関連して、第10の可能な実施態様では、第2のデバイスの公開鍵を取得した後に、鍵処理部は:新たな公開鍵および新たな秘密鍵を生成するようにさらに構成され;
第1のデバイスによって第2のデバイスに送信される第1のデバイスの公開鍵が、新たな公開鍵であり;第1の共有鍵を生成するために第2のデバイスによって使用される第1のデバイスの公開鍵が、新たな公開鍵であり;第1の共有鍵を生成するために第1のデバイスによって使用される第1のデバイスの秘密鍵が、新たな秘密鍵である。
第4の態様または第4の態様の第1から第10の可能な実施態様のいずれか1つに関連して、第11の可能な実施態様では、第1のデバイスはエンローリenrolleeであり、第2のデバイスはregistrarであり;または、第1のデバイスはクライアントclientであり、第2のデバイスはGOであり;または、第1のデバイスは無線端末であり、第2のデバイスはアクセスポイントであり;または、第1のデバイスは中央ノードであり、第2のデバイスはセンサノードである。
第4の態様または第4の態様の第1から第11の可能な実施態様のいずれか1つに関連して、第12の可能な実施態様では、コンフィギュレーション受信部は:第2のデバイスから取得され、その後、コンフィギュレーションデバイスによって送信される、第2のデバイスのチャネル情報を受信するようにさらに構成され;
鍵処理部は、第1の共有鍵を取得するための情報を第2のデバイスに送信する動作を実行するように、第2のデバイスのチャネル情報に従って、第2のデバイスを迅速に発見する。
第4の態様または第4の態様の第1から第12の可能な実施態様のいずれか1つに関連して、第13の可能な実施態様では、鍵処理部は:第2のデバイスの公開鍵を用いて検証値を生成し、その検証値を第2のデバイスに送信するようにさらに構成され、このため、第2のデバイスは、第1の共有鍵を生成する前に、第2のデバイスの公開鍵を用いて受信した検証値を検証し、検証が成功した場合には、第1の共有鍵を生成する動作を実行する。
第5の態様によれば、鍵コンフィギュレーション装置は:
第2のデバイスの公開鍵を取得するように構成された情報取得部;および、第2のデバイスの公開鍵を第1のデバイスに送信するように構成された情報送信部を含み、
このため、第1のデバイスは、第2のデバイスの公開鍵を用いて、第1の共有鍵を取得するための情報を第2のデバイスに送信するか;または、第1のデバイスは、第2のデバイスの公開鍵を用いて第1の共有鍵を生成し、第1の共有鍵を取得するための情報を第2のデバイスに送信し;および、
このため、第2のデバイスは、第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて第1の共有鍵を生成し、ここで、第1の共有鍵は、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される。
第5の態様に関連して、第1の可能な実施態様では、情報送信部は、鍵交換アルゴリズムによって使用されるパラメータを第1のデバイスおよび第2のデバイスに送信するようにさらに構成され、ここで、鍵交換アルゴリズムは、第1のデバイスの秘密鍵および第2のデバイスの公開鍵を用いて、鍵交換アルゴリズムに従って、第1のデバイスが第1の共有鍵を生成することを可能にするため、および、第2のデバイスの秘密鍵および第1のデバイスの公開鍵を用いて、鍵交換アルゴリズムに従って、第2のデバイスが第1の共有鍵を生成することを可能にするために使用される。
第5の態様または第5の態様の第1の可能な実施態様に関連して、第2の可能な実施態様では、情報取得部は、第1のデバイスの公開鍵を取得するようにさらに構成され;および、
情報送信部は、第1のデバイスの公開鍵を用いて第2のデバイスの公開鍵を暗号化し、暗号化結果を第1のデバイスに送信するように特に構成され、このため、第1のデバイスは、第2のデバイスの公開鍵を取得するために、暗号化結果を復号化する。
第5の態様または第5の態様の第1の可能な実施態様に関連して、第3の可能な実施態様では、情報送信部は:第2の共有鍵を生成するように、第1のデバイスへのセキュア接続を確立するようにさらに構成され;第2のデバイスの公開鍵を第1のデバイスに送信するとき、情報送信部は、第2の共有鍵を用いて、第2のデバイスの公開鍵を特に暗号化し、暗号化結果を第1のデバイスに送信し、このため、第1のデバイスは、第2のデバイスの公開鍵を取得するために、第2の共有鍵を用いて、受信した暗号化結果を復号化する。
第5の態様の第3の可能な実施態様に関連して、第4の可能な実施態様では、第2の共有鍵を生成するように第1のデバイスへのセキュア接続を確立するとき、情報送信部は、WPSインタラクション方法で第1のデバイスとクレデンシャルを共有し、そのクレデンシャルを第2の共有鍵として使用するように;または、コンフィギュレーションデバイスの公開鍵を第1のデバイスに送信し、第1のデバイスの公開鍵とコンフィギュレーションデバイスの秘密鍵を用いて、事前認証された鍵交換アルゴリズムに従って、第2の共有鍵を生成するように特に構成される。
第5の態様または第5の態様の第1から第4の可能な実施態様のいずれか1つに関連して、第5の可能な実施態様では、情報取得部は:第2のデバイスのチャネル情報を取得するようにさらに構成され;および、
情報送信部は、第2のデバイスのチャネル情報を第1のデバイスに送信するようにさらに構成され、このため、第1のデバイスは、第1の共有鍵を取得するための情報を第2のデバイスに送信する動作を実行するように、第2のデバイスのチャネル情報に従って、第2のデバイスを迅速に発見する。
第5の態様または第5の態様の第1から第5の可能な実施態様のいずれか1つに関連して、第6の可能な実施態様では、情報取得部は、2次元コードをスキャンすることによって、ユニバーサルシリアルバスUSBを使用することによって、または近距離無線通信の手段によって、第1のデバイスまたは第2のデバイスから情報を取得するように特に構成される。
第6の態様によれば、鍵コンフィギュレーション装置は:
コンフィギュレーションデバイスが第2のデバイスの公開鍵を第1のデバイスに送信するために、第2のデバイスの公開鍵をコンフィギュレーションデバイスに送信するように構成された情報提供部と;
第1の共有鍵を取得するために使用され、第2のデバイスの公開鍵を用いて第1のデバイスによって送信される情報を受信するように;または、第1のデバイスが第2のデバイスの公開鍵を用いて第1の共有鍵を生成した後に、第1の共有鍵を取得するために使用され、第1のデバイスによって送信される情報を受信するように構成された情報受信部と;
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて第1の共有鍵を生成するように構成された鍵生成部であって、第1の共有鍵は、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される、鍵生成部と
を含む。
第6の態様に関連して、第1の可能な実施態様では、情報受信部は、第1のデバイスによって送信される暗号化結果を受信するように特に構成され、ここで、暗号化結果は、第1のデバイスがパスワードを生成し、そのパスワードを第1の共有鍵として使用し、第2のデバイスの公開鍵を用いてパスワードを暗号化した後に取得され;および、
鍵処理部は、パスワードを取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し、そのパスワードを第1の共有鍵として使用するように特に構成され;または、
情報受信部は、第1のデバイスによって送信される暗号化結果を受信するように特に構成され、ここで、暗号化結果は、第1のデバイスがパスワードを生成し、第2のデバイスの公開鍵を用いてパスワードを暗号化した後に取得され;および、
鍵処理部は、パスワードを取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し;鍵導出アルゴリズムを用いてパスワードのための導出鍵を生成し;その導出鍵を第1の共有鍵として使用するように特に構成される。
第6の態様に関連して、第2の可能な実施態様では、情報受信部は、第1のデバイスによって送信される暗号化結果を受信するように特に構成され、ここで、暗号化結果は、第1のデバイスがランダマイザを生成し、第2のデバイスの公開鍵を用いてランダマイザを暗号化した後に取得され、第1のデバイスは、第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成し;および、
鍵処理部は、ランダマイザを取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し;第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成するように特に構成される。
第6の態様に関連して、第3の可能な実施態様では、情報受信部は、第1のデバイスが第2のデバイスの公開鍵を用いて第1のデバイスの公開鍵を暗号化した後に取得される暗号化結果を受信するように特に構成され;および、
鍵処理部は、第1のデバイスの公開鍵を取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し;パスワードを生成し;そのパスワードを第1の共有鍵として使用し;第1のデバイスの公開鍵を用いてパスワードを暗号化し、その後、暗号化結果を第1のデバイスに送信するように特に構成され、このため、第1のデバイスは、第1のデバイスの秘密鍵を用いて受信した暗号化結果を復号化し、その後、取得したパスワードを第1の共有鍵として使用する。
第6の態様に関連して、第4の可能な実施態様では、情報受信部は、第1のデバイスが鍵交換アルゴリズムに従って第2のデバイスの公開鍵と第1のデバイスの秘密鍵を用いて第1の共有鍵を生成した後に、第1のデバイスによって送信される第1のデバイスの公開鍵を受信するように、特に構成され、ここで、鍵交換アルゴリズムは、第1のデバイスおよび第2のデバイスによって事前認証され;および、
鍵処理部は、鍵交換アルゴリズムに従って第2のデバイスの秘密鍵および第1のデバイスの公開鍵を用いて、第1の共有鍵を生成するように特に構成される。
第6の態様の第4の可能な実施態様に関連して、第5の可能な実施態様では、鍵交換アルゴリズムによって使用されるパラメータは、鍵処理部で事前構成されるか;または、
情報受信部は、鍵交換アルゴリズムによって使用され、コンフィギュレーションデバイスによって送信されるパラメータを受信し、パラメータを鍵処理部に提供するように、さらに構成される。
第6の態様または第6の態様の第1から第5の可能な実施態様のいずれか1つに関連して、第6の可能な実施態様では、鍵コンフィギュレーション装置は:セキュア接続部をさらに含み、このセキュア接続部は、
第1のデバイスによって送信される暗号化結果を受信し、ここで、暗号化結果は、第1のデバイスが第1の共有鍵を取得し、クレデンシャルを生成し、その後、第1の共有鍵または第1の共有鍵の導出鍵を用いてクレデンシャルを暗号化した後に取得され;および、クレデンシャルを取得するために、取得した第1の共有鍵または第1の共有鍵の導出鍵を用いて、暗号化結果を復号化し、ここで、クレデンシャルは、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される、ように構成され;または、
鍵処理部が第1の共有鍵を取得した後に、クレデンシャルを生成し;第1の共有鍵または第1の共有鍵の導出鍵を用いてクレデンシャルを暗号化し、その後、暗号化結果を第1のデバイスに送信するように構成され、このため、第1のデバイスは、クレデンシャルを取得するために、取得した第1の共有鍵または第1の共有鍵の導出鍵を用いて暗号化結果を復号化し、ここで、クレデンシャルは、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される。
第6の態様または第6の態様の第1から第6の可能な実施態様のいずれか1つに関連して、第7の可能な実施態様では、情報提供部は:第2のデバイスのチャネル情報をコンフィギュレーションデバイスに提供するようにさらに構成され、このため、コンフィギュレーションデバイスは、第2のデバイスのチャネル情報を第1のデバイスに送信し、その後、第1のデバイスは、第1の共有鍵を取得するための情報を第2のデバイスに送信する動作を実行するように、第2のデバイスのチャネル情報に従って、第2のデバイスを迅速に発見する。
第6の態様または第6の態様の第1から第7の可能な実施態様のいずれか1つに関連して、第8の可能な実施態様では、情報提供部は、2次元コードまたはUSBを使用することによって、または近距離無線通信の手段によって、コンフィギュレーションデバイスに情報を提供するように特に構成される。
第6の態様または第6の態様の第1から第7の可能な実施態様のいずれか1つに関連して、第9の可能な実施態様では、情報受信部は、第2のデバイスの公開鍵を用いて第1のデバイスによって生成される検証値を受信するように、さらに構成され;
鍵処理部は、第2のデバイスの公開鍵を用いて受信した検証値を検証し、検証が成功した場合には、第1の共有鍵を生成する動作を実行するように、さらに構成される。
第7の態様によれば、鍵コンフィギュレーションシステムは:第4の態様に記載の鍵コンフィギュレーション装置、第5の態様に記載の鍵コンフィギュレーション装置、および第6の態様に記載の鍵コンフィギュレーション装置;または、
第4の態様の第1の可能な実施態様に記載の鍵コンフィギュレーション装置、第5の態様に記載の鍵コンフィギュレーション装置、および第6の態様の第1の可能な実施態様に記載の鍵コンフィギュレーション装置;または、
第4の態様の第2の可能な実施態様に記載の鍵コンフィギュレーション装置、第5の態様に記載の鍵コンフィギュレーション装置、および第6の態様の第2の可能な実施態様に記載の鍵コンフィギュレーション装置;または、
第4の態様の第3の可能な実施態様に記載の鍵コンフィギュレーション装置、第5の態様に記載の鍵コンフィギュレーション装置、および第6の態様の第3の可能な実施態様に記載の鍵コンフィギュレーション装置;または、
第4の態様の第4の可能な実施態様に記載の鍵コンフィギュレーション装置、第5の態様に記載の鍵コンフィギュレーション装置、および第6の態様の第4の可能な実施態様に記載の鍵コンフィギュレーション装置;または、
第4の態様の第5の可能な実施態様に記載の鍵コンフィギュレーション装置、第5の態様の第1の可能な実施態様に記載の鍵コンフィギュレーション装置、および第6の態様の第5の可能な実施態様に記載の鍵コンフィギュレーション装置;または、
第4の態様の第6の可能な実施態様に記載の鍵コンフィギュレーション装置、第5の態様に記載の鍵コンフィギュレーション装置、および第6の態様の第6の可能な実施態様に記載の鍵コンフィギュレーション装置;または、
第4の態様の第7の可能な実施態様に記載の鍵コンフィギュレーション装置、第5の態様の第2の可能な実施態様に記載の鍵コンフィギュレーション装置、および第6の態様または第6の態様の第1から第6の可能な実施態様のいずれか1つに記載の鍵コンフィギュレーション装置;または、
第4の態様の第8の可能な実施態様に記載の鍵コンフィギュレーション装置、第5の態様の第3の可能な実施態様に記載の鍵コンフィギュレーション装置、および第6の態様または第6の態様の第1から第6の可能な実施態様のいずれか1つに記載の鍵コンフィギュレーション装置;または、
第4の態様の第9の可能な実施態様に記載の鍵コンフィギュレーション装置、第5の態様の第4の可能な実施態様に記載の鍵コンフィギュレーション装置、および第6の態様または第6の態様の第1から第6の可能な実施態様のいずれか1つに記載の鍵コンフィギュレーション装置;または、
第4の態様の第10の可能な実施態様に記載の鍵コンフィギュレーション装置、第5の態様に記載の鍵コンフィギュレーション装置、および第6の態様の第4の可能な実施態様に記載の鍵コンフィギュレーション装置;または、
第4の態様の第11の可能な実施態様に記載の鍵コンフィギュレーション装置、第5の態様または第5の態様の第1から第4の可能な実施態様のいずれか1つに記載の鍵コンフィギュレーション装置、および第6の態様または第6の態様の第1から第6の可能な実施態様のいずれか1つに記載の鍵コンフィギュレーション装置;または、
第4の態様の第12の可能な実施態様に記載の鍵コンフィギュレーション装置、第5の態様の第5の可能な実施態様に記載の鍵コンフィギュレーション装置、および第6の態様の第7の可能な実施態様に記載の鍵コンフィギュレーション装置;または、
第4の態様の第13の可能な実施態様に記載の鍵コンフィギュレーション装置、第5の態様または第5の態様の第1から第5の可能な実施態様にいずれか1つに記載の鍵コンフィギュレーション装置、および第6の態様の第9の可能な実施態様に記載の鍵コンフィギュレーション装置;または、
第4の態様または第4の態様の第1から第13の可能な実施態様のいずれか1つに記載の鍵コンフィギュレーション装置、第5の態様の第6の可能な実施態様に記載の鍵コンフィギュレーション装置、および第6の態様の第8の可能な実施態様に記載の鍵コンフィギュレーション装置、
を含む。
前述の技術的解決策から分かるように、本発明のサードパーティのコンフィギュレーションデバイスは、公開鍵、および第1のデバイスと第2のデバイスとの間のデバイス情報を提供するように、単に構成され、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される第1の共有鍵は、第1のデバイスと第2のデバイスによって別々に生成され;さらに、第1の共有鍵は、第1のデバイスと第2のデバイスとの間で直接提供されないが、第1の共有鍵を取得するための情報は、第2のデバイスに提供され、第1の共有鍵は、第2のデバイスの秘密鍵を必ず用いて生成される。したがって、アタッカが、コンフィギュレーションデバイスと、第1のデバイスと、第2のデバイスとの間で提供される公開鍵を傍受したとしても、アタッカは、第1の共有鍵を取得することができず、これにより、第1のデバイスと第2のデバイスとの間のインタラクションのセキュリティを向上させることになる。
従来技術におけるサードパーティのコンフィギュレーションデバイスに基づく鍵コンフィギュレーション方法の概略的流れ図である。 本発明の実施形態1による鍵コンフィギュレーション方法の概略的流れ図である。 本発明の実施形態2による鍵コンフィギュレーション方法の概略的流れ図である。 本発明の実施形態3による鍵コンフィギュレーション方法の概略的流れ図である。 本発明の実施形態4による鍵コンフィギュレーション方法の概略的流れ図である。 本発明の実施形態5による鍵コンフィギュレーション方法の概略的流れ図である。 本発明の実施形態6による鍵コンフィギュレーション方法の概略的流れ図である。 本発明の一実施形態によるシステムの概略的構成図である。 本発明の一実施形態による第1のデバイスに配置された鍵コンフィギュレーション装置の概略的構造図である。 本発明の一実施形態によるコンフィギュレーションデバイスに配置された鍵コンフィギュレーション装置の概略的構造図である。 本発明の一実施形態による第2のデバイスに配置された鍵コンフィギュレーション装置の概略的構造図である。 本発明の一実施形態によるコンフィギュレーションデバイスのハードウェアの概略的構造図である。 本発明の一実施形態による第1のデバイスのハードウェアの概略的構造図である。 本発明の一実施形態による第2のデバイスのハードウェアの概略的構造図である。
本発明の目的、技術的解決策、および利点をより明確にするために、以下で、添付の図面および実施形態を参照して本発明を詳細に説明する。
本発明の中心となる概念は、次のとおりである:サードパーティのコンフィギュレーションデバイスが、第2のデバイスの公開鍵を取得し、第2のデバイスの公開鍵を第1のデバイスに送信する;第1のデバイスは、共有鍵を生成して、第2のデバイスの公開鍵を用いて第1の共有鍵を取得するための情報を第2のデバイスに送信するか、または第1のデバイスは、第2のデバイスの公開鍵を用いて第1の共有鍵を生成して、第1の共有鍵を取得するための情報を第2のデバイスに送信する;第1のデバイスは、第2のデバイスのデバイス情報を用いて第1のデバイスの公開鍵を第2のデバイスに送信する;第2のデバイスは、第2のデバイスの秘密鍵と第1の共有鍵を取得するための情報を用いて共有鍵を生成し、共有鍵は、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される。
上記の中心となる概念を用いることにより、本発明は、共有鍵のコンフィギュレーションを行うために鍵交換方法を使用しても、使用しなくてもよい。本発明により提供される方法を、いくつかの特定の実施形態を用いて以下に詳細に説明する。
実施形態1
本実施形態では、鍵交換方法は、共有鍵のコンフィギュレーションを行うために使用される。第1のデバイスと第2のデバイスは、鍵交換アルゴリズムを事前認証する。鍵交換アルゴリズムは、共有鍵の生成中に第1のデバイスと第2のデバイスによって続いて使用されるアルゴリズムであり、これは、D−Hアルゴリズム、RSAアルゴリズム、EIGamalアルゴリズム、などであり得るが、これらに限定されるものではない。鍵交換アルゴリズムがさまざまであるため、事前共有したパラメータもさまざまである。鍵交換アルゴリズムの中核は、次のとおりである:デバイスは、その公開鍵を公開し、その秘密鍵を保持する;それぞれが、他のパーティの公開鍵とそれ自体の秘密鍵を用いて共有鍵を生成し、これにより、安全でないネットワークをトラバースするメッセージのセキュリティを、共有鍵を用いて確実にする。
鍵交換アルゴリズムによって使用されるパラメータを共有する次の2つの方法が含まれ得るが、これらに限定されない:第1の方法では、鍵交換アルゴリズムによって使用されるパラメータは、第1のデバイスと第2のデバイスで事前構成される;および、第2の方法で、サードパーティのコンフィギュレーションデバイスは、鍵交換アルゴリズムによって使用されるパラメータを第1のデバイスと第2のデバイスに送信する。
本発明の実施形態では、D−Hアルゴリズムが一例として使用されている。第1のデバイスおよび第2のデバイスは、パラメータgおよびPを事前共有し、このパラメータgおよびPは、第1のデバイスおよび第2のデバイスで事前共有され、ここで、Pは素数であり、gはPの原始根である。また、第1のデバイスと第2のデバイスはそれぞれ、公開鍵と秘密鍵を有する。第1のデバイスの公開鍵と秘密鍵はそれぞれ、PkeyAとkeyAであり、第2のデバイスの公開鍵と秘密鍵はそれぞれ、PkeyBとkeyBである。前述のコンフィギュレーションは、以下の実施形態2および実施形態3の両方に存在するが、これを再度詳細には説明しない。
図2は、本発明の実施形態1による鍵コンフィギュレーション方法の概略的流れ図である。図2に示すように、プロセスは以下のステップを含むことができる:
ステップ201:コンフィギュレーションデバイスは、第1のデバイスの公開鍵PkeyAと第1のデバイスのデバイス情報を取得する。
デバイス情報は、第1のデバイスの少なくともアドレス情報を含む。
このステップは、この実施形態では任意のステップである。
ステップ202:コンフィギュレーションデバイスは、第2のデバイスの公開鍵PkeyBと第2のデバイスのデバイス情報を取得する。
デバイス情報は、第2のデバイスの少なくともアドレス情報を含む。
本発明は、上記の2つのステップの順序を制限するものではない。2つのステップは任意の順序で連続的に行われてもよいし、同時に行われてもよい。
上記のデバイス情報は、主にアドレス情報であり、これは、非限定的に、UUID(Universally Unique Identifier、汎用一意識別子)、製造元、シリアル番号、デバイス機能、などのデバイス情報をさらに含んでもよい。デバイス機能は、デバイスによってサポートされる、アルゴリズム、認証方法、デバイスロール情報、デバイスタイプ情報、などを指し、ここで、デバイスロール情報は登録時のデバイスのロールを指し、このロールは、enrollee、registrar、client、GO、などであってもよい。デバイスタイプ情報は、WiFi無線端末(例えば、携帯電話、コンピュータ、またはセンサ)、アクセスポイント(wifiネットワークにおけるAP)、センサノード、中央ノード、などであってもよい。本実施形態のコンフィギュレーションデバイスによって取得されるデバイス情報は、主に、アドレス情報である。
第1のデバイスの公開鍵PkeyA、第1のデバイスのデバイス情報、第2のデバイスの公開鍵PkeyB、および第2のデバイスのデバイス情報を、複数の方法で取得することができ、例えば、NFCやUSBなどのセキュアな媒体を用いて取得することができ;特に、ヘッドレスデバイスについては、走査識別コードを用いることが好ましい。つまり、第1のデバイスの公開鍵PkeyAと第1のデバイスのデバイス情報は、第1のデバイスの走査識別コードに符号化され、コンフィギュレーションデバイスは、走査識別コードによって第1のデバイスの公開鍵PkeyAと第1のデバイスのデバイス情報を取得することができ;状況は、第2のデバイスでも同じである。走査識別コードは、例えば、2次元コードやバーコードであってもよい。
ステップ203:コンフィギュレーションデバイスは、第1のデバイスのデバイス情報に従って、第2のデバイスの公開鍵PkeyBと第2のデバイスのデバイス情報を、第1のデバイスに送信する。
このステップでは、セキュリティおよび信頼性をさらに向上させるために、コンフィギュレーションデバイスは、第1のデバイスの公開鍵PkeyAを用いて、第2のデバイスの公開鍵PkeyBと第2のデバイスのデバイス情報を暗号化することができ、その後、第1のデバイスに暗号化結果を送信する。
ここでは、公開鍵を用いた暗号化方法が記載され、主に2つの暗号化方法が存在する:
第1の暗号化方法では、公開鍵が非対称暗号化のための公開鍵である場合、公開鍵を暗号化のために直接使用することができ、復号化のための対応する秘密鍵を使用する必要がある。
第2の暗号化方法では、公開鍵が鍵交換のための公開鍵である場合、暗号化は、公開鍵の一部の情報を用いて行われるか、公開鍵の導出情報に基づいて行われ;復号化時には、復号化のために、対応する秘密鍵ではなく、対称鍵を使用する必要がある。
上記の暗号化方法の1つは、特定の状況に応じて、後に続く暗号化および復号化プロセスで使用され得る。
第2の暗号化方法は、暗号化のために本明細書中で使用される。
ステップ204:第1のデバイスは、第2のデバイスの公開鍵PkeyBを用いて検証値を生成し、生成した検証値を第2のデバイスに送信する。
暗号化結果がコンフィギュレーションデバイスによって送信される場合、第1のデバイスは、第2のデバイスの公開鍵PkeyBと第2のデバイスのデバイス情報を取得するために、暗号化結果を最初に復号化する。
このステップで第2のデバイスの公開鍵PkeyBを用いて生成される検証値は、非限定的に、PkeyBのハッシュ(hash)値であってもよいし、別の予め設定されたアルゴリズムを用いて生成される検証値であってもよい。
ステップ205:第1のデバイスは、第2のデバイスのデバイス情報を用いて、第1のデバイスの公開鍵PkeyAを、第2のデバイスに送信する。
第2のデバイスのアドレス情報を取得した後に、第1のデバイスは、検証値とPkeyAを第2のデバイスに送信する。鍵交換方法は、本実施形態における共有鍵のコンフィギュレーションを行うために使用されるため、共有鍵を取得するための、第1のデバイスによって第2のデバイスに送信される情報は、本実施形態における第1のデバイスの公開鍵PkeyAである。
また、前述のステップ204と205の順番に制限はなく;この2つのステップは、任意の順序で連続的に行われてもよいし、同時に行われてもよいことに留意すべきである。
ステップ206:第2のデバイスは、第2のデバイスの公開鍵PkeyBを用いて、受信した検証値を検証し、検証が成功した場合に、第1のデバイスの公開鍵PkeyAを記録する。
なお、ステップ204と第2のデバイスによって検証値を検証するこのステップは、セキュリティと信頼性をさらに向上させるために行われる動作であり、本発明の必要不可欠なステップではないことに留意されたい。ステップ204が存在しない場合、第2のデバイスは、受信したPkeyAを直接記録する。
検証中に、第2のデバイスは、第2のデバイスの公開鍵PkeyBと、第1のデバイスによって使用されるのと同じ検証値生成方法を用いて検証値を生成し、生成した検証値を受信した検証値と比較することができる。生成した検証値が受信した検証値と一致している場合は、検証が成功したことになる;そうでなければ、検証は失敗している。検証が失敗した場合に、第1のデバイスの受信した公開鍵PkeyAを破棄することができ、その後の処理は実行されない;加えて、ユーザは、コンフィギュレーションの失敗をさらに通知されることが可能であり、例えば、ユーザは、インジケータを使用して、または画面上に表示する方法で、または音声的に通知され得る。
ステップ207:第1のデバイスは、第2のデバイスの公開鍵と第1のデバイスの秘密鍵を用いて共有鍵を生成し、第2のデバイスは、第1デバイスの公開鍵と第2のデバイスの秘密鍵を用いて、共有鍵を生成する。
なお、第1のデバイスは、ステップ203の後の任意の時点で共有鍵を生成することができ、すなわち、第1のデバイスは、第2のデバイスの公開鍵を取得した後に、共有鍵を生成することができ;共有鍵の生成は、必ずしもこのステップで実施されなくてもよいことに留意すべきである。
第1のデバイスと第2のデバイスは、共有鍵を生成するために、事前共有した鍵交換アルゴリズムを使用する。一例として、D−Hアルゴリズムを使用して、第1のデバイスの公開鍵は、PkeyA=(g^keyA)mod(P)であり、ここで、keyAは第1のデバイスの秘密鍵であり、乱数である;第2のデバイスの公開鍵は、PkeyB=(g^keyB)mod(P)であり、ここで、keyBは第2のデバイスの秘密鍵であり、これも乱数である。上記の式において、^は指数演算子であり、X^YはY乗まで累乗されるXを示し、modはモジュロ演算子であり、XmodYはXを用いてYで実行されるモジュロ演算を示している。第1のデバイスは、PkeyBとkeyAを用いて共有鍵DHkeyAを生成し、すなわち、
DHkeyA=((PkeyB)^keyA)mod(P)
である。
第2のデバイスは、PkeyAとkeyBを用いて共有鍵DHkeyBを生成し、すなわち、
DHkeyB=((PkeyA)^keyB)mod(P)
である。
DHkeyA=DHkeyBであることは、D−Hアルゴリズムから知ることができる。
ステップ208:第1のデバイスと第2のデバイスは、共有鍵に基づいて、セキュア接続を実行する。
つまり、第1のデバイスと第2のデバイスは、共有鍵に基づいて、その後のインタラクションを実行することができ、その後のインタラクションは:認証プロセス、アソシエーションプロセス、データインタラクションプロセス、などを含み得るが、これらに限定されるものではない。従来技術を、共有鍵を用いてセキュア接続を実行するために使用することができ、これは、本明細書に再度説明されない。
さらに、共有鍵に直接基づいてセキュア接続を実行することに加えて、第1のデバイスと第2のデバイスは、共有鍵導出アルゴリズムに基づいて、共有鍵のための導出鍵を生成し、この導出鍵を用いてその後のセキュア接続を実行することができる。第1のデバイスと第2のデバイスが一貫した鍵導出アルゴリズムを事前認証している限り、本発明は鍵導出アルゴリズムを限定するものではない。
代替的に、クレデンシャルが、共有鍵を用いてさらに提供される。第1のデバイスは、共有鍵を生成した後にクレデンシャルを生成し、その共有鍵または共有鍵の導出鍵を用いてクレデンシャルを暗号化し、その後、暗号化結果を第2のデバイスに提供する;第2のデバイスは、クレデンシャルを取得するために、生成した共有鍵または共有鍵の導出鍵を用いて暗号化結果を復号化する。代替的に、第2のデバイスは、共有鍵を生成した後にクレデンシャルを生成し、その共有鍵または共有鍵の導出鍵を用いてクレデンシャルを暗号化し、その後、暗号化結果を第1のデバイスに提供する;第1のデバイスは、クレデンシャルを取得するために、生成した共有鍵または共有鍵の導出鍵を用いて暗号化結果を復号化する。
本明細書では、具体的には、第1のデバイスがクレデンシャルを第2のデバイスに送信するか、または第2のデバイスがクレデンシャルを第1のデバイスに送信するかどうかを、デバイスのタイプに応じて決定することができる。第1のデバイスが、registrar、中央ノード、またはGOである場合、第1のデバイスは、クレデンシャルを生成し、それを第2のデバイスに送信することができる。
実施形態2
本実施形態では、鍵交換方法はまたは、共有鍵のコンフィギュレーションを行うために使用される。図3は、本発明の実施形態2による鍵コンフィギュレーション方法の概略的流れ図である。本実施形態では、実施形態1と同じステップは記載されておらず、実施形態1の説明を参照されたい。図3に示すように、プロセスは以下のステップを含む:
ステップ301は、ステップ201と同じである。
ステップ302は、ステップ202と同じである。
ステップ303:コンフィギュレーションデバイスは、共有鍵DHkeyC’およびDHkeyA’を生成するように、第1のデバイスとのセキュア接続を確立する。
次の2つの方法を、このステップを実施するために使用することができるが、これらに限定されるものではない。
第1の方法では、コンフィギュレーションデバイスおよび第1のデバイスは、既存のWPSインタラクション方法で、クレデンシャル(すなわち、背景において図1についての説明で生成したkey1)を共有し、このクレデンシャルを共有鍵DHkey’として使用する。
第2の方法では、コンフィギュレーションデバイスは、コンフィギュレーションデバイスの公開鍵PkeyCを第1のデバイスに送信し、コンフィギュレーションデバイスは、第1のデバイスの公開鍵PkeyAとコンフィギュレーションデバイスの秘密鍵keyCを用いて鍵交換アルゴリズムを実行して、共有鍵DHkeyC’を生成する;第1のデバイスは、コンフィギュレーションデバイスの公開鍵PkeyCと第1のデバイスの秘密鍵keyAを用いて鍵交換アルゴリズムを実行して、共有鍵DHkeyA’を生成する。
このような方法では、コンフィギュレーションデバイスとの第1のデバイスとの間の鍵交換アルゴリズムによって使用されるパラメータを事前共有することが必要とされる。一例として、D−Hアルゴリズムを使用することによって、コンフィギュレーションデバイスはまた、事前共有したパラメータgおよびPを取得する。コンフィギュレーションデバイスの公開鍵はPkeyC=(g^keyC)mod(P)であり、コンフィギュレーションデバイスによって生成される共有鍵はDHkeyC’=((PkeyA)^keyC)mod(P)であり、第1のデバイスによって生成される共有鍵はDHkeyA’=((PkeyC)^keyA)mod(P)である。DHkeyC’=DHkeyA’であることは、D−Hアルゴリズムから知ることができる。
ステップ304:コンフィギュレーションデバイスは、共有鍵DHkeyC’を用いて、第2のデバイスの公開鍵PkeyBと第2のデバイスのデバイス情報を暗号化し、その後、暗号化結果を第1のデバイスに送信する。
ステップ305:第1のデバイスは、第2のデバイスの公開鍵PkeyBと第2のデバイスのデバイス情報を取得するために、共有鍵DHkeyA’を用いて受信した暗号化結果を復号化する。
代替的に、ステップ304では、コンフィギュレーションデバイスはまたは、共有鍵DHkeyC’を用いて導出鍵を最初に生成し;その後、導出鍵を用いて、第2のデバイスの公開鍵PkeyBと第2のデバイスのデバイス情報を暗号化し、暗号化結果を第1のデバイスに送信する。コンフィギュレーションデバイスと第1のデバイスが生成方法を事前認証している限り、導出鍵を生成する具体的な方法は、本明細書に記載されない。したがって、ステップ305では、第1のデバイスは、共有鍵DHkeyA’を用いて導出鍵を最初に生成し、その後、導出鍵を用いて受信した暗号化結果を復号化する。
ステップ306:第1のデバイスは、新たな秘密鍵keyA’と新たな公開鍵PkeyA’を生成する。
このステップは、インタラクションのセキュリティをさらに向上させるために行われるステップである。第1のデバイスは、新たな乱数を生成し、この乱数を秘密鍵keyA’として使用し、その後、新たな秘密鍵を用いて新たな公開鍵PkeyA’を生成する。一例として、D−Hアルゴリズムを使用すると、PkeyA’=(g^keyA’)mod(P)である。
続くステップ307からステップ311は、実施形態1のステップ204からステップ208とそれぞれ同じであるが、これらのステップが関与している第1のデバイスの公開鍵および秘密鍵は、ステップ306の新たな公開鍵PkeyA’およびkeyA’とそれぞれ置き換えられる。
実施形態3
本実施形態では、鍵交換方法はまたは、共有鍵のコンフィギュレーションを行うために使用される。図4は、本発明の実施形態3による鍵コンフィギュレーション方法の概略的流れ図である。本実施形態では、実施形態1と同じステップは記載されておらず、実施形態1の説明を参照されたい。図4に示すように、プロセスは以下のステップを含む:
ステップ401は、ステップ201と同じである。なお、このステップでコンフィギュレーションデバイスによって取得された第1のデバイスのデバイス情報は、少なくとも、第1のデバイスのアドレス情報、および第1のデバイスのデバイスロール情報またはデバイスタイプ情報を含み、ここで、デバイスロール情報は登録時のデバイスのロールを指し、例えば、このロールは、enrollee、registrar、client、またはGOであってもよい。デバイスタイプ情報は、無線端末、アクセスポイント、センサノード、中央ノード、などであってもよい。
ステップ402は、ステップ202と同じである。同様に、コンフィギュレーションデバイスによって取得された第2のデバイスのデバイス情報は、少なくとも、第2のデバイスのアドレス情報、および第2のデバイスのデバイスロール情報またはデバイスタイプ情報を含む。
実施形態1の説明と同じで、第1のデバイスの公開鍵PkeyA、第1のデバイスのデバイス情報、第2のデバイスの公開鍵PkeyB、および第2のデバイスのデバイス情報を、多様な方法で取得することができ、例えば、NFCやUSBなどのセキュアな媒体を用いて取得することができ;特に、ヘッドレスデバイスについては、走査識別コードを用いることが好ましい。つまり、第1のデバイスの公開鍵PkeyAと第1のデバイスのデバイス情報は、第1のデバイスの走査識別コードに書き込まれ、コンフィギュレーションデバイスは、走査識別コードによって第1のデバイスの公開鍵PkeyAと第1のデバイスのデバイス情報を取得することができる;状況は、第2のデバイスでも同じである。走査識別コードは、例えば、2次元コードやバーコードであってもよい。
ステップ403:コンフィギュレーションデバイスは、第1のデバイスおよび第2のデバイスのデバイスロール情報またはデバイスタイプ情報に従って、第1のデバイスの公開鍵および第1のデバイスのデバイス情報を第2のデバイスに送信するか、または第2のデバイスの公開鍵および第2のデバイスのデバイス情報を第1のデバイスに送信するかどうかを決定する。
このステップでは、第1のデバイスがenrolleeであり、第2のデバイスがregistrarである場合、または第1のデバイスがclientであり、第2のデバイスがGOである場合、または第1のデバイスが無線端末であり、第2のデバイスがアクセスポイントである場合、第2のデバイスの公開鍵および第2のデバイスのデバイス情報が第1のデバイスに送信されることが決定され、これは、第1のデバイスが、第2のデバイスを迅速に発見し、効率を改善することを可能にすることを目的としている。第1のデバイスが中央ノードであり、第2のデバイスがセンサノードである場合、第2のデバイスの公開鍵および第2のデバイスのデバイス情報が第1のデバイス送信されることが決定され、これは、中央ノードが、センサノードを迅速に発見することを可能にすることを目的としている。第1のデバイスおよび第2のデバイスのロールまたはタイプが同じである場合、例えば、両方が、センサノードまたはclientである場合、第2のデバイスの公開鍵および第2のデバイスのデバイス情報が第1のデバイスに送信されることを決定するか、あるいは第1のデバイスの公開鍵および第1のデバイスのデバイス情報が第2のデバイスに送信されることを決定することが、可能である。このステップは任意である。
第2のデバイスの公開鍵および第2のデバイスのデバイス情報が第1のデバイスに送信されることが、ステップ403で決定されたと仮定すると、ステップ404は、ステップ203と同じである。
ステップ405からステップ409は、ステップ204からステップ208と同じである。
ただし、本実施形態では、ステップ405が実行される前に、第1のデバイスは、第1のデバイスおよび第2のデバイスのデバイスロール情報またはデバイスタイプ情報に従って、ステップ405で使用されるどのメッセージが検証値および第1のデバイスの公開鍵PkeyAを送信するかを決定するように、第2のデバイスへの接続を確立する方法を最初に決定することができる。例えば、第1のデバイスがenrolleeであり、第2のデバイスがregistrarである場合、または第1のデバイスが無線端末であり、第2のデバイスがアクセスポイントである場合、第1のデバイスは、検出メッセージを用いて、検証値および第1のデバイスの公開鍵PkeyAを第2のデバイスに送信することができる。第1のデバイスがregistrarであり、第2のデバイスがenrolleeである場合、または第1のデバイスがアクセスポイントであり、第2のデバイスが無線端末である場合、第1のデバイスは、ブロードキャストメッセージを用いて、検証値および第1のデバイスの公開鍵PkeyAを第2のデバイスに送信することができる。第1のデバイスがGOであり、第2のデバイスがclientである場合、第1のデバイスは、招待メッセージを用いて、検証値および第1のデバイスの公開鍵PkeyAを第2のデバイスに送信することができる。第1のデバイスがclientであり、第2のデバイスがGOである場合、第1のデバイスは、検出メッセージを用いて、検証値および第1のデバイスの公開鍵PkeyAを第2のデバイスに送信することができる。第1のデバイスがセンサノードであり、第2のデバイスが中央ノードである場合、第1のデバイスは、要求メッセージを用いて、検証値および第1のデバイスの公開鍵PkeyAを第2のデバイスに送信することができる。第1のデバイスが中央ノードであり、第2のデバイスがセンサノードである場合、第1のデバイスは、招待メッセージまたはブロードキャストメッセージを用いて、検証値および第1のデバイスの公開鍵PkeyAを第2のデバイスに送信することができる。
任意に、第1のデバイスおよび第2のデバイスの、コンフィギュレーションデバイスによって取得されたデバイス情報は、チャネル情報をさらに含むことができる。このような場合、第1のデバイスは、第2のデバイスのチャネル情報に従って第2のデバイスを迅速に発見し;ステップ405と406を実行し、すなわち、検証値および第1のデバイスの公開鍵PkeyAを第2のデバイスに送信することができる。
上記のプロセスに加えて、本実施形態はまた、第1のデバイスおよび第2のデバイスが共有鍵に基づいてセキュア接続を実行するまで、実施形態2のステップ306からと同じプロセスをステップ405から実行することができる。
実施形態4
本実施形態では、鍵交換方法は、共有鍵のコンフィギュレーションを行うために使用されない。図5は、本発明の実施形態4による鍵コンフィギュレーション方法の概略的流れ図である。本実施形態では、実施形態1と異なるステップが着目され、実施形態1と同様のステップは説明されない。図5に示すように、プロセスは以下のステップを含む:
ステップ501は、ステップ201と同じである。
ステップ502は、ステップ202と同じである。
ステップ503は、ステップ203と同じである。
ステップ504は、ステップ204と同じである。
ステップ505:第1のデバイスは、password(パスワード)を生成し、第2のデバイスの公開鍵PkeyBを用いてpasswordを暗号化し、その後、暗号化結果を第2のデバイスに送信する。
ここで、暗号化は、実施形態1で説明した第1の暗号化方法を用いて実施される。
つまり、第2のデバイスのアドレス情報を取得した後に、第1のデバイスは、検証値およびpasswordを暗号化することによって取得された暗号化結果を、第2のデバイスに送信する。つまり、本実施形態では、共有鍵を取得するための、第1のデバイスによって第2のデバイスに送信される情報は、第1のデバイスによって生成したpasswordである。
第1のデバイスは、ランダムな方法でpasswordを生成し、例えば、乱数を生成して、passwordとしてこの乱数を使用するか、または予め設定されたアルゴリズムを使用してpasswordを生成する。
ステップ506:第2のデバイスは、第2のデバイスの公開鍵PkeyBを用いて、受信した検証値を検証し;検証が成功した場合、passwordを取得するために、第2のデバイスの秘密鍵keyBを用いて受信した暗号化結果を復号化する。
本実施形態では、第2のデバイスの公開鍵と秘密鍵のペア(PkeyBとkeyB)について、特定の暗号化/復号化アルゴリズムを用いることによって、PkeyBで暗号化した後に得られた暗号化結果を、keyBを用いて復号化することができる。既存のさまざまな方法をこの暗号化/復号化アルゴリズムとして使用することができ、その詳細は、本明細書に1つずつは記載されていない。
ステップ507:第1のデバイスと第2のデバイスは、上記passwordを使用して、共有鍵を生成する。
このステップでは、第1のデバイスと第2のデバイスは、passwordを共有鍵として直接使用することができ;または、事前認証された鍵導出アルゴリズムを用いて、passwordのための導出鍵を生成し、その後、導出鍵を共有鍵として使用することもできる。
同様に、第1のデバイスによって共有鍵を生成する動作は、passwordを生成する前の任意の時点で実行することができ、このステップで実行されるとは限らない。
ステップ508は、ステップ208と同じである。
なお、実施形態2のステップ303からステップ306で説明した技術的内容と、実施形態3のステップ403で説明した技術的内容はまた、実施形態4に適用可能であり、その詳細は、ここでは再度説明されない。
実施形態5
実施形態1で説明した共有鍵生成方法に加えて、別の共有鍵生成方法が存在する。図6を参照すると、本実施形態に示したプロセスは、以下のステップを含む:
ステップ601は、ステップ201と同じである。
ステップ602は、ステップ202と同じである。
ステップ603は、ステップ203と同じである。
ステップ604は、ステップ204と同じである。
ステップ605:第1のデバイスは、ランダマイザNonceを生成し、第2のデバイスの公開鍵PkeyBおよびこのランダマイザNonceを用いて、共有鍵DHkeyを生成する。
ここで、共有鍵DHKeyを生成するために第2のデバイスの公開鍵PkeyBとランダマイザNonceを使用することに加えて、第1のデバイスおよび第2のデバイスとランダマイザによって事前認証された他の情報も、共有鍵DHkeyを生成するために使用することができ、例えば、第2のデバイスのMAC(Media Access Control,メディアアクセス制御)の値は、第2のデバイスの公開鍵Pkey、およびハッシュ値を使用してもよい。
ステップ606:第1のデバイスは、第2のデバイスの公開鍵PkeyBを用いてランダマイザNonceを暗号化し、その後、暗号化結果を第2のデバイスに送信する。
本実施形態では、共有鍵を取得するための情報は、ランダマイザNonceである。ここで、暗号化方法は、実施形態1で説明した第1の暗号化方法であってもよい。
暗号化結果を受信した後に、第2のデバイスは、ランダマイザNonceを取得するために、暗号化結果を復号化する。
ステップ607は、ステップ206と同じである。ただし、検証が成功した場合は、ランダマイザNonceが記録される。
ステップ608:第2のデバイスは、第2のデバイスの公開鍵PkeyBおよびランダマイザNonceを用いて、共有鍵DHkeyを生成する。
ここでは、第1のデバイスと第2のデバイスが共有鍵を生成するためのアルゴリズムを事前認証している限り、共有鍵を生成するためのアルゴリズムは、本明細書に特に限定されるものではない。
ステップ609は、ステップ208と同じである。
実施形態6
図7は、本発明の実施形態6による鍵コンフィギュレーション方法の概略的流れ図である。図7に示すように、本方法は以下を含む:
ステップ701は、ステップ201と同じである。
ステップ702は、ステップ202と同じである。
ステップ703は、ステップ203と同じである。
ステップ704:第1のデバイスは、第1のデバイスの公開鍵PkeyAを、第2のデバイスに送信する。
ここで、セキュリティを向上させるために、第1のデバイスは、第2のデバイスの公開鍵PkeyBを用いてPkeyAを暗号化し、その後、暗号化されたPkeyAを第2のデバイスに送信することができ;第2のデバイスは、PkeyAを取得するために、第2のデバイスの秘密鍵keyBを用いて復号化を実行する
ここで、暗号化は、実施形態1で説明した第1の暗号化方法で実施される。
ステップ705:第2のデバイスは、第1のデバイスの公開鍵PkeyAを用いてパスワードを暗号化し、暗号化結果を第1のデバイスに送信する。パスワードは、クレデンシャル、セッション鍵、などであってもよく;ランダムに生成されてもよく、特定のアルゴリズムに従って生成されてもよく、本明細書に限定されるものではない。
ここで、第2のデバイスは、第1のデバイスの公開鍵PkeyAを用いて検証値を生成することができ、例えば、第2のデバイスは、PkeyAのハッシュ値を生成して、そのハッシュ値を第1のデバイスに送信する。第1のデバイスは、検証値を受信した後に、第1のデバイスの公開鍵PkeyAを用いて検証値を最初に生成し;生成した検証値を受信した検証値と比較し;生成した検証値が受信した検証値と一致した場合、検証が成功したと決定して、続いて、ステップ706を実行する。
ステップ706:第1のデバイスは、パスワードを取得するために、第1のデバイスの秘密鍵keyAを用いて暗号化結果を復号化する。
ステップ707:第1のデバイスと第2のデバイスは、前述のパスワードまたはパスワードの導出鍵を用いて、その後のセキュア接続を実行する。
実施形態7で共有鍵を取得するための情報は、第1のデバイスの公開鍵である。
上記は、本発明により提供される方法を説明しており、対応するシステムを、以下に詳細に説明する。図8は、本発明の一実施形態によるシステムの概略的構成図である。図8に示すように、システムは、第1のデバイス、第2のデバイス、およびサードパーティのコンフィギュレーションデバイスを含む。
コンフィギュレーションデバイスは、第2のデバイスの公開鍵を取得し、第2のデバイスの公開鍵を第1のデバイスに送信するように構成されている。
第1のデバイスは、第1の共有鍵を生成し、第1の共有鍵を取得するための情報を第2のデバイスに提供することに主に関与し、このため、第2のデバイスは、第1の共有鍵を生成する。具体的には、第1のデバイスは、以下の2つの方法を用いてこの機能を実施することができる:
第1の方法では、第1のデバイスは、第1の共有鍵を生成し、第2のデバイスの公開鍵を用いて、第2のデバイスのデバイス情報に従って、第1の共有鍵を取得するための情報を第2のデバイスに送信する。この方法は、実施形態4で説明した方法に対応している。
第2の方法では、第1のデバイスは、第2のデバイスの公開鍵を用いて第1の共有鍵を生成し、第2のデバイスのデバイス情報に従って、第1の共有鍵を取得するための情報を第2のデバイスに送信する。この方法は、実施形態1から実施形態3で説明した方法に対応している。
第2のデバイスは、第2のデバイスの秘密鍵と第1の共有鍵を取得するための情報を用いて第1の共有鍵を生成するように構成され、ここで、第1の共有鍵は、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される。
ここでは、第1の共有鍵の名前が、続く例示的な実施形態においてコンフィギュレーションデバイスと第1のデバイスとの間で共有される第2の共有鍵と区別することを目的としていることに留意すべきである。
第1のデバイスの2つの実施態様を、別々に、以下に詳細に説明する。第1の方法では、第1のデバイスは、passwordを生成し、そのpasswordを第1の共有鍵として使用するか、または鍵導出アルゴリズムを用いてpasswordのための導出鍵を生成し、その導出鍵を第1の共有鍵として使用し;その後、第2のデバイスの公開鍵を用いてpasswordを暗号化し、暗号化結果を第2のデバイスに送信する。このような方法では、第1の共有鍵を取得するための情報は、passwordである。第1のデバイスは、ランダムな方法でpasswordを生成し、例えば、乱数を生成して、passwordとしてこの乱数を使用するか、または予め設定されたアルゴリズムを使用してpasswordを生成する。
第2のデバイスは、パスワードを取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し、そのパスワードを第1の共有鍵として使用するか;または、鍵導出アルゴリズムを用いてパスワードのための導出鍵を生成し、その導出鍵を第1の共有鍵として使用する。このような方法では、第2のデバイスの公開鍵と秘密鍵のペア(PkeyBとkeyB)について、特定の暗号化/復号化アルゴリズムを用いることによって、公開鍵PkeyBで暗号化した後に取得された暗号化結果を、秘密鍵keyBを用いて復号化することができる。この暗号化/復号化アルゴリズムは現段階ですでに発達した方法であり、その詳細は、本明細書に1つずつは記載されていない。
第1の方法では、別の実施態様が存在する。つまり、第1のデバイスは、ランダマイザを生成し、第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成し、第2のデバイスの公開鍵を用いてランダマイザを暗号化し、その後、暗号化結果を第2のデバイスに送信する。第2のデバイスは、ランダマイザを取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し、その後、第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成する。この実施では、第1のデバイスおよび第2のデバイスによって認証される情報は、第2のデバイスの公開鍵、第2のデバイスの公開鍵のhash値、および第2のデバイスのMACアドレスなどの情報であってもよい。これらの情報は、サードパーティのコンフィギュレーションデバイスによって第2のデバイスから取得され、その後、第1のデバイスに送信され得るか、あるいはまた、第1のデバイスおよび第2のデバイスによって事前構成された、いくつかの特定の値であってもよい。
第2の方法では、第1のデバイスおよび第2のデバイスは、鍵交換アルゴリズムを事前認証する必要がある。ここでは、使用され得る鍵交換アルゴリズムは、非限定的に、D−Hアルゴリズム、RSAアルゴリズム、EIGamalアルゴリズム、などであってもよい。鍵交換アルゴリズムがさまざまであるため、事前共有したパラメータもさまざまである。一例として、D−Hアルゴリズムを使用すると、第1のデバイスおよび第2のデバイスは、パラメータgおよびPを事前共有し、このパラメータgおよびPは、第1のデバイスおよび第2のデバイスで事前共有され、ここで、Pは素数であり、gはPの原始根である。
ここで、第1のデバイスおよび第2のデバイスよって、鍵交換アルゴリズムにより使用されるパラメータを共有する以下の2つの方法が含まれ得るが、これらに限定されるものではない。第1の方法では、鍵交換アルゴリズムによって使用されるパラメータは、第1のデバイスと第2のデバイスで事前構成され;第2の方法では、サードパーティのコンフィギュレーションデバイスは、鍵交換アルゴリズムによって使用されるパラメータを第1のデバイスと第2のデバイスへ送信する。
第2の方法では、第1のデバイスは、鍵交換アルゴリズムに従って、第2のデバイスの公開鍵および第1のデバイスの秘密鍵を用いて、第1の共有鍵を生成するように特に構成され、第1のデバイスの公開鍵を第2のデバイスに送信する。このような方法では、第1の共有鍵を取得するための情報は、第1のデバイスの公開鍵である。
一例として、D−Hアルゴリズムを使用すると、第1のデバイスの公開鍵PkeyAは、PkeyA=(g^keyA)mod(P)であり、ここで、keyAは第1のデバイスの秘密鍵であり、乱数であり;生成される第1の共有鍵DHkeyAは、DHkeyA=((PkeyB)^keyA)mod(P)である。
第2のデバイスは、鍵交換アルゴリズムに従って、第1のデバイスの公開鍵および第2のデバイスの秘密鍵を用いて、第1の共有鍵を生成するように特に構成されている。第2のデバイスの公開鍵PkeyBは、PkeyB=(g^keyB)mod(P)であり、ここで、keyBは、第2のデバイスの秘密鍵であり、また乱数である。生成した第1の共有鍵DHkeyBは、DHkeyB=((PkeyA)^keyB)mod(P)である。DHkeyA=DHkeyBであることは、D−Hアルゴリズムから知ることができる。
上述した第2の方法では、第1のデバイスおよび第2のデバイスは、以下の2つの方法で、鍵交換アルゴリズムによって使用されるパラメータを共有することができる:
(1)鍵交換アルゴリズムによって使用されるパラメータは、第1のデバイスおよび第2のデバイスで事前構成され、すなわち、静的な構成方法が使用される;
(2)コンフィギュレーションデバイスは、鍵交換アルゴリズムによって使用されるパラメータを第1のデバイスおよび第2のデバイスに送信し、すなわち、サードパーティのコンフィギュレーションデバイスは、第1のデバイスと第2のデバイスで鍵交換アルゴリズムによって使用されるパラメータのコンフィギュレーションを完了する。
上記の第1の方法または第2の方法に基づいて、コンフィギュレーションデバイスは、第2のデバイスおよび第1のデバイスのデバイス情報を取得するようにさらに構成される。本発明の本実施形態に関連するデバイス情報は、非限定的に、アドレス情報、デバイス機能、製造元、シリアル番号、UUID、などであってもよく、ここで、デバイス機能は、デバイスによってサポートされる、アルゴリズム、認証方法、デバイスロール情報、デバイスタイプ情報、などを指し、デバイスロール情報は登録時のデバイスのロールを指し、このロールは、enrollee、registrar、client、GO、などであってもよい。デバイスタイプ情報は、無線端末、アクセスポイント、センサノード、中央ノード、などであってもよい。
ここで関連するデバイス情報は、少なくともアドレス情報を含む。このようにして、コンフィギュレーションデバイスは、第1のデバイスのアドレス情報に従って、第2のデバイスの公開鍵と第2のデバイスのデバイス情報を第1のデバイスに送信し、第2のデバイスのアドレス情報を取得して、第2のデバイスのアドレス情報を第1のデバイスに送信する動作を実行することができ、このため、第1のデバイスは、第2のデバイスのアドレス情報に従って、第1の共有鍵を取得するための情報を送信することができる。
さらに、上記の第1の方法または第2の方法に基づいて、コンフィギュレーションデバイスは、第1のデバイスの公開鍵を取得するようにさらに構成される。第2のデバイスの公開鍵と第2のデバイスのデバイス情報を第1のデバイスに送信するとき、コンフィギュレーションデバイスは、第1のデバイスの公開鍵を用いて、第2のデバイスの公開鍵と第2のデバイスのデバイス情報を特に暗号化し、ここで、暗号化は、実施形態1で説明した第2の暗号化方法で実施されてもよく;暗号化結果を第1のデバイスに送信する。
この場合、第1のデバイスは、第2のデバイスの公開鍵と第2のデバイスのデバイス情報を取得するために、暗号化結果を復号化する。この例示的な実施態様は、実施形態1で説明した内容に対応している。
具体的には、上述した第1の方法または第2の方法に基づいて、コンフィギュレーションデバイスが第1のデバイスまたは第2のデバイスから情報を取得するときに、公開鍵とデバイス情報が含まれている。具体的には、コンフィギュレーションデバイスは、2次元コードをスキャンすることによって、USBを使用することによって、または近距離無線通信の手段によって、第1のデバイスまたは第2のデバイスから情報を取得する。
任意に、第1のデバイスは、第2のデバイスの公開鍵を用いて検証値をさらに生成することができ、ここで、検証値は、非限定的に、第2のデバイスの公開鍵のハッシュ値や別の事前に設定されたアルゴリズムを用いて生成した検証値であってもよく;その後、第2のデバイスのデバイス情報に従って、この検証値を第2のデバイスに送信する。
第1の共有鍵を生成する前に、第2のデバイスは、第2のデバイスの公開鍵を用いて受信した検証値を検証し、検証が成功した場合、次いで、第1の共有鍵を生成する動作を実行する;そうでなければ、第1のデバイスの公開鍵を破棄して、次の動作を実行せず、コンフィギュレーションの失敗をユーザにさらに通知することができる。例えば、ユーザは、インジケータを使用して、または画面上に表示する方法で、または音声的に通知され得る。この例示的な実施態様は、実施形態1で説明した内容に対応している。
任意に、コンフィギュレーションデバイスは、第2の共有鍵を生成するように、第1のデバイスへのセキュア接続をさらに確立することができる。ここでは、以下の2つの方法が、具体的に使用され得る:第1の方法では、コンフィギュレーションデバイスおよび第1のデバイスは、既存のWPSインタラクション方法で、クレデンシャルを共有し、このクレデンシャルを第2の共有鍵として使用する。第2の方法では、コンフィギュレーションデバイスは、コンフィギュレーションデバイスの公開鍵を第1のデバイスに送信し、コンフィギュレーションデバイスは、第1のデバイスの公開鍵とコンフィギュレーションデバイスの秘密鍵を用いて鍵交換アルゴリズムを実行して、第2の共有鍵を生成する;第1のデバイスは、コンフィギュレーションデバイスの公開鍵と第1のデバイスの秘密鍵を用いて鍵交換アルゴリズムを実行して、第2の共有鍵を生成する。
コンフィギュレーションデバイスが第2のデバイスの公開鍵と第2のデバイスのデバイス情報を第1のデバイスに送信するとき、具体的には、コンフィギュレーションデバイスは、第2の共有鍵を用いて、第2のデバイスの公開鍵と第2のデバイスのデバイス情報を暗号化し、その後、暗号化結果を第1のデバイスに送信する。第1のデバイスは、第2のデバイスの公開鍵と第2のデバイスのデバイス情報を取得するために、第2の共有鍵を用いて受信した暗号化結果を復号化する。この例示的な実施態様は、実施形態2で説明した内容に対応している。
任意に、上記の第1の方法または第2の方法に基づいて、第1のデバイスは、第2のデバイスの公開鍵と第2のデバイスのデバイス情報を取得した後に、新たな公開鍵と新たな秘密鍵をさらに生成する。この場合、第1のデバイスによって第2のデバイスに送信される第1のデバイスの公開鍵は、新たな公開鍵であり;第1の共有鍵を生成するために第2のデバイスによって使用される第1のデバイスの公開鍵は、新たな公開鍵であり;第1の共有鍵を生成するために第1のデバイスによって使用される第1のデバイスの秘密鍵は、新たな秘密鍵である。この実施態様は、インタラクションのセキュリティをさらに向上させることができ、実施形態2で説明した内容に対応している。
任意に、上記の第1の方法または第2の方法に基づいて、デバイス情報に含まれるデバイスロール情報またはデバイスタイプ情報が、さらに使用されてもよい。つまり、コンフィギュレーションデバイスは、第1のデバイスおよび第2のデバイスのデバイスロール情報またはデバイスタイプ情報に従って、第2のデバイスの公開鍵および第2のデバイスのデバイス情報を第1のデバイスに送信するか、または第1のデバイスの公開鍵および第1のデバイスのデバイス情報を第2のデバイスに送信するかどうかを決定するように、さらに構成されてもよい。
第1のデバイスがエンローリenrolleeであり、第2のデバイスがregistrarである場合、または第1のデバイスがクライアントclientであり、第2のデバイスがグループ所有者GOである場合、または第1のデバイスが無線端末であり、第2のデバイスがアクセスポイントである場合、コンフィギュレーションデバイスは、第2のデバイスの公開鍵および第2のデバイスのデバイス情報が第1のデバイスに送信されることを決定し、これは、第1のデバイスが、第2のデバイスを迅速に発見し、効率を改善することを可能にすることができる。代替的に、第1のデバイスが中央ノードであり、第2のデバイスがセンサノードである場合、コンフィギュレーションデバイスは、第2のデバイスの公開鍵および第2のデバイスのデバイス情報が第1のデバイス送信されることを決定し、これは、中央ノードが、センサノードを迅速に発見することを可能にすることを目的としている。この例示的な実施態様は、実施形態3で説明した内容に対応している。
第1のデバイスおよび第2のデバイスのロールまたはタイプが同じである場合、例えば、両方が、センサノードまたはclientである場合、第2のデバイスの公開鍵および第2のデバイスのデバイス情報が第1のデバイスに送信されることを決定するか、あるいは第1のデバイスの公開鍵および第1のデバイスのデバイス情報が第2のデバイスに送信されることを決定することが、可能である。
好ましくは、上記の第1の方法または第2の方法に基づいて、デバイス情報に含まれるチャネル情報が、さらに使用されてもよい。つまり、第1のデバイスは、第1の共有鍵を取得するための情報を第2のデバイスに送信する動作を実行するように、第2のデバイスのチャネル情報に従って、第2のデバイスを迅速に発見するようにさらに構成される。
さらに、第1共有鍵に直接基づいてセキュア接続を実行することに加えて、第1のデバイスと第2のデバイスは、共有鍵導出アルゴリズムに基づいて、第1の共有鍵のための導出鍵を生成し、この導出鍵を用いてセキュア接続を実行することができる。その後のセキュア接続は、認証プロセス、アソシエーションプロセス、データインタラクションプロセス、などを含み得るが、これらに限定されるものではない。従来技術を、共有鍵を用いてセキュア接続を実行するために使用することができ、これは、本明細書に再度説明されない。
上記のコンフィギュレーションデバイスは、1つまたは複数のサーバを含むか、または1つまたは複数のコンピュータを含むことができ;上記の第1のデバイスおよび第2のデバイスは、例えば、パソコン、ノートパソコン、無線電話、パーソナルデジタルアシスタント(PDA)、センサノード、およびAPであってもよい。なお、本発明において提供される方法およびシステムは、Bluetooth(登録商標)またはZigbeeなどのWiFiネットワークに限定されない任意の無線ネットワークにも適用可能であり得るか;または、有線ネットワーク内の鍵コンフィギュレーションにも適用可能であり得ることに留意すべきである。
図9は、本発明の一実施形態による第1のデバイスに配置された鍵コンフィギュレーション装置の概略的構造図である。図9に示すように、鍵コンフィギュレーション装置は、コンフィギュレーション受信部90および鍵処理部91を含んでいる。
コンフィギュレーション受信部90は、コンフィギュレーションデバイスが第2のデバイスの公開鍵を取得した後に、コンフィギュレーションデバイスによって送信される第2のデバイスの公開鍵を受信することに関与している。
鍵処理部91は、第2のデバイスの公開鍵を用いて、第1の共有鍵を取得するための情報を第2のデバイスに送信すること、または、第1のデバイスによって、第2のデバイスの公開鍵を用いて第1の共有鍵を生成すること、および第1の共有鍵を取得するための情報を第2のデバイスに送信することに関与し、このため、第2のデバイスは、第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて第1の共有鍵を生成し、ここで、第1の共有鍵は、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される。
第1の共有鍵は、以下のいくつかの方法で取得され得る:
第1の方法では、鍵処理部91は、パスワードを生成し、そのパスワードを第1の共有鍵として使用し、暗号化結果を取得するために、第2のデバイスの公開鍵を用いてパスワードを暗号化し、その後、暗号化結果を第2のデバイスに送信し、このため、第2のデバイスは、パスワードを取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し、そのパスワードを第1の共有鍵として使用する。
第2の方法では、鍵処理部91は、パスワードを生成し、暗号化結果を取得するために、第2のデバイスの公開鍵を用いてそのパスワードを暗号化し;その暗号化結果を第2のデバイスに送信し;鍵導出アルゴリズムを用いてパスワードのための導出鍵を生成し;その導出鍵を第1の共有鍵として使用し、このため、第2のデバイスは、パスワードを取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し、鍵導出アルゴリズムを用いてパスワードのための導出鍵を生成し、その導出鍵を第1の共有鍵として使用する。
第3の方法では、鍵処理部91は、ランダマイザを生成し;第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成し;第2のデバイスの公開鍵を用いてランダマイザを暗号化し、その後、暗号化結果を第2のデバイスに送信し、このため、第2のデバイスは、ランダマイザを取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し、第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成する。
第4の方法では、鍵処理部91は、第2のデバイスの公開鍵を用いて第1のデバイスの公開鍵を暗号化し、その後、暗号化結果を第2のデバイスに送信し;第2のデバイスによって送信される暗号化結果を受信し、ここで、暗号化結果は、第1のデバイスの公開鍵を取得するために、第2のデバイスが、第2のデバイスの秘密鍵を用いて受信した暗号化結果を復号化し、パスワードを生成し、そのパスワードを共有鍵として使用し、その後、第1のデバイスの公開鍵を用いてパスワードを暗号化した後に取得されたものであり;第1のデバイスの秘密鍵を用いて、受信した暗号化結果を復号化し、その後、取得したパスワードを第1の共有鍵として使用する。
第5の方法では、鍵処理部91は、第2のデバイスの公開鍵および第1のデバイスの秘密鍵を用いて、第1のデバイスおよび第2のデバイスによって事前認証された鍵交換アルゴリズムに従って、第1の共有鍵を生成し、第1のデバイスの公開鍵を第2のデバイスに送信し、このため、第2のデバイスは、第2のデバイスの秘密鍵および第1のデバイスの公開鍵を用いて、鍵交換アルゴリズムに従って、第1の共有鍵を生成する。
鍵交換アルゴリズムによって使用されるパラメータは、鍵処理部91で事前構成されていてもよく;またはコンフィギュレーション受信部90は、鍵交換アルゴリズムによって使用され、コンフィギュレーションデバイスによって送信されるパラメータを受信し、そのパラメータを鍵処理部91に提供する。
また、鍵コンフィギュレーション装置は、セキュア接続部92をさらに含んでもよい。
セキュア接続部92は、鍵処理部91が第1の共有鍵を取得した後に、クレデンシャルを生成し;第1の共有鍵または第1の共有鍵の導出鍵を用いてクレデンシャルを暗号化し、その後、暗号化結果を第1のデバイスに送信し、このため、第1のデバイスは、クレデンシャルを取得するために、取得した第1の共有鍵または第1の共有鍵の導出鍵を用いて暗号化結果を復号化し、ここで、クレデンシャルは、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される(この実施は図に示されている)。代替的に、セキュア接続部92は、クレデンシャルを取得するために、取得した第1の共有鍵または第1の共有鍵の導出鍵を用いて、第2のデバイスによって送信される、クレデンシャルの暗号化結果を復号化するように構成され、ここで、クレデンシャルの暗号化結果は、第2のデバイスが第1の共有鍵を取得し、クレデンシャルを生成し、その後、第1の共有鍵または第1の共有鍵の導出鍵を用いてクレデンシャルを暗号化後で取得され、ここで、クレデンシャルは、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される。
セキュリティを向上させるために、コンフィギュレーション受信部90は、コンフィギュレーションデバイスが第2のデバイスの公開鍵と第1のデバイスの公開鍵を取得した後に、コンフィギュレーションデバイスによって送信される暗号化結果を受信することができ、ここで、暗号化結果は、コンフィギュレーションデバイスが第1のデバイスの公開鍵を用いて第2のデバイスの公開鍵を暗号化した後に取得される。この場合、鍵処理部91は、第2のデバイスの公開鍵を取得するために、暗号化結果を復号化するようにさらに構成され得る。
別の実施方法が存在する:コンフィギュレーション受信部90は、第2の共有鍵を生成するように、コンフィギュレーションデバイスへのセキュア接続を確立し;コンフィギュレーションデバイスが第2のデバイスの公開鍵を取得した後に、コンフィギュレーションデバイスによって送信される暗号化結果を受信し、ここで、暗号化結果は、コンフィギュレーションデバイスが第2の共有鍵を用いて第2のデバイスの公開鍵を暗号化した後に取得される。この場合、鍵処理部91は、第2のデバイスの公開鍵を取得するために、第2の共有鍵を用いて受信した暗号化結果を復号化する。
第2の共有鍵を生成するようにコンフィギュレーションデバイスへのセキュア接続を確立するとき、コンフィギュレーション受信部90は、WPSインタラクション方法でコンフィギュレーションデバイスとクレデンシャルを特に共有し、そのクレデンシャルを第2の共有鍵として使用するか;または、コンフィギュレーションデバイスによって送信されるコンフィギュレーションデバイスの公開鍵を特に受信し、このため、第1のデバイスは、コンフィギュレーションデバイスの公開鍵と第1のデバイスの秘密鍵を用いて、事前認証された鍵交換アルゴリズムに従って、第2の共有鍵を生成する。
セキュリティをさらに向上させるために、鍵処理部91は、第2のデバイスの公開鍵を取得した後に、新たな公開鍵と新たな秘密鍵をさらに生成することができる。この場合、第1のデバイスによって第2のデバイスに送信される第1のデバイスの公開鍵は、新たな公開鍵であり;第1の共有鍵を生成するために第2のデバイスによって使用される第1のデバイスの公開鍵は、新たな公開鍵であり;第1の共有鍵を生成するために第1のデバイスによって使用される第1のデバイスの秘密鍵は、新たな秘密鍵である。
好ましくは、コンフィギュレーション受信部90は、第2のデバイスから取得され、その後コンフィギュレーションデバイスによって送信される、第2のデバイスのチャネル情報をさらに受信することができる。この方法では、鍵処理部91は、第1の共有鍵を取得するための情報を第2のデバイスに送信する動作を実行するように、第2のデバイスのチャネル情報に従って、第2のデバイスを迅速に発見することができる。
加えて、鍵処理部91は、第2のデバイスの公開鍵を用いて検証値をさらに生成し、その検証値を第2のデバイスに送信することができ、このため、第2のデバイスは、第1の共有鍵を生成する前に、第2のデバイスの公開鍵を用いて受信した検証値を検証し、検証が成功した場合には、第1の共有鍵を生成する動作を実行する。
図10は、本発明の一実施形態によるコンフィギュレーションデバイスに配置された鍵コンフィギュレーション装置の概略的構造図である。図10に示すように、鍵コンフィギュレーション装置は、情報取得部11と情報送信部12を含んでいる。
情報取得部11は、第2のデバイスの公開鍵を取得することに関与している。
情報送信部12は、第2のデバイスの公開鍵を第1のデバイスに送信することに関与している。
この方法では、第1のデバイスは、第2のデバイスの公開鍵を用いて第1の共有鍵を取得するための情報を第2のデバイスに送信することができる;または、第1のデバイスは、第2のデバイスの公開鍵を用いて第1の共有鍵を生成し、第1の共有鍵を取得するための情報を第2のデバイスに送信することができる。
次いで、第2のデバイスは、第2のデバイスの秘密鍵と第1の共有鍵を取得するための情報を用いて第1の共有鍵を生成し、ここで、第1の共有鍵は、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される。
第1のデバイスおよび第2のデバイスが、事前認証された鍵交換アルゴリズムに基づいて、第1の共有鍵の生成を実施する場合、情報送信部12は、鍵交換アルゴリズムによって使用されるパラメータを第1のデバイスおよび第2のデバイスにさらに送信することができ、ここで、鍵交換アルゴリズムは、第1のデバイスの秘密鍵および第2のデバイスの公開鍵を用いて、鍵交換アルゴリズムに従って、第1のデバイスが第1の共有鍵を生成することを可能にするため、および、第2のデバイスの秘密鍵および第1のデバイスの公開鍵を用いて、鍵交換アルゴリズムに従って、第2のデバイスが第1の共有鍵を生成することを可能にするために使用される。
情報転送のセキュリティを向上させるために、情報取得部11は、第1のデバイスの公開鍵を取得することができる。情報送信部12は、第1のデバイスの公開鍵を用いて第2のデバイスの公開鍵を暗号化し、暗号化結果を第1のデバイスに送信し、このため、第1のデバイスは、第2のデバイスの公開鍵を取得するために、暗号化結果を復号化する。
別の方法が存在する:情報送信部12は、第2の共有鍵を生成するように、第1のデバイスへのセキュア接続を確立し;第2のデバイスの公開鍵を第1のデバイスに送信するときに、第2の共有鍵を用いて第2のデバイスの公開鍵を特に暗号化し、その後、暗号化結果を第1のデバイスに送信し、このため、第1のデバイスは、第2のデバイスの公開鍵を取得するために、第2の共有鍵を用いて受信した暗号化結果を復号化する。
具体的には、第2の共有鍵を生成するように第1のデバイスへのセキュア接続を確立するとき、情報送信部12は、WPSインタラクション方法で第1のデバイスとクレデンシャルを共有し、そのクレデンシャルを第2の共有鍵として使用するか;または、コンフィギュレーションデバイスの公開鍵を第1のデバイスに送信し、第1のデバイスの公開鍵とコンフィギュレーションデバイスの秘密鍵を用いて、事前認証された鍵交換アルゴリズムに従って、第2の共有鍵を生成する。
第1のデバイスによって第2のデバイスを発見する効率をさらに向上させるために、情報取得部11は、第2のデバイスのチャネル情報をさらに取得することができる。この場合、情報送信部12は、第2のデバイスのチャネル情報を第1のデバイスに送信し、このため、第1のデバイスは、第1の共有鍵を取得するための情報を第2のデバイスに送信する動作を実行するように、第2のデバイスのチャネル情報に従って、第2のデバイスを迅速に発見する。
具体的には、情報取得部11は、2次元コードをスキャンすることによって、ユニバーサルシリアルバス(USB)を使用することによって、または近距離無線通信の手段によって、第1のデバイスまたは第2のデバイスから情報を取得する。
図11は、本発明の一実施形態による第2のデバイスに配置された鍵コンフィギュレーション装置の概略的構造図である。図11に示すように、鍵コンフィギュレーション装置は、情報提供部21、情報受信部22、および鍵処理部23を含むことができる。
情報提供部21は、コンフィギュレーションデバイスに第2のデバイスの公開鍵を提供することに関与し、このため、コンフィギュレーションデバイスは、第2のデバイスの公開鍵を第1のデバイスに送信する。
情報受信部22は、第1の共有鍵を取得するために使用され、第2のデバイスの公開鍵を用いて第1のデバイスによって送信される情報を受信すること;または、第1のデバイスが第2のデバイスの公開鍵を用いて第1の共有鍵を生成した後に、第1の共有鍵を取得するために使用され、第1のデバイスによって送信される情報を受信することに関与する。
鍵処理部23は、第2のデバイスの秘密鍵と第1の共有鍵を取得するための情報を用いて第1の共有鍵を生成することに関与し、ここで、第1の共有鍵は、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される。
第1の共有鍵は、以下のいくつかの方法で取得され得る:
第1の方法では、情報受信部22は、第1のデバイスによって送信される暗号化結果を受信し、ここで、暗号化結果は、第1のデバイスがパスワードを生成し、そのパスワードを第1の共有鍵として使用し、その後、第2のデバイスの公開鍵を用いてパスワードを暗号化した後に取得される。
この場合、鍵処理部23は、パスワードを取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し、そのパスワードを第1の共有鍵として使用する。
第2の方法では、情報受信部22は、第1のデバイスによって送信される暗号化結果を受信し、ここで、暗号化結果は、第1のデバイスがパスワードを生成し、その後、第2のデバイスの公開鍵を用いてパスワードを暗号化した後に取得される。
この場合、鍵処理部23は、パスワードを取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し;鍵導出アルゴリズムを用いてパスワードのための導出鍵を生成し、その導出鍵を第1の共有鍵として使用する。
第3の方法では、情報受信部22は、第1のデバイスによって送信される暗号化結果を受信し、ここで、暗号化結果は、第1のデバイスがランダマイザを生成し、第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成し、第2のデバイスの公開鍵を用いてランダマイザを暗号化した後に取得される。
この場合、鍵処理部23は、ランダマイザを取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し;第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成する。
第4の方法では、情報受信部22は、第1のデバイスが第2のデバイスの公開鍵を用いて第1のデバイスの公開鍵を暗号化した後に取得される暗号化結果を受信する。
この場合、鍵処理部23は、第1のデバイスの公開鍵を取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し;パスワードを生成し;そのパスワードを第1の共有鍵として使用し;第1のデバイスの公開鍵を用いてパスワードを暗号化し、その後、暗号化結果を第1のデバイスに送信し、このため、第1のデバイスは、第1のデバイスの秘密鍵を用いて受信した暗号化結果を復号化し、その後、取得したパスワードを第1の共有鍵として使用する。
第5の方法では、情報受信部22は、第1のデバイスが、鍵交換アルゴリズムに従って、第2のデバイスの公開鍵と第1のデバイスの秘密鍵を用いて、第1の共有鍵を生成した後に、第1のデバイスによって送信される第1のデバイスの公開鍵を受信し、ここで、鍵交換アルゴリズムは、第1のデバイスおよび第2のデバイスによって事前認証されている。
この場合、鍵処理部23は、鍵交換アルゴリズムに従って、第2のデバイスの秘密鍵および第1のデバイスの公開鍵を用いて、第1の共有鍵を生成する。
このような方法では、鍵交換アルゴリズムによって使用されるパラメータは、鍵処理部23で事前構成されていてもよく;または、情報受信部22は、鍵交換アルゴリズムによって使用され、コンフィギュレーションデバイスによって送信されるパラメータを受信し、そのパラメータを鍵処理部23に提供する。
また、鍵コンフィギュレーション装置は、セキュア接続部24をさらに含んでもよい。
セキュア接続部24は、第1のデバイスによって送信される暗号化結果を受信し、ここで、暗号化結果は、第1のデバイスが第1の共有鍵を取得し、クレデンシャルを生成し、その後、第1の共有鍵または第1の共有鍵の導出鍵を用いてクレデンシャルを復号化した後に取得され;クレデンシャルを取得するために、取得した第1の共有鍵または第1の共有鍵の導出鍵を用いて暗号化結果を復号化し、ここで、クレデンシャルは、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される(この実施は図に示されている)。代替的に、セキュア接続部24は、鍵処理部23が第1の共有鍵を取得した後に、クレデンシャルを生成し;第1の共有鍵または第1の共有鍵の導出鍵を用いてクレデンシャルを暗号化し、その後、暗号化結果を第1のデバイスに送信するように構成され、このため、第1のデバイスは、クレデンシャルを取得するために、取得した第1の共有鍵または第1の共有鍵の導出鍵を用いて暗号化結果を復号化し、ここで、クレデンシャルは、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される。
第1にデバイスによって第2のデバイスを発見する効率を向上させるために、情報提供部21は、第2のデバイスのチャネル情報をコンフィギュレーションデバイスにさらに提供することができ、このため、コンフィギュレーションデバイスは、第2のデバイスのチャネル情報を第1のデバイスに送信し、その後、第1のデバイスは、第1の共有鍵を取得するための情報を第2のデバイスに送信する動作を実行するように、第2のデバイスのチャネル情報に従って、第2のデバイスを迅速に発見する。
具体的には、情報提供部21は、2次元コードもしくはUSBを使用することによって、または近距離無線通信の手段によって、コンフィギュレーションデバイスのための情報を提供することができる。
加えて、セキュリティをさらに向上させるために、情報受信部22は、第2のデバイスの公開鍵を用いて第1のデバイスによって生成される検証値をさらに受信することができる。
この場合、鍵処理部23は、第2のデバイスの公開鍵を用いて受信した検証値を検証し、検証が成功した場合に、第1の共有鍵を生成する動作を実行する。
ハードウェア構成を考慮すると、図12に示すように、上記のコンフィギュレーションデバイスは、プロセッサ、メモリ、および通信バスを含む。プロセッサは、通信バスを用いてメモリに接続され、メモリは、鍵コンフィギュレーション方法を実施するための命令を格納する。また、コンフィギュレーションデバイスは、通信インタフェースをさらに含み、この通信インタフェースを用いて別のデバイスと通信接続している。
プロセッサがメモリ内の鍵コンフィギュレーション方法を実施するための命令を呼び出すときに、第2のデバイスの公開鍵を取得して、第2のデバイスの公開鍵を第1のデバイスに送信するステップを実行することができ:
このため、第1のデバイスが、第2のデバイスの公開鍵を用いて第1の共有鍵を取得するための情報を第2のデバイスに送信するか;または、
このため、第1のデバイスが、第2のデバイスの公開鍵を用いて第1の共有鍵を生成して、第1の共有鍵を取得するための情報を第2のデバイスに送信し;および、
このため、第2のデバイスが、第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて第1の共有鍵を生成し、ここで、第1の共有鍵は、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される。
プロセッサがメモリ内の鍵コンフィギュレーション方法を実施するための命令を呼び出すときに、上記の方法の実施形態でコンフィギュレーションデバイスによって実行されるステップが、実行されてもよい。詳細については、上記の方法の実施形態を参照することができ、ここでは詳細を再度説明しない。
上述した第1のデバイスは、図13に示すように、プロセッサ、メモリ、および通信バスを含む。プロセッサは、通信バスを用いてメモリに接続され、メモリは、鍵コンフィギュレーション方法を実施するための命令を格納する。また、第1のデバイスは、通信インタフェースをさらに含み、この通信インタフェースを用いて別のデバイスと通信接続している。
プロセッサがメモリ内の鍵コンフィギュレーション方法を実施するための命令を呼び出すときに:
コンフィギュレーションデバイスが第2のデバイスの公開鍵を取得した後に、コンフィギュレーションデバイスによって送信される第2のデバイスの公開鍵を受信するステップ;および、第2のデバイスの公開鍵を用いて第1の共有鍵を取得するための情報を第2のデバイスに送信するステップ;または、第1のデバイスによって、第2のデバイスの公開鍵を用いて第1の共有鍵を生成して、第1の共有鍵を取得するための情報を第2のデバイスに送信するステップ
を実行することができ、
このため、第2のデバイスは、第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて第1の共有鍵を生成し、ここで、第1の共有鍵は、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される。
プロセッサがメモリ内の鍵コンフィギュレーション方法を実施するための命令を呼び出すときに、上記の方法の実施形態で第1のデバイスによって実行されるステップが、実行されてもよい。詳細については、上記の方法の実施形態を参照することができ、ここでは詳細を再度説明しない。
上述した第2のデバイスは、図14に示すように、プロセッサ、メモリ、および通信バスを含む。プロセッサは、通信バスを用いてメモリに接続され、メモリは、鍵コンフィギュレーション方法を実施するための命令を格納する。また、第2のデバイスは、通信インタフェースをさらに含み、この通信インタフェースを用いて別のデバイスと通信接続している。
プロセッサがメモリ内の鍵コンフィギュレーション方法を実施するための命令を呼び出すときに:
第2のデバイスの秘密鍵と第1の共有鍵を取得するための情報を用いて第1の共有鍵を生成するステップを実行することができ、ここで、第1の共有鍵は、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される。
プロセッサがメモリ内の鍵コンフィギュレーション方法を実施するための命令を呼び出すときに、上記の方法の実施形態で第2のデバイスによって実行されるステップが、実行されてもよい。詳細については、上記の方法の実施形態を参照することができ、ここでは詳細を再度説明しない。
本発明に記載のデバイスは、通信バス、処理システム、ストレージシステム、1つまたは複数の入力/出力システム、通信インタフェースなどのいくつかの基本的な構成要素をすべて構造的に含む。バスは、デバイスの構成要素間で通信を実施するために使用される1つまたは複数のワイヤを含むことができる。処理システムは、命令を実行するために使用されるプロセッサまたはマイクロプロセッサのさまざまなタイプを含み、手順またはスレッドを処理する。ストレージシステムは、動的情報を格納するためのランダムアクセスメモリ(RAM)などのダイナミックメモリ、静的情報を格納するための読み出し専用メモリ(ROM)などのスタティックメモリ、および磁気または光記録媒体および対応するドライブを含む大容量メモリを含むことができる。入力システムは、キーボード、マウス、スタイラス、音声認識システム、または生体認証システムなどの、サーバまたは端末デバイスに情報を入力するためにユーザによって使用される。ヘッドレスデバイスについては、マンマシンインタラクション機能を有する入力システムを除外することも可能である。出力システムは、情報出力用の、ディスプレイ、プリンタ、ラウドスピーカ、インジケータ等を含む。通信インタフェースは、サーバや端末デバイスと別のシステムやシステムとの間の通信のために使用される。通信インタフェースは、有線方式、無線方式、または光学的方式でネットワークに接続され得る。
各デバイスは、システムリソースを管理し、他のプログラムの動作を制御するためのオペレーティングシステムソフトウェア、および、特定の機能を実現するためのアプリケーションソフトウェアを含む。
以上の説明は、単に、本発明の例示的実施形態であるにすぎず、本発明を限定するためのものではない。本発明の趣旨および原理を逸脱することなくなされるあらゆる改変、等価の置換、または改善は、本発明の保護範囲内に含まれるべきものである。
11 情報取得部
12 情報送信部
21 情報提供部
22 情報受信部
23 鍵処理部
24 セキュア接続部
90 コンフィギュレーション受信部
91 鍵処理部
92 セキュア接続部
本発明は、ネットワーク通信技術の分野に関し、詳細には、鍵コンフィギュレーション方法、システム、および装置に関する。
WiFi(Wireless Fidelity、ワイファイ)技術は、業界をリードする多くの企業によって形成されているWIFIユニオンによる大きなプロモーションの下で、無線ローカルエリアネットワーク規格IEEE802.11によって1997年に策定されたため、および迅速な導入、使いやすさ、および高い伝送速度などのWiFi技術の利点のために、この技術は急速に発展している。WiFi技術は、さまざまな産業に広く適用されている。既存のパソコン、PDA(Personal Digital Assistant、パーソナルデジタルアシスタント)、携帯電話等のすべてが、WiFi技術に対応している。WiFiネットワークのアクセスポイントは、ホテル、喫茶店、学校、病院などの場所に配置されている。WiFi技術は、言わば、生活の周りすべてに存在する。
WiFi技術の開発と幅広い適用は、WiFi技術に関連したセキュリティ技術要件の必要性をもたらした。WPA(Wi−Fi Protected Access、WiFi保護アクセス)は、WiFiで使用されるセキュリティ技術であり、これは、ユーザがCredential(アカウント名とパスワードを含むクレデンシャル)および暗号化アルゴリズムのような他のWPA関連パラメータを設定することを必要とする。ただし、ユーザがこれらのパラメータの意味を理解していない場合、ユーザはこれらのパラメータを設定する方法を知らないため、WPAセキュリティ技術の適用を妨げる。ユーザはWPAパラメータを設定する方法を知らないので、結果として、ユーザは、セキュリティ機構の保護を欠いているネットワークを使用することを選択する。WPS(WiFi Protected Setup、WiFi保護セットアップ)は、クレデンシャルの設定においてユーザを支援することを目的とする技術である。WPSは、セキュリティとシンプルさの2つの点に主に焦点を当てており、すなわち、コンフィギュレーションプロセスはシンプルであるべきであり、コンフィギュレーション後のネットワークがセキュアであるべきである。現行では、WPSは、鍵交換アルゴリズムに基づいて、傍受や辞書攻撃などのいくつかの攻撃アクションを、主に妨げる。
現段階では、主に以下の2つのWPS適用のシナリオが含まれている:第1のシナリオでは、クレデンシャルコンフィギュレーションが、WiFiネットワークの、registrar(レジストラ)として機能する、enrollee(エンローリ)として機能する端末とAP(Access Point、アクセスポイント)との間で実行され、このため、セキュア接続を確立するために、端末とAPとの間のクレデンシャルに基づいて、その後に認証を行うことができる。第2のシナリオでは、認証およびコンフィギュレーションプロセスは、P2P(Peer to Peer、ピアツーピア)シナリオで実行される。WiFi技術のP2Pに関する研究は、端末デバイスが、セルラーネットワークまたはホットスポットなどのインフラストラクチャの非存在下で、WiFi機能を使用することによってまたエンドツーエンドの直接検出を実施することを可能にすることを目的としている;このようなシナリオでは、一方の端末デバイスはclient(クライアント)として機能し、他方の端末はGO(Group Owner、グループ所有者)として機能し、鍵コンフィギュレーションは、clientとGOとの間で実行され、このため、clientおよびGOは、コンフィギュレーションされた鍵に基づいて、続いて、相互にデータインタラクションを実行することができる。
WiFi技術は、スマートグリッド、センサネットワーク、医療ネットワークのような新しい分野に徐々に適用されている。大容量のWiFiデバイスは、ヘッドレスデバイス(Headless Devices)であり、ここで、いわゆるヘッドレスデバイスは、表示画面およびキーボードなどのマンマシンインタフェースなしのデバイス、または近距離無線通信をサポートしないデバイスである。サードパーティのコンフィギュレーションデバイスは、これらのヘッドレスデバイス間の接続を実現するために必要とされ、例えば、APは、コンフィギュレーションデバイスを使用してセットトップボックスに接続されるか、またはセンサは、コンフィギュレーションデバイスを使用して接続される。サードパーティのコンフィギュレーションデバイスの支援を受けて2つのデバイス間で実行されるこのような鍵コンフィギュレーションについては、従来技術では、次の方法を使用している:
図1に示すように、コンフィギュレーションデバイスは、第1のデバイス上の2次元コードをスキャンし、2次元コードに含まれる第1のデバイスのパスワード情報を取得し、第2のデバイス上の2次元コードをスキャンし、2次元コードに含まれる第2のデバイスのパスワード情報を取得する;コンフィギュレーションデバイスは、第1のデバイスのパスワード情報に基づいて、第1のデバイスとのWPSインタラクションプロセスを実行し、鍵key1を生成し、第1のデバイスのパスワード情報を用いてkey1を暗号化し、その後、暗号化された鍵を第1のデバイスに送信する;コンフィギュレーションデバイスは、第2のデバイスのパスワード情報に基づいて、第2のデバイスとのWPSインタラクションプロセスを実行し、鍵key2を生成し、第2のデバイスのパスワード情報を用いてkey2を暗号化し、その後、暗号化された鍵を第2のデバイスに送信する。その後、第1のデバイスおよび第2のデバイスは、key1およびkey2に基づいて、互いにセキュア接続を実行し、すなわち、key1およびkey2に基づいてインタラクションを実行する。
ただし、上記の方法での第1のデバイスおよび第2のデバイスのパスワード情報はオープン状態であり、容易かつ不正に取得される。つまり、サードパーティのデバイスは、パスワード情報を取得し、鍵を生成し、その後、第1のデバイスと第2のデバイスに鍵を送信することができ、その結果、第1のデバイスと第2のデバイスとの間のインタラクションで容易に傍受すること、および不十分なセキュリティをもたらす。
そこで、第1のデバイスと第2のデバイスとの間のインタラクションのセキュリティを向上させるために、本発明の実施形態は、サードパーティのコンフィギュレーションデバイスに基づく、鍵コンフィギュレーション方法、システム、および装置を提供する。
第1の態様によれば、本発明の実施形態は鍵コンフィギュレーション方法を提供し、ここで、鍵コンフィギュレーション方法は:
コンフィギュレーションデバイスが第2のデバイスの公開鍵を取得した後に、コンフィギュレーションデバイスによって送信される第2のデバイスの公開鍵を第1のデバイスによって受信するステップ;および、第2のデバイスの公開鍵を用いて第1の共有鍵を取得するための情報を第2のデバイスに送信するか、または、第1のデバイスによって、第2のデバイスの公開鍵を用いて第1の共有鍵を生成して、第1の共有鍵を取得するための情報を第2のデバイスに送信するステップ
を含み、
このため、第2のデバイスは、第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて第1の共有鍵を生成し、ここで、第1の共有鍵は、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される。
第1の態様に関連して、第1の可能な実施態様では、第2のデバイスの公開鍵を用いて、第1のデバイスによって、第1の共有鍵を取得するための情報を第2のデバイスに送信するステップは:第1のデバイスによってパスワードを生成するステップと;そのパスワードを第1の共有鍵として使用するステップと;暗号化結果を取得するために、第2のデバイスの公開鍵を用いてパスワードを暗号化するステップと;その暗号化結果を第2のデバイスに送信するステップとを含み;
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップは:パスワードを取得するために、第2のデバイスの秘密鍵を用いて、第2のデバイスによって暗号化結果を復号化し、そのパスワードを第1の共有鍵として使用するステップを含むか;または、
第1のデバイスによって第1の共有鍵を生成して、第2のデバイスの公開鍵を用いて第1の共有鍵を取得するための情報を第2のデバイスに送信するステップは:第1のデバイスによってパスワードを生成するステップと;暗号化結果を取得するために、第2のデバイスの公開鍵を用いてパスワードを暗号化するステップと;暗号化結果を第2のデバイスに送信するステップと;鍵導出アルゴリズムを用いてパスワードのための導出鍵を生成するステップと;その導出鍵を第1の共有鍵として使用するステップとを含み;
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップは:パスワードを取得するために、第2のデバイスの秘密鍵を用いて、第2のデバイスによって暗号化結果を復号化するステップ;鍵導出アルゴリズムを用いてパスワードのための導出鍵を生成するステップ;および、導出鍵を第1の共有鍵として使用するステップを含む。
第1の態様に関連して、第2の可能な実施態様では、第1のデバイスによって第1の共有鍵を生成して、第2のデバイスの公開鍵を用いて第1の共有鍵を取得するための情報を第2のデバイスに送信するステップは:第1のデバイスによってランダマイザを生成するステップと;第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成するステップと;第2のデバイスの公開鍵を用いてランダマイザを暗号化し、その後、暗号化結果を第2のデバイスに送信するステップとを含み;
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップは:ランダマイザを取得するために、第2のデバイスの秘密鍵を用いて、第2のデバイスによって暗号化結果を復号化するステップ;および、第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成するステップを含む。
第1の態様に関連して、第3の可能な実施態様では、第2のデバイスの公開鍵を用いて、第1の共有鍵を取得するための情報を第2のデバイスに送信するステップは:第2のデバイスの公開鍵を用いて第1のデバイスの公開鍵を、第1のデバイスによって暗号化し、その後、暗号化結果を第2のデバイスに送信するステップを含み;
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップは:第1のデバイスの公開鍵を取得するために、第2のデバイスの秘密鍵を用いて、第2のデバイスによって暗号化結果を復号化するステップと;パスワードを生成するステップと;そのパスワードを第1の共有鍵として使用するステップとを含み;
方法は:第2のデバイスが第1のデバイスの公開鍵を用いてパスワードを暗号化した後に取得される暗号化結果を、第1のデバイスによって受信するステップ;第1のデバイスの秘密鍵を用いて、受信した暗号化結果を復号化するステップ;および、取得したパスワードを第1の共有鍵として使用するステップをさらに含む。
第1の態様に関連して、第4の可能な実施態様では、方法は:第1のデバイスおよび第2のデバイスによって、鍵交換アルゴリズムを事前認証するステップをさらに含み;
第2のデバイスの秘密鍵を用いて、第1のデバイスによって第1の共有鍵を生成し、第1の共有鍵を取得するための情報を第2のデバイスに送信するステップは:第2のデバイスの公開鍵および第1のデバイスの秘密鍵を用いて鍵交換アルゴリズムに従って、第1のデバイスによって第1の共有鍵を生成するステップ;および、第1のデバイスの公開鍵を第2のデバイスに送信するステップを含み;
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップは:第2のデバイスの秘密鍵および第1のデバイスの公開鍵を用いて、鍵交換アルゴリズムに従って、第2のデバイスによって第1の共有鍵を生成するステップを含む。
第1の態様の第4の可能な実施態様に関連して、第5の可能な実施態様では、第1のデバイスおよび第2のデバイスによって、鍵交換アルゴリズムを事前認証するステップは:
第1のデバイスおよび第2のデバイスにおいて、鍵交換アルゴリズムによって使用されるパラメータを事前構成するステップ;または、
鍵交換アルゴリズムによって使用されるパラメータを、コンフィギュレーションデバイスによって、第1のデバイスおよび第2のデバイスに送信するステップ
を含む。
第1の態様、第1の態様の第1の可能な実施態様、第1の態様の第2の可能な実施態様、第1の態様の第3の可能な実施態様、第1の態様の第4の可能な実施態様、または第1の態様の第5の可能な実施態様に関連して、第6の可能な実施態様では、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用されている第1の共有鍵は:
第1の共有鍵を取得した後に、第1のデバイスによってクレデンシャルを生成するステップ;第1の共有鍵または第1の共有鍵の導出鍵を用いてクレデンシャルを暗号化し、その後、暗号化結果を第2のデバイスに送信するステップであって、このため、第2のデバイスは、クレデンシャルを取得するために、取得した第1の共有鍵または第1の共有鍵の導出鍵を用いて暗号化結果を復号化し、ここで、クレデンシャルは、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される、ステップ;または、
クレデンシャルを取得するために、取得した第1の共有鍵または第1の共有鍵の導出鍵を用いて、第2のデバイスによって送信される、クレデンシャルの暗号化結果を、第1のデバイスによって復号化するステップであって、クレデンシャルの暗号化結果は、第2のデバイスが、第1の共有鍵を取得し、クレデンシャルを生成し、その後、第1の共有鍵または第1の共有鍵の導出鍵を用いてクレデンシャルを暗号した後に取得され、クレデンシャルは、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される、ステップ、
を含む。
第1の態様の第6の可能な実施態様に関連して、第7の可能な実施態様では、第1のデバイスが、レジストラRegistrar、中央ノード、またはグループ所有者GOである場合、第1のデバイスは、クレデンシャルを生成し、クレデンシャルの暗号化結果を第2のデバイスに送信するか;または、
第2のデバイスが、Registrar、中央ノード、またはGOである場合、第2のデバイスは、クレデンシャルを生成し、クレデンシャルの暗号化結果を第1のデバイスに送信する。
第1の態様、第1の態様の第1の可能な実施態様、第1の態様の第2の可能な実施態様、第1の態様の第3の可能な実施態様、第1の態様の第4の可能な実施態様、第1の態様の第5の可能な実施態様、第1の態様の第6の可能な実施態様、または第1の態様の第7の可能な実施態様に関連して、第8の可能な実施態様では、コンフィギュレーションデバイスが第2のデバイスの公開鍵を取得した後に、コンフィギュレーションデバイスによって送信される第2のデバイスの公開鍵を、第1のデバイスによって受信するステップは、特に:
コンフィギュレーションデバイスが第2のデバイスの公開鍵と第1のデバイスの公開鍵を取得した後に、コンフィギュレーションデバイスによって送信される暗号化結果を、第1のデバイスによって受信するステップであって、暗号化結果は、コンフィギュレーションデバイスが第1のデバイスの公開鍵を用いて第2のデバイスの公開鍵を暗号化した後に取得される、ステップであり;および、
方法は:第2のデバイスの公開鍵を取得するために、第1のデバイスによって暗号化結果を復号化するステップをさらに含む。
第1の態様、第1の態様の第1の可能な実施態様、第1の態様の第2の可能な実施態様、第1の態様の第3の可能な実施態様、第1の態様の第4の可能な実施態様、第1の態様の第5の可能な実施態様、第1の態様の第6の可能な実施態様、第1の態様の第7の可能な実施態様、または第1の態様の第8の可能な実施態様に関連して、第9の可能な実施態様では、コンフィギュレーションデバイスが第2のデバイスの公開鍵を取得した後に、コンフィギュレーションデバイスによって送信される第2のデバイスの公開鍵を、第1のデバイスによって受信するステップは、特に:
第2の共有鍵を生成するように、第1のデバイスによって、コンフィギュレーションデバイスへのセキュア接続を確立するステップ;および、
コンフィギュレーションデバイスが第2のデバイスの公開鍵を取得した後に、コンフィギュレーションデバイスによって送信される暗号化結果を、第1のデバイスによって受信するステップであって、暗号化結果は、コンフィギュレーションデバイスが第2の共有鍵を用いて第2のデバイスの公開鍵を暗号化した後に取得される、ステップであり;および、
方法は:第2のデバイスの公開鍵を取得するために、第2の共有鍵を用いて受信した暗号化結果を、第1のデバイスによって復号化するステップをさらに含む。
第1の態様の第9の可能な実施態様に関連して、第10の可能な実施態様では、第2の共有鍵を生成するように、第1のデバイスによって、コンフィギュレーションデバイスへのセキュア接続を確立するステップは:
クレデンシャルを共有するためにワイファイの手段によってコンフィギュレーションデバイスとのWPSインタラクション方法を、第1のデバイスによってセキュアに確立し、そのクレデンシャルを第2の共有鍵として使用するステップ;または、
コンフィギュレーションデバイスによって送信されるコンフィギュレーションデバイスの公開鍵を、第1のデバイスによって受信するステップ;および、コンフィギュレーションデバイスの公開鍵および第1のデバイスの秘密鍵を用いて、事前認証された鍵交換アルゴリズムに従って、第1のデバイスによって第2の共有鍵を生成するステップであって、このため、コンフィギュレーションデバイスは、第1のデバイスの公開鍵を取得した後に、第1のデバイスの公開鍵およびコンフィギュレーションデバイスの秘密鍵を用いて、事前認証された鍵交換アルゴリズムに従って、第2の共有鍵を生成するステップ、
を含む。
第1の態様の第4の可能な実施態様に関連して、第11の可能な実施態様では、第2のデバイスの公開鍵を第1のデバイスによって取得するステップの後に、方法は:新たな公開鍵および新たな秘密鍵を第1のデバイスによって生成するステップをさらに含み;
第1のデバイスによって第2のデバイスに送信される第1のデバイスの公開鍵が、新たな公開鍵であり;第1の共有鍵を生成するために第2のデバイスによって使用される第1のデバイスの公開鍵が、新たな公開鍵であり;第1の共有鍵を生成するために第1のデバイスによって使用される第1のデバイスの秘密鍵が、新たな秘密鍵である。
第1の態様または第1の態様の第1から第11の可能な実施態様のいずれか1つに関連して、第12の可能な実施態様では、第1のデバイスはエンローリenrolleeであり、第2のデバイスはregistrarであり;または、第1のデバイスはクライアントclientであり、第2のデバイスはGOであり;または、第1のデバイスは無線端末であり、第2のデバイスはアクセスポイントであり;または、第1のデバイスは中央ノードであり、第2のデバイスはセンサノードである。
第1の態様または第1の態様の第1から第12の可能な実施態様のいずれか1つに関連して、第13の可能な実施態様では、方法は:第1の共有鍵を取得するための情報を第2のデバイスに送信するステップを実行するように、第2のデバイスのチャネル情報に従って、第1のデバイスによって、第2のデバイスを迅速に発見するステップをさらに含み、ここで、第2のデバイスのチャネル情報は、第2のデバイスからコンフィギュレーションデバイスによって取得され、その後、第1のデバイスに送信される。
第1の態様または第1の態様の第1から第13の可能な実施態様のいずれか1つに関連して、第14の可能な実施態様では、コンフィギュレーションデバイスは、2次元コードをスキャンすることによって、ユニバーサルシリアルバスUSBを使用することによって、または近距離無線通信の手段によって、第1のデバイスまたは第2のデバイスから情報を取得する。
第1の態様または第1の態様の第1から第14の可能な実施態様のいずれか1つに関連して、第15の可能な実施態様では、方法は:第2のデバイスの公開鍵を用いて、第1のデバイスによって検証値を生成し、その検証値を第2のデバイスに送信するステップをさらに含み、
このため、第2のデバイスは、第1の共有鍵を生成する前に、第2のデバイスの公開鍵を用いて受信した検証値を検証し、検証が成功した場合には、第1の共有鍵を生成するステップを実行する。
第2の態様によれば、本発明の実施形態は鍵コンフィギュレーション方法を提供し、ここで、鍵コンフィギュレーション方法は:
コンフィギュレーションデバイスによって第2のデバイスの公開鍵を取得し、第2のデバイスの公開鍵を第1のデバイスに送信するステップを含み、
このため、第1のデバイスは、第2のデバイスの公開鍵を用いて第1の共有鍵を取得するための情報を第2のデバイスに送信するか;または、このため、第1のデバイスは、第2のデバイスの公開鍵を用いて第1の共有鍵を生成して、第1の共有鍵を取得するための情報を第2のデバイスに送信し;および、
このため、第2のデバイスは、第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて第1の共有鍵を生成し、ここで、第1の共有鍵は、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される。
第2の態様に関連して、第1の可能な実施態様では、第2のデバイスの公開鍵を用いて、第1のデバイスによって、第1の共有鍵を取得するための情報を第2のデバイスに送信するステップは:第1のデバイスによってパスワードを生成するステップと;そのパスワードを第1の共有鍵として使用するステップと;暗号化結果を取得するために、第2のデバイスの公開鍵を用いてパスワードを暗号化するステップと;その暗号化結果を第2のデバイスに送信するステップとを含み;
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップは:パスワードを取得するために、第2のデバイスの秘密鍵を用いて、第2のデバイスによって暗号化結果を復号化し、そのパスワードを第1の共有鍵として使用するステップを含むか;または、
第1のデバイスによって第1の共有鍵を生成して、第2のデバイスの公開鍵を用いて第1の共有鍵を取得するための情報を第2のデバイスに送信するステップは:第1のデバイスによってパスワードを生成するステップと;暗号化結果を取得するために、第2のデバイスの公開鍵を用いてパスワードを暗号化するステップと;暗号化結果を第2のデバイスに送信するステップと;鍵導出アルゴリズムを用いてパスワードのための導出鍵を生成するステップと;その導出鍵を第1の共有鍵として使用するステップとを含み;
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップは:パスワードを取得するために、第2のデバイスの秘密鍵を用いて、第2のデバイスによって暗号化結果を復号化するステップ;鍵導出アルゴリズムを用いてパスワードのための導出鍵を生成するステップ;および、導出鍵を第1の共有鍵として使用するステップを含む。
第2の態様に関連して、第2の可能な実施態様では、第1のデバイスによって第1の共有鍵を生成して、第2のデバイスの公開鍵を用いて第1の共有鍵を取得するための情報を第2のデバイスに送信するステップは:第1のデバイスによってランダマイザを生成するステップと;第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成するステップと;第2のデバイスの公開鍵を用いてランダマイザを暗号化し、その後、暗号化結果を第2のデバイスに送信するステップとを含み;および
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップは:ランダマイザを取得するために、第2のデバイスの秘密鍵を用いて、第2のデバイスによって暗号化結果を復号化するステップ;および、第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成するステップを含む。
第2の態様に関連して、第3の可能な実施態様では、第1の共有鍵を取得するための情報を、第2のデバイスの公開鍵を用いて、第1のデバイスによって第2のデバイスに送信するステップは:第2のデバイスの公開鍵を用いて第1のデバイスの公開鍵を、第1のデバイスによって暗号化し、その後、暗号化結果を第2のデバイスに送信するステップを含み;
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップは:第1のデバイスの公開鍵を取得するために、第2のデバイスの秘密鍵を用いて、第2のデバイスによって暗号化結果を復号化するステップと;パスワードを生成するステップと;そのパスワードを暗号化して、その後、暗号化結果を第1のデバイスに送信するステップとを含み;
このため、第1のデバイスは、第1のデバイスの秘密鍵を用いて、受信した暗号化結果を復号化し、その後、取得したパスワードを第1の共有鍵として使用する。
第2の態様に関連して、第4の可能な実施態様では、方法は:第1のデバイスおよび第2のデバイスによって、鍵交換アルゴリズムを事前認証するステップをさらに含み;
第2のデバイスの秘密鍵を用いて、第1のデバイスによって第1の共有鍵を生成し、第1の共有鍵を取得するための情報を第2のデバイスに送信するステップは:第2のデバイスの公開鍵および第1のデバイスの秘密鍵を用いて鍵交換アルゴリズムに従って、第1のデバイスによって第1の共有鍵を生成するステップ;および、第1のデバイスの公開鍵を第2のデバイスに送信するステップを含み;
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップは:第2のデバイスの秘密鍵および第1のデバイスの公開鍵を用いて、鍵交換アルゴリズムに従って、第2のデバイスによって第1の共有鍵を生成するステップを含む。
第2の態様の第4の可能な実施態様に関連して、第5の可能な実施態様では、第1のデバイスおよび第2のデバイスによって、鍵交換アルゴリズムを事前認証するステップは:
第1のデバイスおよび第2のデバイスにおいて、鍵交換アルゴリズムによって使用されるパラメータを事前構成するステップ;または、
鍵交換アルゴリズムによって使用されるパラメータを、コンフィギュレーションデバイスによって、第1のデバイスおよび第2のデバイスに送信するステップ
を含む。
第2の態様または第2の態様の第1から第5の可能な実施態様のいずれか1つに関連して、第6の可能な実施態様では、コンフィギュレーションデバイスは第1のデバイスの公開鍵を取得し;および、
コンフィギュレーションデバイスによって、第2でのデバイスの公開鍵を第1のデバイスに送信するステップは:第1のデバイスの公開鍵を用いて、コンフィギュレーションデバイスによって、第2のデバイスの公開鍵を暗号化し、その後暗号化結果を第1のデバイスに送信するステップを含み、このため、第1のデバイスは、第2のデバイスの公開鍵を取得するために、暗号化結果を復号化する。
第2の態様または第2の態様の第1から第5の可能な実施態様のいずれか1つに関連して、第7の可能な実施態様では、方法は:第2の共有鍵を生成するように、コンフィギュレーションデバイスによって、第1のデバイスへのセキュア接続を確立するステップをさらに含み;
第2のデバイスの公開鍵を第1のデバイスに送信するステップは:第2の共有鍵を用いて、コンフィギュレーションデバイスによって、第2のデバイスの公開鍵を暗号化し、その後、暗号化結果を第1のデバイスに送信するステップを含み、このため、第1のデバイスは、第2のデバイスの公開鍵を取得するために、第2の共有鍵を用いて、受信した暗号化結果を復号化する。
第2の態様の第7の可能な実施態様に関連して、第8の可能な実施態様では、第2の共有鍵を生成するように、コンフィギュレーションデバイスによって、第1のデバイスへのセキュア接続を確立するステップは:
コンフィギュレーションデバイスによって、WPSインタラクション方法で、第1のデバイスとクレデンシャルを共有し、そのクレデンシャルを第2の共有鍵として使用するステップ;または、
コンフィギュレーションデバイスによって、コンフィギュレーションデバイスの公開鍵を第1のデバイスに送信するステップであって、このため、コンフィギュレーションデバイスは、第1のデバイスの公開鍵とコンフィギュレーションデバイスの秘密鍵を用いて、事前認証された鍵交換アルゴリズムに従って、第2の共有鍵を生成し、第1のデバイスは、コンフィギュレーションデバイスの公開鍵と第1のデバイスの秘密鍵を用いて、事前認証された鍵交換アルゴリズムに従って、第2の共有鍵を生成する、ステップ、
を含む。
第2の態様または第2の態様の第1から第8の可能な実施態様のいずれか1つに関連して、第9の可能な実施態様では、第1のデバイスはエンローリenrolleeであり、第2のデバイスはregistrarであり;または、第1のデバイスはクライアントclientであり、第2のデバイスはGOであり;または、第1のデバイスは無線端末であり、第2のデバイスはアクセスポイントであり;または、第1のデバイスは中央ノードであり、第2のデバイスはセンサノードである。
第2の態様または第2の態様の第1から第9の可能な実施態様のいずれか1つに関連して、第10の可能な実施態様では、方法は:コンフィギュレーションデバイスによって、第2のデバイスのチャネル情報を取得し、そのチャネル情報を第1のデバイスに送信するステップをさらに含み、このため、第1のデバイスは、第1の共有鍵を取得するための情報を第2のデバイスに送信するステップを実行するように、第2のデバイスのチャネル情報に従って、第2のデバイスを迅速に発見する。
第2の態様または第2の態様の第1から第10の可能な実施態様のいずれか1つに関連して、第11の可能な実施態様では、コンフィギュレーションデバイスは、2次元コードをスキャンすることによって、ユニバーサルシリアルバス(USB)を使用することによって、または近距離無線通信の手段によって、第1のデバイスまたは第2のデバイスから情報を取得する。
第3の態様によれば、本発明の実施形態は、鍵コンフィギュレーション方法を提供し、ここで、鍵コンフィギュレーション方法は:
コンフィギュレーションデバイスが、第2のデバイス公開鍵を第1のデバイスに送信するために、第2のデバイスによって、第2のデバイスの公開鍵をコンフィギュレーションデバイスに提供するステップ;
第1の共有鍵を取得するために使用され、第2のデバイスの公開鍵を用いて第1のデバイスによって送信される情報を、第2のデバイスによって受信するステップ;または、第1のデバイスが第2のデバイスの公開鍵を用いて第1の共有鍵を生成した後に、第1の共有鍵を取得するために使用され、第1のデバイスによって送信される情報を受信するステップ;および、
第2のデバイスの秘密鍵と第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップであって、第1の共有鍵は、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される、ステップ、
を含む。
第3の態様に関連して、第1の可能な実施態様では、第1の共有鍵を取得するために使用され、第2のデバイスの公開鍵を用いて第1のデバイスによって送信される情報を、第2のデバイスによって受信するステップは:第1のデバイスによって送信される暗号化結果を、第2のデバイスによって受信するステップであって、暗号化結果は、第1のデバイスがパスワードを生成し、そのパスワードを第1の共有鍵として使用し、その後、第2のデバイスの公開鍵を用いてパスワードを復号化した後に取得される、ステップ、を含み;および、
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップは:パスワードを取得するために、第2のデバイスの秘密鍵を用いて、第2のデバイスによって暗号化結果を復号化し、そのパスワードを第1の共有鍵として使用するステップを含むか;または、
第1の共有鍵を取得するために使用され、第2のデバイスの公開鍵を用いて第1のデバイスによって送信される情報を、第2のデバイスによって受信するステップは:第1のデバイスによって送信される暗号化結果を、第2のデバイスによって受信するステップであって、暗号化結果は、第1のデバイスがパスワードを生成し、その後、第2のデバイスの公開鍵を用いてパスワードを復号化した後に取得される、ステップ、を含み;および、
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップは:パスワードを取得するために、第2のデバイスの秘密鍵を用いて、第2のデバイスによって暗号化結果を復号化するステップ;鍵導出アルゴリズムを用いてパスワードのための導出鍵を生成するステップ;および、導出鍵を第1の共有鍵として使用するステップを含む。
第3の態様に関連して、第2の可能な実施態様では、第1の共有鍵を取得するために使用され、第2のデバイスの公開鍵を用いて第1のデバイスによって送信される情報を、第2のデバイスによって受信するステップは:第1のデバイスによって送信される暗号化結果を、第2のデバイスによって受信するステップであって、暗号化結果は、第1のデバイスがランダマイザを生成し、その後、第2のデバイスの公開鍵を用いてそのランダマイザを暗号化した後に取得され、第1のデバイスは、第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成する、ステップ、を含み;および、
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップは:ランダマイザを取得するために、第2のデバイスの秘密鍵を用いて、第2のデバイスによって暗号化結果を復号化するステップ;および、第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成するステップを含む。
第3の態様に関連して、第3の可能な実施態様では、第1の共有鍵を取得するために使用され、第2のデバイスの公開鍵を用いて第1のデバイスによって送信される情報を、第2のデバイスによって受信するステップは:第1のデバイスが、第2のデバイスの公開鍵を用いて第1のデバイスの公開鍵を暗号化した後に取得される暗号化結果を、第2のデバイスによって受信するステップを含み;および、
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップは:第1のデバイスの公開鍵を取得するために、第2のデバイスの秘密鍵を用いて、第2のデバイスによって暗号化結果を復号化するステップと;パスワードを生成するステップと;そのパスワードを第1の共有パスワードとして使用するステップと;第1のデバイスの公開鍵を用いてパスワードを暗号化し、その後、暗号化結果を第1のデバイスに送信するステップとを含み、
このため、第1のデバイスは、第1のデバイスの秘密鍵を用いて、受信した暗号化結果を復号化し、その後、取得したパスワードを第1の共有鍵として使用する。
第3の態様に関連して、第4の可能な実施態様では、方法は:第1のデバイスと第2のデバイスによって、鍵交換アルゴリズムを事前認証するステップをさらに含み;
第1のデバイスが第2のデバイスの公開鍵を用いて第1の共有鍵を生成した後に、第1の共有鍵を取得するために使用され、第1のデバイスによって送信される情報を受信するステップは:第1のデバイスが、第2のデバイスの公開鍵と第1のデバイスの秘密鍵を用いて鍵交換アルゴリズムに従って、第1のデバイスの公開鍵を生成した後に、第2のデバイスによって、第1のデバイスにより送信される第1のデバイスの公開鍵を受信するステップを含み;および、
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて、第2のデバイスによって、第1の共有鍵を生成するステップは:第2のデバイスの秘密鍵および第1のデバイスの公開鍵を用いて、鍵交換アルゴリズムに従って、第2のデバイスによって第1の共有鍵を生成するステップを含む。
第3の態様の第4の可能な実施態様に関連して、第5の可能な実施態様では、第1のデバイスおよび第2のデバイスによって、鍵交換アルゴリズムを事前認証するステップは:
第2のデバイスおよび第1のデバイスにおいて、鍵交換アルゴリズムによって使用されるパラメータを事前構成するステップ;または、
鍵交換アルゴリズムによって使用され、コンフィギュレーションデバイスによって送信されるパラメータを、第2のデバイスおよび第1のデバイスによって受信するステップ
を含む。
第3の態様または第3の態様の第1から第5の可能な実施態様のいずれか1つに関連して、第6の可能な実施態様では、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される第1の共有鍵は:
第2のデバイスによって、第1のデバイスによって送信される暗号化結果を受信するステップであって、暗号化結果は、第1のデバイスが第1の共有鍵を取得し、クレデンシャルを生成し、その後第1の共有鍵または第1の共有鍵の導出鍵を用いてクレデンシャルを暗号化した後に取得される、ステップ;および、
クレデンシャルを取得するために、取得した第1の共有鍵または第1の共有鍵の導出鍵を用いて、第2のデバイスによって、暗号化結果を復号化するステップであって、クレデンシャルは、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される、ステップ;または、
第1の共有鍵を取得した後に、第2のデバイスによってクレデンシャルを生成するステップと;第1の共有鍵または第1の共有鍵の導出鍵を用いてクレデンシャルを暗号化し、その後、暗号化結果を第1のデバイスに送信するステップであって、このため、第1のデバイスは、クレデンシャルを取得するために、取得した第1の共有鍵または第1の共有鍵の導出鍵を用いて暗号化結果を復号化し、ここで、クレデンシャルは、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される、ステップと、
を含む。
第3の態様の第6の可能な実施態様に関連して、第7の可能な実施態様では、第1のデバイスが、レジストラRegistrar、中央ノード、またはグループ所有者GOである場合、第1のデバイスは、クレデンシャルを生成し、クレデンシャルの暗号化結果を第2のデバイスに送信するか;または、
第2のデバイスが、Registrar、中央ノード、またはGOである場合、第2のデバイスは、クレデンシャルを生成し、クレデンシャルの暗号化結果を第1のデバイスに送信する。
第3の態様または第3の態様の第1から第7の可能な実施態様のいずれか1つに関連して、第8の可能な実施態様では、方法は:
第2のデバイスによって、第2のデバイスのチャネル情報をコンフィギュレーションデバイスに提供するステップをさらに含み、このため、コンフィギュレーションデバイスは、第2のデバイスのチャネル情報を第1のデバイスに送信し、その後、第1のデバイスは、第1の共有鍵を取得するための情報を第2のデバイスに送信するステップを実行するように、第2のデバイスのチャネル情報に従って、第2のデバイスを迅速に発見する。
第3の態様または第3の態様の第1から第8の可能な実施態様のいずれか1つに関連して、第9の可能な実施態様では、コンフィギュレーションデバイスは、2次元コードまたはUSBを使用することによって、または近距離無線通信の手段によって、第2のデバイスまたは第1のデバイスから情報を取得する。
第3の態様または第3の態様の第1から第9の可能な実施態様のいずれか1つに関連して、第10の可能な実施態様では、方法は:
第2のデバイスの公開鍵を用いて、第1のデバイスによって生成される検証値を、第2のデバイスによって受信するステップと;第2のデバイスの公開鍵を用いて受信した検証値を、第2のデバイスによって検証するステップと;検証が成功した場合には、第1の共有鍵を生成するステップを実行するステップとをさらに含む。
第4の態様によれば、鍵コンフィギュレーション装置は:
コンフィギュレーションデバイスが第2のデバイスの公開鍵を取得した後にコンフィギュレーションデバイスによって送信される第2のデバイスの公開鍵を受信するように構成される、コンフィギュレーション受信部;および、
第2のデバイスの公開鍵を用いて第1の共有鍵を取得するための情報を第2のデバイスに送信するか、または、第2のデバイスの公開鍵を用いて第1の共有鍵を生成して、第1の共有鍵を取得するための情報を第2のデバイスに送信するように構成された鍵処理部であって、このため、第2のデバイスは、第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて第1の共有鍵を生成し、ここで、第1の共有鍵は、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される、鍵処理部
を含む。
第4の態様に関連して、第1の可能な実施態様では、鍵処理部は、パスワードを生成し、そのパスワードを第1の共有鍵として使用し;暗号化結果を取得するために、第2のデバイスの公開鍵を用いてパスワードを暗号化し;および、暗号化結果を第2のデバイスに送信するように特に構成され、このため、第2のデバイスは、パスワードを取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し、そのパスワードを第1の共有鍵として使用するか;または、
鍵処理部は、パスワードを生成し、暗号化結果を取得するために、第2のデバイスの公開鍵を用いてそのパスワードを暗号化し;その暗号化結果を第2のデバイスに送信し;鍵導出アルゴリズムを用いてパスワードのための導出鍵を生成し;その導出鍵を第1の共有鍵として使用するように特に構成され、このため、第2のデバイスは、パスワードを取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し、鍵導出アルゴリズムを用いてパスワードのための導出鍵を生成して、その導出鍵を第1の共有鍵として使用する。
第4の態様に関連して、第2の可能な実施態様では、鍵処理部は、ランダマイザを生成し;第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成し;第2のデバイスの公開鍵を用いてランダマイザを暗号化し、その後、暗号化結果を第2のデバイスに送信するように特に構成され、このため、第2のデバイスは、ランダマイザを取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し、第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成する。
第4の態様に関連して、第3の可能な実施態様では、鍵処理部は、第2のデバイスの公開鍵を用いて第1のデバイスの公開鍵を暗号化し、その後、暗号化結果を第2のデバイスに送信し;第2のデバイスによって送信される暗号化結果を受信し、ここで、暗号化結果は、第1のデバイスの公開鍵を取得するために、第2のデバイスが、第2のデバイスの秘密鍵を用いて受信した暗号化結果を復号化し、パスワードを生成し、そのパスワードを第1の共有鍵として使用し、その後、第1のデバイスの公開鍵を用いてパスワードを暗号化した後に取得されたものであり;第1のデバイスの秘密鍵を用いて、受信した暗号化結果を復号化し、その後、取得したパスワードを第1の共有鍵として使用するように特に構成される。
第4の態様に関連して、第4の可能な実施態様では、鍵処理部は、第1のデバイスおよび第2のデバイスによって事前認証された鍵交換アルゴリズムに従って、第2のデバイスの公開鍵および第1のデバイスの秘密鍵を用いて、第1の共有鍵を生成し;第1のデバイスの公開鍵を第2のデバイスに送信するように特に構成され、このため、第2のデバイスは、第2のデバイスの秘密鍵および第1のデバイスの公開鍵を用いて、鍵交換アルゴリズムに従って、第1の共有鍵を生成する。
第4の態様の第4の可能な実施態様に関連して、第5の可能な実施態様では、鍵交換アルゴリズムによって使用されるパラメータは、鍵処理部で事前構成されるか;または、
コンフィギュレーション受信部は、鍵交換アルゴリズムによって使用され、コンフィギュレーションデバイスによって送信されるパラメータを受信し、パラメータを鍵処理部に提供するように、さらに構成される。
第4の態様または第4の態様の第1から第5の可能な実施態様のいずれか1つに関連して、第6の可能な実施態様では、鍵コンフィギュレーション装置は:セキュア接続部をさらに含み、
このセキュア接続部は、鍵処理部が第1の共有鍵を取得した後に、クレデンシャルを生成し;第1の共有鍵または第1の共有鍵の導出鍵を用いてクレデンシャルを暗号化し、その後、暗号化結果を第2のデバイスに送信するように構成され、このため、第2のデバイスは、クレデンシャルを取得するために、取得した第1の共有鍵または第1の共有鍵の導出鍵を用いて暗号化結果を復号化し、ここで、クレデンシャルは、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用されるか;または、クレデンシャルを取得するために、取得した第1の共有鍵または第1の共有鍵の導出鍵を用いて、第2のデバイスによって送信される、クレデンシャルの暗号化結果を復号化し、ここで、クレデンシャルの暗号化結果は、第2のデバイスが、第1の共有鍵を取得し、クレデンシャルを生成し、その後、第1の共有鍵および第1の共有鍵の導出鍵を用いてクレデンシャルを暗号化した後に取得され、クレデンシャルは、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される。
第4の態様または第4の態様の第1から第6の可能な実施態様のいずれか1つに関連して、第7の可能な実施態様では、コンフィギュレーション受信部は、コンフィギュレーションデバイスが第2のデバイスの公開鍵および第1のデバイスの公開鍵を取得した後に、コンフィギュレーションデバイスによって送信される暗号化結果を受信するように特に構成され、ここで、暗号化結果は、コンフィギュレーションデバイスが第1のデバイスの公開鍵を用いて第2のデバイスの公開鍵を暗号化した後に取得され;
鍵処理部は、第2のデバイスの公開鍵を取得するために、暗号化結果を復号化するようにさらに構成される。
第4の態様または第4の態様の第1から第6の可能な実施態様のいずれか1つに関連して、第8の可能な実施態様では、コンフィギュレーション受信部は、第2の共有鍵を生成するように、コンフィギュレーションデバイスとのセキュア接続を確立し;コンフィギュレーションデバイスが第2のデバイスの公開鍵を取得した後に、コンフィギュレーションデバイスによって送信される暗号化結果を受信するように特に構成され、ここで、暗号化結果は、コンフィギュレーションデバイスが第2の共有鍵を用いて第2のデバイスの公開鍵を暗号化した後に取得され;
鍵処理部は、第2のデバイスの公開鍵を取得するために、第2の共有鍵を用いて受信した暗号化結果を復号化するようにさらに構成される。
第4の態様の第8の可能な実施態様に関連して、第9の可能な実施態様では、第2の共有鍵を生成するようにコンフィギュレーションデバイスとのセキュア接続を確立するとき、特に、コンフィギュレーション受信部は、クレデンシャルを共有するためにワイファイの手段によってコンフィギュレーションデバイスとのWPSインタラクション方法をセキュアに確立し、そのクレデンシャルを第2の共有鍵として使用するか;または、コンフィギュレーションデバイスによって送信されるコンフィギュレーションデバイスの公開鍵を特に受信し、このため、第1のデバイスは、コンフィギュレーションデバイスの公開鍵および第1のデバイスの秘密鍵を用いて、事前認証された鍵交換アルゴリズムに従って、第2の共有鍵を生成する。
第4の態様の第4の可能な実施態様に関連して、第10の可能な実施態様では、第2のデバイスの公開鍵を取得した後に、鍵処理部は:新たな公開鍵および新たな秘密鍵を生成するようにさらに構成され;
第1のデバイスによって第2のデバイスに送信される第1のデバイスの公開鍵が、新たな公開鍵であり;第1の共有鍵を生成するために第2のデバイスによって使用される第1のデバイスの公開鍵が、新たな公開鍵であり;第1の共有鍵を生成するために第1のデバイスによって使用される第1のデバイスの秘密鍵が、新たな秘密鍵である。
第4の態様または第4の態様の第1から第10の可能な実施態様のいずれか1つに関連して、第11の可能な実施態様では、第1のデバイスはエンローリenrolleeであり、第2のデバイスはregistrarであり;または、第1のデバイスはクライアントclientであり、第2のデバイスはGOであり;または、第1のデバイスは無線端末であり、第2のデバイスはアクセスポイントであり;または、第1のデバイスは中央ノードであり、第2のデバイスはセンサノードである。
第4の態様または第4の態様の第1から第11の可能な実施態様のいずれか1つに関連して、第12の可能な実施態様では、コンフィギュレーション受信部は:第2のデバイスから取得され、その後、コンフィギュレーションデバイスによって送信される、第2のデバイスのチャネル情報を受信するようにさらに構成され;
鍵処理部は、第1の共有鍵を取得するための情報を第2のデバイスに送信する動作を実行するように、第2のデバイスのチャネル情報に従って、第2のデバイスを迅速に発見する。
第4の態様または第4の態様の第1から第12の可能な実施態様のいずれか1つに関連して、第13の可能な実施態様では、鍵処理部は:第2のデバイスの公開鍵を用いて検証値を生成し、その検証値を第2のデバイスに送信するようにさらに構成され、このため、第2のデバイスは、第1の共有鍵を生成する前に、第2のデバイスの公開鍵を用いて受信した検証値を検証し、検証が成功した場合には、第1の共有鍵を生成する動作を実行する。
第5の態様によれば、鍵コンフィギュレーション装置は:
第2のデバイスの公開鍵を取得するように構成された情報取得部;および、第2のデバイスの公開鍵を第1のデバイスに送信するように構成された情報送信部を含み、
このため、第1のデバイスは、第2のデバイスの公開鍵を用いて、第1の共有鍵を取得するための情報を第2のデバイスに送信するか;または、第1のデバイスは、第2のデバイスの公開鍵を用いて第1の共有鍵を生成し、第1の共有鍵を取得するための情報を第2のデバイスに送信し;および、
このため、第2のデバイスは、第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて第1の共有鍵を生成し、ここで、第1の共有鍵は、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される。
第5の態様に関連して、第1の可能な実施態様では、情報送信部は、鍵交換アルゴリズムによって使用されるパラメータを第1のデバイスおよび第2のデバイスに送信するようにさらに構成され、ここで、鍵交換アルゴリズムは、第1のデバイスの秘密鍵および第2のデバイスの公開鍵を用いて、鍵交換アルゴリズムに従って、第1のデバイスが第1の共有鍵を生成することを可能にするため、および、第2のデバイスの秘密鍵および第1のデバイスの公開鍵を用いて、鍵交換アルゴリズムに従って、第2のデバイスが第1の共有鍵を生成することを可能にするために使用される。
第5の態様または第5の態様の第1の可能な実施態様に関連して、第2の可能な実施態様では、情報取得部は、第1のデバイスの公開鍵を取得するようにさらに構成され;および、
情報送信部は、第1のデバイスの公開鍵を用いて第2のデバイスの公開鍵を暗号化し、暗号化結果を第1のデバイスに送信するように特に構成され、このため、第1のデバイスは、第2のデバイスの公開鍵を取得するために、暗号化結果を復号化する。
第5の態様または第5の態様の第1の可能な実施態様に関連して、第3の可能な実施態様では、情報送信部は:第2の共有鍵を生成するように、第1のデバイスへのセキュア接続を確立するようにさらに構成され;第2のデバイスの公開鍵を第1のデバイスに送信するとき、情報送信部は、第2の共有鍵を用いて、第2のデバイスの公開鍵を特に暗号化し、暗号化結果を第1のデバイスに送信し、このため、第1のデバイスは、第2のデバイスの公開鍵を取得するために、第2の共有鍵を用いて、受信した暗号化結果を復号化する。
第5の態様の第3の可能な実施態様に関連して、第4の可能な実施態様では、第2の共有鍵を生成するように第1のデバイスへのセキュア接続を確立するとき、情報送信部は、WPSインタラクション方法で第1のデバイスとクレデンシャルを共有し、そのクレデンシャルを第2の共有鍵として使用するように;または、コンフィギュレーションデバイスの公開鍵を第1のデバイスに送信し、第1のデバイスの公開鍵とコンフィギュレーションデバイスの秘密鍵を用いて、事前認証された鍵交換アルゴリズムに従って、第2の共有鍵を生成するように特に構成される。
第5の態様または第5の態様の第1から第4の可能な実施態様のいずれか1つに関連して、第5の可能な実施態様では、情報取得部は:第2のデバイスのチャネル情報を取得するようにさらに構成され;および、
情報送信部は、第2のデバイスのチャネル情報を第1のデバイスに送信するようにさらに構成され、このため、第1のデバイスは、第1の共有鍵を取得するための情報を第2のデバイスに送信する動作を実行するように、第2のデバイスのチャネル情報に従って、第2のデバイスを迅速に発見する。
第5の態様または第5の態様の第1から第5の可能な実施態様のいずれか1つに関連して、第6の可能な実施態様では、情報取得部は、2次元コードをスキャンすることによって、ユニバーサルシリアルバスUSBを使用することによって、または近距離無線通信の手段によって、第1のデバイスまたは第2のデバイスから情報を取得するように特に構成される。
第6の態様によれば、鍵コンフィギュレーション装置は:
コンフィギュレーションデバイスが第2のデバイスの公開鍵を第1のデバイスに送信するために、第2のデバイスの公開鍵をコンフィギュレーションデバイスに送信するように構成された情報提供部と;
第1の共有鍵を取得するために使用され、第2のデバイスの公開鍵を用いて第1のデバイスによって送信される情報を受信するように;または、第1のデバイスが第2のデバイスの公開鍵を用いて第1の共有鍵を生成した後に、第1の共有鍵を取得するために使用され、第1のデバイスによって送信される情報を受信するように構成された情報受信部と;
第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて第1の共有鍵を生成するように構成された鍵生成部であって、第1の共有鍵は、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される、鍵生成部と
を含む。
第6の態様に関連して、第1の可能な実施態様では、情報受信部は、第1のデバイスによって送信される暗号化結果を受信するように特に構成され、ここで、暗号化結果は、第1のデバイスがパスワードを生成し、そのパスワードを第1の共有鍵として使用し、第2のデバイスの公開鍵を用いてパスワードを暗号化した後に取得され;および、
鍵処理部は、パスワードを取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し、そのパスワードを第1の共有鍵として使用するように特に構成され;または、
情報受信部は、第1のデバイスによって送信される暗号化結果を受信するように特に構成され、ここで、暗号化結果は、第1のデバイスがパスワードを生成し、第2のデバイスの公開鍵を用いてパスワードを暗号化した後に取得され;および、
鍵処理部は、パスワードを取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し;鍵導出アルゴリズムを用いてパスワードのための導出鍵を生成し;その導出鍵を第1の共有鍵として使用するように特に構成される。
第6の態様に関連して、第2の可能な実施態様では、情報受信部は、第1のデバイスによって送信される暗号化結果を受信するように特に構成され、ここで、暗号化結果は、第1のデバイスがランダマイザを生成し、第2のデバイスの公開鍵を用いてランダマイザを暗号化した後に取得され、第1のデバイスは、第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成し;および、
鍵処理部は、ランダマイザを取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し;第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成するように特に構成される。
第6の態様に関連して、第3の可能な実施態様では、情報受信部は、第1のデバイスが第2のデバイスの公開鍵を用いて第1のデバイスの公開鍵を暗号化した後に取得される暗号化結果を受信するように特に構成され;および、
鍵処理部は、第1のデバイスの公開鍵を取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し;パスワードを生成し;そのパスワードを第1の共有鍵として使用し;第1のデバイスの公開鍵を用いてパスワードを暗号化し、その後、暗号化結果を第1のデバイスに送信するように特に構成され、このため、第1のデバイスは、第1のデバイスの秘密鍵を用いて受信した暗号化結果を復号化し、その後、取得したパスワードを第1の共有鍵として使用する。
第6の態様に関連して、第4の可能な実施態様では、情報受信部は、第1のデバイスが鍵交換アルゴリズムに従って第2のデバイスの公開鍵と第1のデバイスの秘密鍵を用いて第1の共有鍵を生成した後に、第1のデバイスによって送信される第1のデバイスの公開鍵を受信するように、特に構成され、ここで、鍵交換アルゴリズムは、第1のデバイスおよび第2のデバイスによって事前認証され;および、
鍵処理部は、鍵交換アルゴリズムに従って第2のデバイスの秘密鍵および第1のデバイスの公開鍵を用いて、第1の共有鍵を生成するように特に構成される。
第6の態様の第4の可能な実施態様に関連して、第5の可能な実施態様では、鍵交換アルゴリズムによって使用されるパラメータは、鍵処理部で事前構成されるか;または、
情報受信部は、鍵交換アルゴリズムによって使用され、コンフィギュレーションデバイスによって送信されるパラメータを受信し、パラメータを鍵処理部に提供するように、さらに構成される。
第6の態様または第6の態様の第1から第5の可能な実施態様のいずれか1つに関連して、第6の可能な実施態様では、鍵コンフィギュレーション装置は:セキュア接続部をさらに含み、このセキュア接続部は、
第1のデバイスによって送信される暗号化結果を受信し、ここで、暗号化結果は、第1のデバイスが第1の共有鍵を取得し、クレデンシャルを生成し、その後、第1の共有鍵または第1の共有鍵の導出鍵を用いてクレデンシャルを暗号化した後に取得され;および、クレデンシャルを取得するために、取得した第1の共有鍵または第1の共有鍵の導出鍵を用いて、暗号化結果を復号化し、ここで、クレデンシャルは、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される、ように構成され;または、
鍵処理部が第1の共有鍵を取得した後に、クレデンシャルを生成し;第1の共有鍵または第1の共有鍵の導出鍵を用いてクレデンシャルを暗号化し、その後、暗号化結果を第1のデバイスに送信するように構成され、このため、第1のデバイスは、クレデンシャルを取得するために、取得した第1の共有鍵または第1の共有鍵の導出鍵を用いて暗号化結果を復号化し、ここで、クレデンシャルは、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される。
第6の態様または第6の態様の第1から第6の可能な実施態様のいずれか1つに関連して、第7の可能な実施態様では、情報提供部は:第2のデバイスのチャネル情報をコンフィギュレーションデバイスに提供するようにさらに構成され、このため、コンフィギュレーションデバイスは、第2のデバイスのチャネル情報を第1のデバイスに送信し、その後、第1のデバイスは、第1の共有鍵を取得するための情報を第2のデバイスに送信する動作を実行するように、第2のデバイスのチャネル情報に従って、第2のデバイスを迅速に発見する。
第6の態様または第6の態様の第1から第7の可能な実施態様のいずれか1つに関連して、第8の可能な実施態様では、情報提供部は、2次元コードまたはUSBを使用することによって、または近距離無線通信の手段によって、コンフィギュレーションデバイスに情報を提供するように特に構成される。
第6の態様または第6の態様の第1から第7の可能な実施態様のいずれか1つに関連して、第9の可能な実施態様では、情報受信部は、第2のデバイスの公開鍵を用いて第1のデバイスによって生成される検証値を受信するように、さらに構成され;
鍵処理部は、第2のデバイスの公開鍵を用いて受信した検証値を検証し、検証が成功した場合には、第1の共有鍵を生成する動作を実行するように、さらに構成される。
第7の態様によれば、鍵コンフィギュレーションシステムは:第4の態様に記載の鍵コンフィギュレーション装置、第5の態様に記載の鍵コンフィギュレーション装置、および第6の態様に記載の鍵コンフィギュレーション装置;または、
第4の態様の第1の可能な実施態様に記載の鍵コンフィギュレーション装置、第5の態様に記載の鍵コンフィギュレーション装置、および第6の態様の第1の可能な実施態様に記載の鍵コンフィギュレーション装置;または、
第4の態様の第2の可能な実施態様に記載の鍵コンフィギュレーション装置、第5の態様に記載の鍵コンフィギュレーション装置、および第6の態様の第2の可能な実施態様に記載の鍵コンフィギュレーション装置;または、
第4の態様の第3の可能な実施態様に記載の鍵コンフィギュレーション装置、第5の態様に記載の鍵コンフィギュレーション装置、および第6の態様の第3の可能な実施態様に記載の鍵コンフィギュレーション装置;または、
第4の態様の第4の可能な実施態様に記載の鍵コンフィギュレーション装置、第5の態様に記載の鍵コンフィギュレーション装置、および第6の態様の第4の可能な実施態様に記載の鍵コンフィギュレーション装置;または、
第4の態様の第5の可能な実施態様に記載の鍵コンフィギュレーション装置、第5の態様の第1の可能な実施態様に記載の鍵コンフィギュレーション装置、および第6の態様の第5の可能な実施態様に記載の鍵コンフィギュレーション装置;または、
第4の態様の第6の可能な実施態様に記載の鍵コンフィギュレーション装置、第5の態様に記載の鍵コンフィギュレーション装置、および第6の態様の第6の可能な実施態様に記載の鍵コンフィギュレーション装置;または、
第4の態様の第7の可能な実施態様に記載の鍵コンフィギュレーション装置、第5の態様の第2の可能な実施態様に記載の鍵コンフィギュレーション装置、および第6の態様または第6の態様の第1から第6の可能な実施態様のいずれか1つに記載の鍵コンフィギュレーション装置;または、
第4の態様の第8の可能な実施態様に記載の鍵コンフィギュレーション装置、第5の態様の第3の可能な実施態様に記載の鍵コンフィギュレーション装置、および第6の態様または第6の態様の第1から第6の可能な実施態様のいずれか1つに記載の鍵コンフィギュレーション装置;または、
第4の態様の第9の可能な実施態様に記載の鍵コンフィギュレーション装置、第5の態様の第4の可能な実施態様に記載の鍵コンフィギュレーション装置、および第6の態様または第6の態様の第1から第6の可能な実施態様のいずれか1つに記載の鍵コンフィギュレーション装置;または、
第4の態様の第10の可能な実施態様に記載の鍵コンフィギュレーション装置、第5の態様に記載の鍵コンフィギュレーション装置、および第6の態様の第4の可能な実施態様に記載の鍵コンフィギュレーション装置;または、
第4の態様の第11の可能な実施態様に記載の鍵コンフィギュレーション装置、第5の態様または第5の態様の第1から第4の可能な実施態様のいずれか1つに記載の鍵コンフィギュレーション装置、および第6の態様または第6の態様の第1から第6の可能な実施態様のいずれか1つに記載の鍵コンフィギュレーション装置;または、
第4の態様の第12の可能な実施態様に記載の鍵コンフィギュレーション装置、第5の態様の第5の可能な実施態様に記載の鍵コンフィギュレーション装置、および第6の態様の第7の可能な実施態様に記載の鍵コンフィギュレーション装置;または、
第4の態様の第13の可能な実施態様に記載の鍵コンフィギュレーション装置、第5の態様または第5の態様の第1から第5の可能な実施態様にいずれか1つに記載の鍵コンフィギュレーション装置、および第6の態様の第9の可能な実施態様に記載の鍵コンフィギュレーション装置;または、
第4の態様または第4の態様の第1から第13の可能な実施態様のいずれか1つに記載の鍵コンフィギュレーション装置、第5の態様の第6の可能な実施態様に記載の鍵コンフィギュレーション装置、および第6の態様の第8の可能な実施態様に記載の鍵コンフィギュレーション装置、
を含む。
前述の技術的解決策から分かるように、本発明のサードパーティのコンフィギュレーションデバイスは、公開鍵、および第1のデバイスと第2のデバイスとの間のデバイス情報を提供するように、単に構成され、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される第1の共有鍵は、第1のデバイスと第2のデバイスによって別々に生成され;さらに、第1の共有鍵は、第1のデバイスと第2のデバイスとの間で直接提供されないが、第1の共有鍵を取得するための情報は、第2のデバイスに提供され、第1の共有鍵は、第2のデバイスの秘密鍵を必ず用いて生成される。したがって、アタッカが、コンフィギュレーションデバイスと、第1のデバイスと、第2のデバイスとの間で提供される公開鍵を傍受したとしても、アタッカは、第1の共有鍵を取得することができず、これにより、第1のデバイスと第2のデバイスとの間のインタラクションのセキュリティを向上させることになる。
従来技術におけるサードパーティのコンフィギュレーションデバイスに基づく鍵コンフィギュレーション方法の概略的流れ図である。 本発明の実施形態1による鍵コンフィギュレーション方法の概略的流れ図である。 本発明の実施形態2による鍵コンフィギュレーション方法の概略的流れ図である。 本発明の実施形態3による鍵コンフィギュレーション方法の概略的流れ図である。 本発明の実施形態4による鍵コンフィギュレーション方法の概略的流れ図である。 本発明の実施形態5による鍵コンフィギュレーション方法の概略的流れ図である。 本発明の実施形態6による鍵コンフィギュレーション方法の概略的流れ図である。 本発明の一実施形態によるシステムの概略的構成図である。 本発明の一実施形態による第1のデバイスに配置された鍵コンフィギュレーション装置の概略的構造図である。 本発明の一実施形態によるコンフィギュレーションデバイスに配置された鍵コンフィギュレーション装置の概略的構造図である。 本発明の一実施形態による第2のデバイスに配置された鍵コンフィギュレーション装置の概略的構造図である。 本発明の一実施形態によるコンフィギュレーションデバイスのハードウェアの概略的構造図である。 本発明の一実施形態による第1のデバイスのハードウェアの概略的構造図である。 本発明の一実施形態による第2のデバイスのハードウェアの概略的構造図である。
本発明の目的、技術的解決策、および利点をより明確にするために、以下で、添付の図面および実施形態を参照して本発明を詳細に説明する。
本発明の中心となる概念は、次のとおりである:サードパーティのコンフィギュレーションデバイスが、第2のデバイスの公開鍵を取得し、第2のデバイスの公開鍵を第1のデバイスに送信する;第1のデバイスは、共有鍵を生成して、第2のデバイスの公開鍵を用いて第1の共有鍵を取得するための情報を第2のデバイスに送信するか、または第1のデバイスは、第2のデバイスの公開鍵を用いて第1の共有鍵を生成して、第1の共有鍵を取得するための情報を第2のデバイスに送信する;第1のデバイスは、第2のデバイスのデバイス情報を用いて第1のデバイスの公開鍵を第2のデバイスに送信する;第2のデバイスは、第2のデバイスの秘密鍵と第1の共有鍵を取得するための情報を用いて共有鍵を生成し、共有鍵は、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される。
上記の中心となる概念を用いることにより、本発明は、共有鍵のコンフィギュレーションを行うために鍵交換方法を使用しても、使用しなくてもよい。本発明により提供される方法を、いくつかの特定の実施形態を用いて以下に詳細に説明する。
実施形態1
本実施形態では、鍵交換方法は、共有鍵のコンフィギュレーションを行うために使用される。第1のデバイスと第2のデバイスは、鍵交換アルゴリズムを事前認証する。鍵交換アルゴリズムは、共有鍵の生成中に第1のデバイスと第2のデバイスによって続いて使用されるアルゴリズムであり、これは、D−Hアルゴリズム、RSAアルゴリズム、EIGamalアルゴリズム、などであり得るが、これらに限定されるものではない。鍵交換アルゴリズムがさまざまであるため、事前共有したパラメータもさまざまである。鍵交換アルゴリズムの中核は、次のとおりである:デバイスは、その公開鍵を公開し、その秘密鍵を保持する;それぞれが、他のパーティの公開鍵とそれ自体の秘密鍵を用いて共有鍵を生成し、これにより、安全でないネットワークをトラバースするメッセージのセキュリティを、共有鍵を用いて確実にする。
鍵交換アルゴリズムによって使用されるパラメータを共有する次の2つの方法が含まれ得るが、これらに限定されない:第1の方法では、鍵交換アルゴリズムによって使用されるパラメータは、第1のデバイスと第2のデバイスで事前構成される;および、第2の方法で、サードパーティのコンフィギュレーションデバイスは、鍵交換アルゴリズムによって使用されるパラメータを第1のデバイスと第2のデバイスに送信する。
本発明の実施形態では、D−Hアルゴリズムが一例として使用されている。第1のデバイスおよび第2のデバイスは、パラメータgおよびPを事前共有し、このパラメータgおよびPは、第1のデバイスおよび第2のデバイスで事前共有され、ここで、Pは素数であり、gはPの原始根である。また、第1のデバイスと第2のデバイスはそれぞれ、公開鍵と秘密鍵を有する。第1のデバイスの公開鍵と秘密鍵はそれぞれ、PkeyAとkeyAであり、第2のデバイスの公開鍵と秘密鍵はそれぞれ、PkeyBとkeyBである。前述のコンフィギュレーションは、以下の実施形態2および実施形態3の両方に存在するが、これを再度詳細には説明しない。
図2は、本発明の実施形態1による鍵コンフィギュレーション方法の概略的流れ図である。図2に示すように、プロセスは以下のステップを含むことができる:
ステップ201:コンフィギュレーションデバイスは、第1のデバイスの公開鍵PkeyAと第1のデバイスのデバイス情報を取得する。
デバイス情報は、第1のデバイスの少なくともアドレス情報を含む。
このステップは、この実施形態では任意のステップである。
ステップ202:コンフィギュレーションデバイスは、第2のデバイスの公開鍵PkeyBと第2のデバイスのデバイス情報を取得する。
デバイス情報は、第2のデバイスの少なくともアドレス情報を含む。
本発明は、上記の2つのステップの順序を制限するものではない。2つのステップは任意の順序で連続的に行われてもよいし、同時に行われてもよい。
上記のデバイス情報は、主にアドレス情報であり、これは、非限定的に、UUID(Universally Unique Identifier、汎用一意識別子)、製造元、シリアル番号、デバイス機能、などのデバイス情報をさらに含んでもよい。デバイス機能は、デバイスによってサポートされる、アルゴリズム、認証方法、デバイスロール情報、デバイスタイプ情報、などを指し、ここで、デバイスロール情報は登録時のデバイスのロールを指し、このロールは、enrollee、registrar、client、GO、などであってもよい。デバイスタイプ情報は、WiFi無線端末(例えば、携帯電話、コンピュータ、またはセンサ)、アクセスポイント(wifiネットワークにおけるAP)、センサノード、中央ノード、などであってもよい。本実施形態のコンフィギュレーションデバイスによって取得されるデバイス情報は、主に、アドレス情報である。
第1のデバイスの公開鍵PkeyA、第1のデバイスのデバイス情報、第2のデバイスの公開鍵PkeyB、および第2のデバイスのデバイス情報を、複数の方法で取得することができ、例えば、NFCやUSBなどのセキュアな媒体を用いて取得することができ;特に、ヘッドレスデバイスについては、走査識別コードを用いることが好ましい。つまり、第1のデバイスの公開鍵PkeyAと第1のデバイスのデバイス情報は、第1のデバイスの走査識別コードに符号化され、コンフィギュレーションデバイスは、走査識別コードによって第1のデバイスの公開鍵PkeyAと第1のデバイスのデバイス情報を取得することができ;状況は、第2のデバイスでも同じである。走査識別コードは、例えば、2次元コードやバーコードであってもよい。
ステップ203:コンフィギュレーションデバイスは、第1のデバイスのデバイス情報に従って、第2のデバイスの公開鍵PkeyBと第2のデバイスのデバイス情報を、第1のデバイスに送信する。
このステップでは、セキュリティおよび信頼性をさらに向上させるために、コンフィギュレーションデバイスは、第1のデバイスの公開鍵PkeyAを用いて、第2のデバイスの公開鍵PkeyBと第2のデバイスのデバイス情報を暗号化することができ、その後、第1のデバイスに暗号化結果を送信する。
ここでは、公開鍵を用いた暗号化方法が記載され、主に2つの暗号化方法が存在する:
第1の暗号化方法では、公開鍵が非対称暗号化のための公開鍵である場合、公開鍵を暗号化のために直接使用することができ、復号化のための対応する秘密鍵を使用する必要がある。
第2の暗号化方法では、公開鍵が鍵交換のための公開鍵である場合、暗号化は、公開鍵の一部の情報を用いて行われるか、公開鍵の導出情報に基づいて行われ;復号化時には、復号化のために、対応する秘密鍵ではなく、対称鍵を使用する必要がある。
上記の暗号化方法の1つは、特定の状況に応じて、後に続く暗号化および復号化プロセスで使用され得る。
第2の暗号化方法は、暗号化のために本明細書中で使用される。
ステップ204:第1のデバイスは、第2のデバイスの公開鍵PkeyBを用いて検証値を生成し、生成した検証値を第2のデバイスに送信する。
暗号化結果がコンフィギュレーションデバイスによって送信される場合、第1のデバイスは、第2のデバイスの公開鍵PkeyBと第2のデバイスのデバイス情報を取得するために、暗号化結果を最初に復号化する。
このステップで第2のデバイスの公開鍵PkeyBを用いて生成される検証値は、非限定的に、PkeyBのハッシュ(hash)値であってもよいし、別の予め設定されたアルゴリズムを用いて生成される検証値であってもよい。
ステップ205:第1のデバイスは、第2のデバイスのデバイス情報を用いて、第1のデバイスの公開鍵PkeyAを、第2のデバイスに送信する。
第2のデバイスのアドレス情報を取得した後に、第1のデバイスは、検証値とPkeyAを第2のデバイスに送信する。鍵交換方法は、本実施形態における共有鍵のコンフィギュレーションを行うために使用されるため、共有鍵を取得するための、第1のデバイスによって第2のデバイスに送信される情報は、本実施形態における第1のデバイスの公開鍵PkeyAである。
また、前述のステップ204と205の順番に制限はなく;この2つのステップは、任意の順序で連続的に行われてもよいし、同時に行われてもよいことに留意すべきである。
ステップ206:第2のデバイスは、第2のデバイスの公開鍵PkeyBを用いて、受信した検証値を検証し、検証が成功した場合に、第1のデバイスの公開鍵PkeyAを記録する。
なお、ステップ204と第2のデバイスによって検証値を検証するこのステップは、セキュリティと信頼性をさらに向上させるために行われる動作であり、本発明の必要不可欠なステップではないことに留意されたい。ステップ204が存在しない場合、第2のデバイスは、受信したPkeyAを直接記録する。
検証中に、第2のデバイスは、第2のデバイスの公開鍵PkeyBと、第1のデバイスによって使用されるのと同じ検証値生成方法を用いて検証値を生成し、生成した検証値を受信した検証値と比較することができる。生成した検証値が受信した検証値と一致している場合は、検証が成功したことになる;そうでなければ、検証は失敗している。検証が失敗した場合に、第1のデバイスの受信した公開鍵PkeyAを破棄することができ、その後の処理は実行されない;加えて、ユーザは、コンフィギュレーションの失敗をさらに通知されることが可能であり、例えば、ユーザは、インジケータを使用して、または画面上に表示する方法で、または音声的に通知され得る。
ステップ207:第1のデバイスは、第2のデバイスの公開鍵と第1のデバイスの秘密鍵を用いて共有鍵を生成し、第2のデバイスは、第1デバイスの公開鍵と第2のデバイスの秘密鍵を用いて、共有鍵を生成する。
なお、第1のデバイスは、ステップ203の後の任意の時点で共有鍵を生成することができ、すなわち、第1のデバイスは、第2のデバイスの公開鍵を取得した後に、共有鍵を生成することができ;共有鍵の生成は、必ずしもこのステップで実施されなくてもよいことに留意すべきである。
第1のデバイスと第2のデバイスは、共有鍵を生成するために、事前共有した鍵交換アルゴリズムを使用する。一例として、D−Hアルゴリズムを使用して、第1のデバイスの公開鍵は、PkeyA=(g^keyA)mod(P)であり、ここで、keyAは第1のデバイスの秘密鍵であり、乱数である;第2のデバイスの公開鍵は、PkeyB=(g^keyB)mod(P)であり、ここで、keyBは第2のデバイスの秘密鍵であり、これも乱数である。上記の式において、^は指数演算子であり、X^YはY乗まで累乗されるXを示し、modはモジュロ演算子であり、XmodYはXを用いてYで実行されるモジュロ演算を示している。第1のデバイスは、PkeyBとkeyAを用いて共有鍵DHkeyAを生成し、すなわち、
DHkeyA=((PkeyB)^keyA)mod(P)
である。
第2のデバイスは、PkeyAとkeyBを用いて共有鍵DHkeyBを生成し、すなわち、
DHkeyB=((PkeyA)^keyB)mod(P)
である。
DHkeyA=DHkeyBであることは、D−Hアルゴリズムから知ることができる。
ステップ208:第1のデバイスと第2のデバイスは、共有鍵に基づいて、セキュア接続を実行する。
つまり、第1のデバイスと第2のデバイスは、共有鍵に基づいて、その後のインタラクションを実行することができ、その後のインタラクションは:認証プロセス、アソシエーションプロセス、データインタラクションプロセス、などを含み得るが、これらに限定されるものではない。従来技術を、共有鍵を用いてセキュア接続を実行するために使用することができ、これは、本明細書に再度説明されない。
さらに、共有鍵に直接基づいてセキュア接続を実行することに加えて、第1のデバイスと第2のデバイスは、共有鍵導出アルゴリズムに基づいて、共有鍵のための導出鍵を生成し、この導出鍵を用いてその後のセキュア接続を実行することができる。第1のデバイスと第2のデバイスが一貫した鍵導出アルゴリズムを事前認証している限り、本発明は鍵導出アルゴリズムを限定するものではない。
代替的に、クレデンシャルが、共有鍵を用いてさらに提供される。第1のデバイスは、共有鍵を生成した後にクレデンシャルを生成し、その共有鍵または共有鍵の導出鍵を用いてクレデンシャルを暗号化し、その後、暗号化結果を第2のデバイスに提供する;第2のデバイスは、クレデンシャルを取得するために、生成した共有鍵または共有鍵の導出鍵を用いて暗号化結果を復号化する。代替的に、第2のデバイスは、共有鍵を生成した後にクレデンシャルを生成し、その共有鍵または共有鍵の導出鍵を用いてクレデンシャルを暗号化し、その後、暗号化結果を第1のデバイスに提供する;第1のデバイスは、クレデンシャルを取得するために、生成した共有鍵または共有鍵の導出鍵を用いて暗号化結果を復号化する。
本明細書では、具体的には、第1のデバイスがクレデンシャルを第2のデバイスに送信するか、または第2のデバイスがクレデンシャルを第1のデバイスに送信するかどうかを、デバイスのタイプに応じて決定することができる。第1のデバイスが、registrar、中央ノード、またはGOである場合、第1のデバイスは、クレデンシャルを生成し、それを第2のデバイスに送信することができる。
実施形態2
本実施形態では、鍵交換方法はまたは、共有鍵のコンフィギュレーションを行うために使用される。図3は、本発明の実施形態2による鍵コンフィギュレーション方法の概略的流れ図である。本実施形態では、実施形態1と同じステップは記載されておらず、実施形態1の説明を参照されたい。図3に示すように、プロセスは以下のステップを含む:
ステップ301は、ステップ201と同じである。
ステップ302は、ステップ202と同じである。
ステップ303:コンフィギュレーションデバイスは、共有鍵DHkeyC’およびDHkeyA’を生成するように、第1のデバイスとのセキュア接続を確立する。
次の2つの方法を、このステップを実施するために使用することができるが、これらに限定されるものではない。
第1の方法では、コンフィギュレーションデバイスおよび第1のデバイスは、既存のWPSインタラクション方法で、クレデンシャル(すなわち、背景において図1についての説明で生成したkey1)を共有し、このクレデンシャルを共有鍵DHkey’として使用する。
第2の方法では、コンフィギュレーションデバイスは、コンフィギュレーションデバイスの公開鍵PkeyCを第1のデバイスに送信し、コンフィギュレーションデバイスは、第1のデバイスの公開鍵PkeyAとコンフィギュレーションデバイスの秘密鍵keyCを用いて鍵交換アルゴリズムを実行して、共有鍵DHkeyC’を生成する;第1のデバイスは、コンフィギュレーションデバイスの公開鍵PkeyCと第1のデバイスの秘密鍵keyAを用いて鍵交換アルゴリズムを実行して、共有鍵DHkeyA’を生成する。
このような方法では、コンフィギュレーションデバイスとの第1のデバイスとの間の鍵交換アルゴリズムによって使用されるパラメータを事前共有することが必要とされる。一例として、D−Hアルゴリズムを使用することによって、コンフィギュレーションデバイスはまた、事前共有したパラメータgおよびPを取得する。コンフィギュレーションデバイスの公開鍵はPkeyC=(g^keyC)mod(P)であり、コンフィギュレーションデバイスによって生成される共有鍵はDHkeyC’=((PkeyA)^keyC)mod(P)であり、第1のデバイスによって生成される共有鍵はDHkeyA’=((PkeyC)^keyA)mod(P)である。DHkeyC’=DHkeyA’であることは、D−Hアルゴリズムから知ることができる。
ステップ304:コンフィギュレーションデバイスは、共有鍵DHkeyC’を用いて、第2のデバイスの公開鍵PkeyBと第2のデバイスのデバイス情報を暗号化し、その後、暗号化結果を第1のデバイスに送信する。
ステップ305:第1のデバイスは、第2のデバイスの公開鍵PkeyBと第2のデバイスのデバイス情報を取得するために、共有鍵DHkeyA’を用いて受信した暗号化結果を復号化する。
代替的に、ステップ304では、コンフィギュレーションデバイスはまたは、共有鍵DHkeyC’を用いて導出鍵を最初に生成し;その後、導出鍵を用いて、第2のデバイスの公開鍵PkeyBと第2のデバイスのデバイス情報を暗号化し、暗号化結果を第1のデバイスに送信する。コンフィギュレーションデバイスと第1のデバイスが生成方法を事前認証している限り、導出鍵を生成する具体的な方法は、本明細書に記載されない。したがって、ステップ305では、第1のデバイスは、共有鍵DHkeyA’を用いて導出鍵を最初に生成し、その後、導出鍵を用いて受信した暗号化結果を復号化する。
ステップ306:第1のデバイスは、新たな秘密鍵keyA’と新たな公開鍵PkeyA’を生成する。
このステップは、インタラクションのセキュリティをさらに向上させるために行われるステップである。第1のデバイスは、新たな乱数を生成し、この乱数を秘密鍵keyA’として使用し、その後、新たな秘密鍵を用いて新たな公開鍵PkeyA’を生成する。一例として、D−Hアルゴリズムを使用すると、PkeyA’=(g^keyA’)mod(P)である。
続くステップ307からステップ311は、実施形態1のステップ204からステップ208とそれぞれ同じであるが、これらのステップが関与している第1のデバイスの公開鍵および秘密鍵は、ステップ306の新たな公開鍵PkeyA’およびkeyA’とそれぞれ置き換えられる。
実施形態3
本実施形態では、鍵交換方法はまたは、共有鍵のコンフィギュレーションを行うために使用される。図4は、本発明の実施形態3による鍵コンフィギュレーション方法の概略的流れ図である。本実施形態では、実施形態1と同じステップは記載されておらず、実施形態1の説明を参照されたい。図4に示すように、プロセスは以下のステップを含む:
ステップ401は、ステップ201と同じである。なお、このステップでコンフィギュレーションデバイスによって取得された第1のデバイスのデバイス情報は、少なくとも、第1のデバイスのアドレス情報、および第1のデバイスのデバイスロール情報またはデバイスタイプ情報を含み、ここで、デバイスロール情報は登録時のデバイスのロールを指し、例えば、このロールは、enrollee、registrar、client、またはGOであってもよい。デバイスタイプ情報は、無線端末、アクセスポイント、センサノード、中央ノード、などであってもよい。
ステップ402は、ステップ202と同じである。同様に、コンフィギュレーションデバイスによって取得された第2のデバイスのデバイス情報は、少なくとも、第2のデバイスのアドレス情報、および第2のデバイスのデバイスロール情報またはデバイスタイプ情報を含む。
実施形態1の説明と同じで、第1のデバイスの公開鍵PkeyA、第1のデバイスのデバイス情報、第2のデバイスの公開鍵PkeyB、および第2のデバイスのデバイス情報を、多様な方法で取得することができ、例えば、NFCやUSBなどのセキュアな媒体を用いて取得することができ;特に、ヘッドレスデバイスについては、走査識別コードを用いることが好ましい。つまり、第1のデバイスの公開鍵PkeyAと第1のデバイスのデバイス情報は、第1のデバイスの走査識別コードに書き込まれ、コンフィギュレーションデバイスは、走査識別コードによって第1のデバイスの公開鍵PkeyAと第1のデバイスのデバイス情報を取得することができる;状況は、第2のデバイスでも同じである。走査識別コードは、例えば、2次元コードやバーコードであってもよい。
ステップ403:コンフィギュレーションデバイスは、第1のデバイスおよび第2のデバイスのデバイスロール情報またはデバイスタイプ情報に従って、第1のデバイスの公開鍵および第1のデバイスのデバイス情報を第2のデバイスに送信するか、または第2のデバイスの公開鍵および第2のデバイスのデバイス情報を第1のデバイスに送信するかどうかを決定する。
このステップでは、第1のデバイスがenrolleeであり、第2のデバイスがregistrarである場合、または第1のデバイスがclientであり、第2のデバイスがGOである場合、または第1のデバイスが無線端末であり、第2のデバイスがアクセスポイントである場合、第2のデバイスの公開鍵および第2のデバイスのデバイス情報が第1のデバイスに送信されることが決定され、これは、第1のデバイスが、第2のデバイスを迅速に発見し、効率を改善することを可能にすることを目的としている。第1のデバイスが中央ノードであり、第2のデバイスがセンサノードである場合、第2のデバイスの公開鍵および第2のデバイスのデバイス情報が第1のデバイス送信されることが決定され、これは、中央ノードが、センサノードを迅速に発見することを可能にすることを目的としている。第1のデバイスおよび第2のデバイスのロールまたはタイプが同じである場合、例えば、両方が、センサノードまたはclientである場合、第2のデバイスの公開鍵および第2のデバイスのデバイス情報が第1のデバイスに送信されることを決定するか、あるいは第1のデバイスの公開鍵および第1のデバイスのデバイス情報が第2のデバイスに送信されることを決定することが、可能である。このステップは任意である。
第2のデバイスの公開鍵および第2のデバイスのデバイス情報が第1のデバイスに送信されることが、ステップ403で決定されたと仮定すると、ステップ404は、ステップ203と同じである。
ステップ405からステップ409は、ステップ204からステップ208と同じである。
ただし、本実施形態では、ステップ405が実行される前に、第1のデバイスは、第1のデバイスおよび第2のデバイスのデバイスロール情報またはデバイスタイプ情報に従って、ステップ405で使用されるどのメッセージが検証値および第1のデバイスの公開鍵PkeyAを送信するかを決定するように、第2のデバイスへの接続を確立する方法を最初に決定することができる。例えば、第1のデバイスがenrolleeであり、第2のデバイスがregistrarである場合、または第1のデバイスが無線端末であり、第2のデバイスがアクセスポイントである場合、第1のデバイスは、検出メッセージを用いて、検証値および第1のデバイスの公開鍵PkeyAを第2のデバイスに送信することができる。第1のデバイスがregistrarであり、第2のデバイスがenrolleeである場合、または第1のデバイスがアクセスポイントであり、第2のデバイスが無線端末である場合、第1のデバイスは、ブロードキャストメッセージを用いて、検証値および第1のデバイスの公開鍵PkeyAを第2のデバイスに送信することができる。第1のデバイスがGOであり、第2のデバイスがclientである場合、第1のデバイスは、招待メッセージを用いて、検証値および第1のデバイスの公開鍵PkeyAを第2のデバイスに送信することができる。第1のデバイスがclientであり、第2のデバイスがGOである場合、第1のデバイスは、検出メッセージを用いて、検証値および第1のデバイスの公開鍵PkeyAを第2のデバイスに送信することができる。第1のデバイスがセンサノードであり、第2のデバイスが中央ノードである場合、第1のデバイスは、要求メッセージを用いて、検証値および第1のデバイスの公開鍵PkeyAを第2のデバイスに送信することができる。第1のデバイスが中央ノードであり、第2のデバイスがセンサノードである場合、第1のデバイスは、招待メッセージまたはブロードキャストメッセージを用いて、検証値および第1のデバイスの公開鍵PkeyAを第2のデバイスに送信することができる。
任意に、第1のデバイスおよび第2のデバイスの、コンフィギュレーションデバイスによって取得されたデバイス情報は、チャネル情報をさらに含むことができる。このような場合、第1のデバイスは、第2のデバイスのチャネル情報に従って第2のデバイスを迅速に発見し;ステップ405と406を実行し、すなわち、検証値および第1のデバイスの公開鍵PkeyAを第2のデバイスに送信することができる。
上記のプロセスに加えて、本実施形態はまた、第1のデバイスおよび第2のデバイスが共有鍵に基づいてセキュア接続を実行するまで、実施形態2のステップ306からと同じプロセスをステップ405から実行することができる。
実施形態4
本実施形態では、鍵交換方法は、共有鍵のコンフィギュレーションを行うために使用されない。図5は、本発明の実施形態4による鍵コンフィギュレーション方法の概略的流れ図である。本実施形態では、実施形態1と異なるステップが着目され、実施形態1と同様のステップは説明されない。図5に示すように、プロセスは以下のステップを含む:
ステップ501は、ステップ201と同じである。
ステップ502は、ステップ202と同じである。
ステップ503は、ステップ203と同じである。
ステップ504は、ステップ204と同じである。
ステップ505:第1のデバイスは、password(パスワード)を生成し、第2のデバイスの公開鍵PkeyBを用いてpasswordを暗号化し、その後、暗号化結果を第2のデバイスに送信する。
ここで、暗号化は、実施形態1で説明した第1の暗号化方法を用いて実施される。
つまり、第2のデバイスのアドレス情報を取得した後に、第1のデバイスは、検証値およびpasswordを暗号化することによって取得された暗号化結果を、第2のデバイスに送信する。つまり、本実施形態では、共有鍵を取得するための、第1のデバイスによって第2のデバイスに送信される情報は、第1のデバイスによって生成したpasswordである。
第1のデバイスは、ランダムな方法でpasswordを生成し、例えば、乱数を生成して、passwordとしてこの乱数を使用するか、または予め設定されたアルゴリズムを使用してpasswordを生成する。
ステップ506:第2のデバイスは、第2のデバイスの公開鍵PkeyBを用いて、受信した検証値を検証し;検証が成功した場合、passwordを取得するために、第2のデバイスの秘密鍵keyBを用いて受信した暗号化結果を復号化する。
本実施形態では、第2のデバイスの公開鍵と秘密鍵のペア(PkeyBとkeyB)について、特定の暗号化/復号化アルゴリズムを用いることによって、PkeyBで暗号化した後に得られた暗号化結果を、keyBを用いて復号化することができる。既存のさまざまな方法をこの暗号化/復号化アルゴリズムとして使用することができ、その詳細は、本明細書に1つずつは記載されていない。
ステップ507:第1のデバイスと第2のデバイスは、上記passwordを使用して、共有鍵を生成する。
このステップでは、第1のデバイスと第2のデバイスは、passwordを共有鍵として直接使用することができ;または、事前認証された鍵導出アルゴリズムを用いて、passwordのための導出鍵を生成し、その後、導出鍵を共有鍵として使用することもできる。
同様に、第1のデバイスによって共有鍵を生成する動作は、passwordを生成する前の任意の時点で実行することができ、このステップで実行されるとは限らない。
ステップ508は、ステップ208と同じである。
なお、実施形態2のステップ303からステップ306で説明した技術的内容と、実施形態3のステップ403で説明した技術的内容はまた、実施形態4に適用可能であり、その詳細は、ここでは再度説明されない。
実施形態5
実施形態1で説明した共有鍵生成方法に加えて、別の共有鍵生成方法が存在する。図6を参照すると、本実施形態に示したプロセスは、以下のステップを含む:
ステップ601は、ステップ201と同じである。
ステップ602は、ステップ202と同じである。
ステップ603は、ステップ203と同じである。
ステップ604は、ステップ204と同じである。
ステップ605:第1のデバイスは、ランダマイザNonceを生成し、第2のデバイスの公開鍵PkeyBおよびこのランダマイザNonceを用いて、共有鍵DHkeyを生成する。
ここで、共有鍵DHKeyを生成するために第2のデバイスの公開鍵PkeyBとランダマイザNonceを使用することに加えて、第1のデバイスおよび第2のデバイスとランダマイザによって事前認証された他の情報も、共有鍵DHkeyを生成するために使用することができ、例えば、第2のデバイスのMAC(Media Access Control,メディアアクセス制御)の値は、第2のデバイスの公開鍵Pkey、およびハッシュ値を使用してもよい。
ステップ606:第1のデバイスは、第2のデバイスの公開鍵PkeyBを用いてランダマイザNonceを暗号化し、その後、暗号化結果を第2のデバイスに送信する。
本実施形態では、共有鍵を取得するための情報は、ランダマイザNonceである。ここで、暗号化方法は、実施形態1で説明した第1の暗号化方法であってもよい。
暗号化結果を受信した後に、第2のデバイスは、ランダマイザNonceを取得するために、暗号化結果を復号化する。
ステップ607は、ステップ206と同じである。ただし、検証が成功した場合は、ランダマイザNonceが記録される。
ステップ608:第2のデバイスは、第2のデバイスの公開鍵PkeyBおよびランダマイザNonceを用いて、共有鍵DHkeyを生成する。
ここでは、第1のデバイスと第2のデバイスが共有鍵を生成するためのアルゴリズムを事前認証している限り、共有鍵を生成するためのアルゴリズムは、本明細書に特に限定されるものではない。
ステップ609は、ステップ208と同じである。
実施形態6
図7は、本発明の実施形態6による鍵コンフィギュレーション方法の概略的流れ図である。図7に示すように、本方法は以下を含む:
ステップ701は、ステップ201と同じである。
ステップ702は、ステップ202と同じである。
ステップ703は、ステップ203と同じである。
ステップ704:第1のデバイスは、第1のデバイスの公開鍵PkeyAを、第2のデバイスに送信する。
ここで、セキュリティを向上させるために、第1のデバイスは、第2のデバイスの公開鍵PkeyBを用いてPkeyAを暗号化し、その後、暗号化されたPkeyAを第2のデバイスに送信することができ;第2のデバイスは、PkeyAを取得するために、第2のデバイスの秘密鍵keyBを用いて復号化を実行する。
ここで、暗号化は、実施形態1で説明した第1の暗号化方法で実施される。
ステップ705:第2のデバイスは、第1のデバイスの公開鍵PkeyAを用いてパスワードを暗号化し、暗号化結果を第1のデバイスに送信する。パスワードは、クレデンシャル、セッション鍵、などであってもよく;ランダムに生成されてもよく、特定のアルゴリズムに従って生成されてもよく、本明細書に限定されるものではない。
ここで、第2のデバイスは、第1のデバイスの公開鍵PkeyAを用いて検証値を生成することができ、例えば、第2のデバイスは、PkeyAのハッシュ値を生成して、そのハッシュ値を第1のデバイスに送信する。第1のデバイスは、検証値を受信した後に、第1のデバイスの公開鍵PkeyAを用いて検証値を最初に生成し;生成した検証値を受信した検証値と比較し;生成した検証値が受信した検証値と一致した場合、検証が成功したと決定して、続いて、ステップ706を実行する。
ステップ706:第1のデバイスは、パスワードを取得するために、第1のデバイスの秘密鍵keyAを用いて暗号化結果を復号化する。
ステップ707:第1のデバイスと第2のデバイスは、前述のパスワードまたはパスワードの導出鍵を用いて、その後のセキュア接続を実行する。
実施形態7で共有鍵を取得するための情報は、第1のデバイスの公開鍵である。
上記は、本発明により提供される方法を説明しており、対応するシステムを、以下に詳細に説明する。図8は、本発明の一実施形態によるシステムの概略的構成図である。図8に示すように、システムは、第1のデバイス、第2のデバイス、およびサードパーティのコンフィギュレーションデバイスを含む。
コンフィギュレーションデバイスは、第2のデバイスの公開鍵を取得し、第2のデバイスの公開鍵を第1のデバイスに送信するように構成されている。
第1のデバイスは、第1の共有鍵を生成し、第1の共有鍵を取得するための情報を第2のデバイスに提供することに主に関与し、このため、第2のデバイスは、第1の共有鍵を生成する。具体的には、第1のデバイスは、以下の2つの方法を用いてこの機能を実施することができる:
第1の方法では、第1のデバイスは、第1の共有鍵を生成し、第2のデバイスの公開鍵を用いて、第2のデバイスのデバイス情報に従って、第1の共有鍵を取得するための情報を第2のデバイスに送信する。この方法は、実施形態4で説明した方法に対応している。
第2の方法では、第1のデバイスは、第2のデバイスの公開鍵を用いて第1の共有鍵を生成し、第2のデバイスのデバイス情報に従って、第1の共有鍵を取得するための情報を第2のデバイスに送信する。この方法は、実施形態1から実施形態3で説明した方法に対応している。
第2のデバイスは、第2のデバイスの秘密鍵と第1の共有鍵を取得するための情報を用いて第1の共有鍵を生成するように構成され、ここで、第1の共有鍵は、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される。
ここでは、第1の共有鍵の名前が、続く例示的な実施形態においてコンフィギュレーションデバイスと第1のデバイスとの間で共有される第2の共有鍵と区別することを目的としていることに留意すべきである。
第1のデバイスの2つの実施態様を、別々に、以下に詳細に説明する。第1の方法では、第1のデバイスは、passwordを生成し、そのpasswordを第1の共有鍵として使用するか、または鍵導出アルゴリズムを用いてpasswordのための導出鍵を生成し、その導出鍵を第1の共有鍵として使用し;その後、第2のデバイスの公開鍵を用いてpasswordを暗号化し、暗号化結果を第2のデバイスに送信する。このような方法では、第1の共有鍵を取得するための情報は、passwordである。第1のデバイスは、ランダムな方法でpasswordを生成し、例えば、乱数を生成して、passwordとしてこの乱数を使用するか、または予め設定されたアルゴリズムを使用してpasswordを生成する。
第2のデバイスは、パスワードを取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し、そのパスワードを第1の共有鍵として使用するか;または、鍵導出アルゴリズムを用いてパスワードのための導出鍵を生成し、その導出鍵を第1の共有鍵として使用する。このような方法では、第2のデバイスの公開鍵と秘密鍵のペア(PkeyBとkeyB)について、特定の暗号化/復号化アルゴリズムを用いることによって、公開鍵PkeyBで暗号化した後に取得された暗号化結果を、秘密鍵keyBを用いて復号化することができる。この暗号化/復号化アルゴリズムは現段階ですでに発達した方法であり、その詳細は、本明細書に1つずつは記載されていない。
第1の方法では、別の実施態様が存在する。つまり、第1のデバイスは、ランダマイザを生成し、第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成し、第2のデバイスの公開鍵を用いてランダマイザを暗号化し、その後、暗号化結果を第2のデバイスに送信する。第2のデバイスは、ランダマイザを取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し、その後、第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成する。この実施では、第1のデバイスおよび第2のデバイスによって認証される情報は、第2のデバイスの公開鍵、第2のデバイスの公開鍵のhash値、および第2のデバイスのMACアドレスなどの情報であってもよい。これらの情報は、サードパーティのコンフィギュレーションデバイスによって第2のデバイスから取得され、その後、第1のデバイスに送信され得るか、あるいはまた、第1のデバイスおよび第2のデバイスによって事前構成された、いくつかの特定の値であってもよい。
第2の方法では、第1のデバイスおよび第2のデバイスは、鍵交換アルゴリズムを事前認証する必要がある。ここでは、使用され得る鍵交換アルゴリズムは、非限定的に、D−Hアルゴリズム、RSAアルゴリズム、EIGamalアルゴリズム、などであってもよい。鍵交換アルゴリズムがさまざまであるため、事前共有したパラメータもさまざまである。一例として、D−Hアルゴリズムを使用すると、第1のデバイスおよび第2のデバイスは、パラメータgおよびPを事前共有し、このパラメータgおよびPは、第1のデバイスおよび第2のデバイスで事前共有され、ここで、Pは素数であり、gはPの原始根である。
ここで、第1のデバイスおよび第2のデバイスよって、鍵交換アルゴリズムにより使用されるパラメータを共有する以下の2つの方法が含まれ得るが、これらに限定されるものではない。第1の方法では、鍵交換アルゴリズムによって使用されるパラメータは、第1のデバイスと第2のデバイスで事前構成され;第2の方法では、サードパーティのコンフィギュレーションデバイスは、鍵交換アルゴリズムによって使用されるパラメータを第1のデバイスと第2のデバイスへ送信する。
第2の方法では、第1のデバイスは、鍵交換アルゴリズムに従って、第2のデバイスの公開鍵および第1のデバイスの秘密鍵を用いて、第1の共有鍵を生成するように特に構成され、第1のデバイスの公開鍵を第2のデバイスに送信する。このような方法では、第1の共有鍵を取得するための情報は、第1のデバイスの公開鍵である。
一例として、D−Hアルゴリズムを使用すると、第1のデバイスの公開鍵PkeyAは、PkeyA=(g^keyA)mod(P)であり、ここで、keyAは第1のデバイスの秘密鍵であり、乱数であり;生成される第1の共有鍵DHkeyAは、DHkeyA=((PkeyB)^keyA)mod(P)である。
第2のデバイスは、鍵交換アルゴリズムに従って、第1のデバイスの公開鍵および第2のデバイスの秘密鍵を用いて、第1の共有鍵を生成するように特に構成されている。第2のデバイスの公開鍵PkeyBは、PkeyB=(g^keyB)mod(P)であり、ここで、keyBは、第2のデバイスの秘密鍵であり、また乱数である。生成した第1の共有鍵DHkeyBは、DHkeyB=((PkeyA)^keyB)mod(P)である。DHkeyA=DHkeyBであることは、D−Hアルゴリズムから知ることができる。
上述した第2の方法では、第1のデバイスおよび第2のデバイスは、以下の2つの方法で、鍵交換アルゴリズムによって使用されるパラメータを共有することができる:
(1)鍵交換アルゴリズムによって使用されるパラメータは、第1のデバイスおよび第2のデバイスで事前構成され、すなわち、静的な構成方法が使用される;
(2)コンフィギュレーションデバイスは、鍵交換アルゴリズムによって使用されるパラメータを第1のデバイスおよび第2のデバイスに送信し、すなわち、サードパーティのコンフィギュレーションデバイスは、第1のデバイスと第2のデバイスで鍵交換アルゴリズムによって使用されるパラメータのコンフィギュレーションを完了する。
上記の第1の方法または第2の方法に基づいて、コンフィギュレーションデバイスは、第2のデバイスおよび第1のデバイスのデバイス情報を取得するようにさらに構成される。本発明の本実施形態に関連するデバイス情報は、非限定的に、アドレス情報、デバイス機能、製造元、シリアル番号、UUID、などであってもよく、ここで、デバイス機能は、デバイスによってサポートされる、アルゴリズム、認証方法、デバイスロール情報、デバイスタイプ情報、などを指し、デバイスロール情報は登録時のデバイスのロールを指し、このロールは、enrollee、registrar、client、GO、などであってもよい。デバイスタイプ情報は、無線端末、アクセスポイント、センサノード、中央ノード、などであってもよい。
ここで関連するデバイス情報は、少なくともアドレス情報を含む。このようにして、コンフィギュレーションデバイスは、第1のデバイスのアドレス情報に従って、第2のデバイスの公開鍵と第2のデバイスのデバイス情報を第1のデバイスに送信し、第2のデバイスのアドレス情報を取得して、第2のデバイスのアドレス情報を第1のデバイスに送信する動作を実行することができ、このため、第1のデバイスは、第2のデバイスのアドレス情報に従って、第1の共有鍵を取得するための情報を送信することができる。
さらに、上記の第1の方法または第2の方法に基づいて、コンフィギュレーションデバイスは、第1のデバイスの公開鍵を取得するようにさらに構成される。第2のデバイスの公開鍵と第2のデバイスのデバイス情報を第1のデバイスに送信するとき、コンフィギュレーションデバイスは、第1のデバイスの公開鍵を用いて、第2のデバイスの公開鍵と第2のデバイスのデバイス情報を特に暗号化し、ここで、暗号化は、実施形態1で説明した第2の暗号化方法で実施されてもよく;暗号化結果を第1のデバイスに送信する。
この場合、第1のデバイスは、第2のデバイスの公開鍵と第2のデバイスのデバイス情報を取得するために、暗号化結果を復号化する。この例示的な実施態様は、実施形態1で説明した内容に対応している。
具体的には、上述した第1の方法または第2の方法に基づいて、コンフィギュレーションデバイスが第1のデバイスまたは第2のデバイスから情報を取得するときに、公開鍵とデバイス情報が含まれている。具体的には、コンフィギュレーションデバイスは、2次元コードをスキャンすることによって、USBを使用することによって、または近距離無線通信の手段によって、第1のデバイスまたは第2のデバイスから情報を取得する。
任意に、第1のデバイスは、第2のデバイスの公開鍵を用いて検証値をさらに生成することができ、ここで、検証値は、非限定的に、第2のデバイスの公開鍵のハッシュ値や別の事前に設定されたアルゴリズムを用いて生成した検証値であってもよく;その後、第2のデバイスのデバイス情報に従って、この検証値を第2のデバイスに送信する。
第1の共有鍵を生成する前に、第2のデバイスは、第2のデバイスの公開鍵を用いて受信した検証値を検証し、検証が成功した場合、次いで、第1の共有鍵を生成する動作を実行する;そうでなければ、第1のデバイスの公開鍵を破棄して、次の動作を実行せず、コンフィギュレーションの失敗をユーザにさらに通知することができる。例えば、ユーザは、インジケータを使用して、または画面上に表示する方法で、または音声的に通知され得る。この例示的な実施態様は、実施形態1で説明した内容に対応している。
任意に、コンフィギュレーションデバイスは、第2の共有鍵を生成するように、第1のデバイスへのセキュア接続をさらに確立することができる。ここでは、以下の2つの方法が、具体的に使用され得る:第1の方法では、コンフィギュレーションデバイスおよび第1のデバイスは、既存のWPSインタラクション方法で、クレデンシャルを共有し、このクレデンシャルを第2の共有鍵として使用する。第2の方法では、コンフィギュレーションデバイスは、コンフィギュレーションデバイスの公開鍵を第1のデバイスに送信し、コンフィギュレーションデバイスは、第1のデバイスの公開鍵とコンフィギュレーションデバイスの秘密鍵を用いて鍵交換アルゴリズムを実行して、第2の共有鍵を生成する;第1のデバイスは、コンフィギュレーションデバイスの公開鍵と第1のデバイスの秘密鍵を用いて鍵交換アルゴリズムを実行して、第2の共有鍵を生成する。
コンフィギュレーションデバイスが第2のデバイスの公開鍵と第2のデバイスのデバイス情報を第1のデバイスに送信するとき、具体的には、コンフィギュレーションデバイスは、第2の共有鍵を用いて、第2のデバイスの公開鍵と第2のデバイスのデバイス情報を暗号化し、その後、暗号化結果を第1のデバイスに送信する。第1のデバイスは、第2のデバイスの公開鍵と第2のデバイスのデバイス情報を取得するために、第2の共有鍵を用いて受信した暗号化結果を復号化する。この例示的な実施態様は、実施形態2で説明した内容に対応している。
任意に、上記の第1の方法または第2の方法に基づいて、第1のデバイスは、第2のデバイスの公開鍵と第2のデバイスのデバイス情報を取得した後に、新たな公開鍵と新たな秘密鍵をさらに生成する。この場合、第1のデバイスによって第2のデバイスに送信される第1のデバイスの公開鍵は、新たな公開鍵であり;第1の共有鍵を生成するために第2のデバイスによって使用される第1のデバイスの公開鍵は、新たな公開鍵であり;第1の共有鍵を生成するために第1のデバイスによって使用される第1のデバイスの秘密鍵は、新たな秘密鍵である。この実施態様は、インタラクションのセキュリティをさらに向上させることができ、実施形態2で説明した内容に対応している。
任意に、上記の第1の方法または第2の方法に基づいて、デバイス情報に含まれるデバイスロール情報またはデバイスタイプ情報が、さらに使用されてもよい。つまり、コンフィギュレーションデバイスは、第1のデバイスおよび第2のデバイスのデバイスロール情報またはデバイスタイプ情報に従って、第2のデバイスの公開鍵および第2のデバイスのデバイス情報を第1のデバイスに送信するか、または第1のデバイスの公開鍵および第1のデバイスのデバイス情報を第2のデバイスに送信するかどうかを決定するように、さらに構成されてもよい。
第1のデバイスがエンローリenrolleeであり、第2のデバイスがregistrarである場合、または第1のデバイスがクライアントclientであり、第2のデバイスがグループ所有者GOである場合、または第1のデバイスが無線端末であり、第2のデバイスがアクセスポイントである場合、コンフィギュレーションデバイスは、第2のデバイスの公開鍵および第2のデバイスのデバイス情報が第1のデバイスに送信されることを決定し、これは、第1のデバイスが、第2のデバイスを迅速に発見し、効率を改善することを可能にすることができる。代替的に、第1のデバイスが中央ノードであり、第2のデバイスがセンサノードである場合、コンフィギュレーションデバイスは、第2のデバイスの公開鍵および第2のデバイスのデバイス情報が第1のデバイス送信されることを決定し、これは、中央ノードが、センサノードを迅速に発見することを可能にすることを目的としている。この例示的な実施態様は、実施形態3で説明した内容に対応している。
第1のデバイスおよび第2のデバイスのロールまたはタイプが同じである場合、例えば、両方が、センサノードまたはclientである場合、第2のデバイスの公開鍵および第2のデバイスのデバイス情報が第1のデバイスに送信されることを決定するか、あるいは第1のデバイスの公開鍵および第1のデバイスのデバイス情報が第2のデバイスに送信されることを決定することが、可能である。
好ましくは、上記の第1の方法または第2の方法に基づいて、デバイス情報に含まれるチャネル情報が、さらに使用されてもよい。つまり、第1のデバイスは、第1の共有鍵を取得するための情報を第2のデバイスに送信する動作を実行するように、第2のデバイスのチャネル情報に従って、第2のデバイスを迅速に発見するようにさらに構成される。
さらに、第1共有鍵に直接基づいてセキュア接続を実行することに加えて、第1のデバイスと第2のデバイスは、共有鍵導出アルゴリズムに基づいて、第1の共有鍵のための導出鍵を生成し、この導出鍵を用いてセキュア接続を実行することができる。その後のセキュア接続は、認証プロセス、アソシエーションプロセス、データインタラクションプロセス、などを含み得るが、これらに限定されるものではない。従来技術を、共有鍵を用いてセキュア接続を実行するために使用することができ、これは、本明細書に再度説明されない。
上記のコンフィギュレーションデバイスは、1つまたは複数のサーバを含むか、または1つまたは複数のコンピュータを含むことができ;上記の第1のデバイスおよび第2のデバイスは、例えば、パソコン、ノートパソコン、無線電話、パーソナルデジタルアシスタント(PDA)、センサノード、およびAPであってもよい。なお、本発明において提供される方法およびシステムは、Bluetooth(登録商標)またはZigbeeなどのWiFiネットワークに限定されない任意の無線ネットワークにも適用可能であり得るか;または、有線ネットワーク内の鍵コンフィギュレーションにも適用可能であり得ることに留意すべきである。
図9は、本発明の一実施形態による第1のデバイスに配置された鍵コンフィギュレーション装置の概略的構造図である。図9に示すように、鍵コンフィギュレーション装置は、コンフィギュレーション受信部90および鍵処理部91を含んでいる。
コンフィギュレーション受信部90は、コンフィギュレーションデバイスが第2のデバイスの公開鍵を取得した後に、コンフィギュレーションデバイスによって送信される第2のデバイスの公開鍵を受信することに関与している。
鍵処理部91は、第2のデバイスの公開鍵を用いて、第1の共有鍵を取得するための情報を第2のデバイスに送信すること、または、第1のデバイスによって、第2のデバイスの公開鍵を用いて第1の共有鍵を生成すること、および第1の共有鍵を取得するための情報を第2のデバイスに送信することに関与し、このため、第2のデバイスは、第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて第1の共有鍵を生成し、ここで、第1の共有鍵は、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される。
第1の共有鍵は、以下のいくつかの方法で取得され得る:
第1の方法では、鍵処理部91は、パスワードを生成し、そのパスワードを第1の共有鍵として使用し、暗号化結果を取得するために、第2のデバイスの公開鍵を用いてパスワードを暗号化し、その後、暗号化結果を第2のデバイスに送信し、このため、第2のデバイスは、パスワードを取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し、そのパスワードを第1の共有鍵として使用する。
第2の方法では、鍵処理部91は、パスワードを生成し、暗号化結果を取得するために、第2のデバイスの公開鍵を用いてそのパスワードを暗号化し;その暗号化結果を第2のデバイスに送信し;鍵導出アルゴリズムを用いてパスワードのための導出鍵を生成し;その導出鍵を第1の共有鍵として使用し、このため、第2のデバイスは、パスワードを取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し、鍵導出アルゴリズムを用いてパスワードのための導出鍵を生成し、その導出鍵を第1の共有鍵として使用する。
第3の方法では、鍵処理部91は、ランダマイザを生成し;第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成し;第2のデバイスの公開鍵を用いてランダマイザを暗号化し、その後、暗号化結果を第2のデバイスに送信し、このため、第2のデバイスは、ランダマイザを取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し、第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成する。
第4の方法では、鍵処理部91は、第2のデバイスの公開鍵を用いて第1のデバイスの公開鍵を暗号化し、その後、暗号化結果を第2のデバイスに送信し;第2のデバイスによって送信される暗号化結果を受信し、ここで、暗号化結果は、第1のデバイスの公開鍵を取得するために、第2のデバイスが、第2のデバイスの秘密鍵を用いて受信した暗号化結果を復号化し、パスワードを生成し、そのパスワードを共有鍵として使用し、その後、第1のデバイスの公開鍵を用いてパスワードを暗号化した後に取得されたものであり;第1のデバイスの秘密鍵を用いて、受信した暗号化結果を復号化し、その後、取得したパスワードを第1の共有鍵として使用する。
第5の方法では、鍵処理部91は、第2のデバイスの公開鍵および第1のデバイスの秘密鍵を用いて、第1のデバイスおよび第2のデバイスによって事前認証された鍵交換アルゴリズムに従って、第1の共有鍵を生成し、第1のデバイスの公開鍵を第2のデバイスに送信し、このため、第2のデバイスは、第2のデバイスの秘密鍵および第1のデバイスの公開鍵を用いて、鍵交換アルゴリズムに従って、第1の共有鍵を生成する。
鍵交換アルゴリズムによって使用されるパラメータは、鍵処理部91で事前構成されていてもよく;またはコンフィギュレーション受信部90は、鍵交換アルゴリズムによって使用され、コンフィギュレーションデバイスによって送信されるパラメータを受信し、そのパラメータを鍵処理部91に提供する。
また、鍵コンフィギュレーション装置は、セキュア接続部92をさらに含んでもよい。
セキュア接続部92は、鍵処理部91が第1の共有鍵を取得した後に、クレデンシャルを生成し;第1の共有鍵または第1の共有鍵の導出鍵を用いてクレデンシャルを暗号化し、その後、暗号化結果を第1のデバイスに送信し、このため、第1のデバイスは、クレデンシャルを取得するために、取得した第1の共有鍵または第1の共有鍵の導出鍵を用いて暗号化結果を復号化し、ここで、クレデンシャルは、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される(この実施は図に示されている)。代替的に、セキュア接続部92は、クレデンシャルを取得するために、取得した第1の共有鍵または第1の共有鍵の導出鍵を用いて、第2のデバイスによって送信される、クレデンシャルの暗号化結果を復号化するように構成され、ここで、クレデンシャルの暗号化結果は、第2のデバイスが第1の共有鍵を取得し、クレデンシャルを生成し、その後、第1の共有鍵または第1の共有鍵の導出鍵を用いてクレデンシャルを暗号化後で取得され、ここで、クレデンシャルは、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される。
セキュリティを向上させるために、コンフィギュレーション受信部90は、コンフィギュレーションデバイスが第2のデバイスの公開鍵と第1のデバイスの公開鍵を取得した後に、コンフィギュレーションデバイスによって送信される暗号化結果を受信することができ、ここで、暗号化結果は、コンフィギュレーションデバイスが第1のデバイスの公開鍵を用いて第2のデバイスの公開鍵を暗号化した後に取得される。この場合、鍵処理部91は、第2のデバイスの公開鍵を取得するために、暗号化結果を復号化するようにさらに構成され得る。
別の実施方法が存在する:コンフィギュレーション受信部90は、第2の共有鍵を生成するように、コンフィギュレーションデバイスへのセキュア接続を確立し;コンフィギュレーションデバイスが第2のデバイスの公開鍵を取得した後に、コンフィギュレーションデバイスによって送信される暗号化結果を受信し、ここで、暗号化結果は、コンフィギュレーションデバイスが第2の共有鍵を用いて第2のデバイスの公開鍵を暗号化した後に取得される。この場合、鍵処理部91は、第2のデバイスの公開鍵を取得するために、第2の共有鍵を用いて受信した暗号化結果を復号化する。
第2の共有鍵を生成するようにコンフィギュレーションデバイスへのセキュア接続を確立するとき、コンフィギュレーション受信部90は、WPSインタラクション方法でコンフィギュレーションデバイスとクレデンシャルを特に共有し、そのクレデンシャルを第2の共有鍵として使用するか;または、コンフィギュレーションデバイスによって送信されるコンフィギュレーションデバイスの公開鍵を特に受信し、このため、第1のデバイスは、コンフィギュレーションデバイスの公開鍵と第1のデバイスの秘密鍵を用いて、事前認証された鍵交換アルゴリズムに従って、第2の共有鍵を生成する。
セキュリティをさらに向上させるために、鍵処理部91は、第2のデバイスの公開鍵を取得した後に、新たな公開鍵と新たな秘密鍵をさらに生成することができる。この場合、第1のデバイスによって第2のデバイスに送信される第1のデバイスの公開鍵は、新たな公開鍵であり;第1の共有鍵を生成するために第2のデバイスによって使用される第1のデバイスの公開鍵は、新たな公開鍵であり;第1の共有鍵を生成するために第1のデバイスによって使用される第1のデバイスの秘密鍵は、新たな秘密鍵である。
好ましくは、コンフィギュレーション受信部90は、第2のデバイスから取得され、その後コンフィギュレーションデバイスによって送信される、第2のデバイスのチャネル情報をさらに受信することができる。この方法では、鍵処理部91は、第1の共有鍵を取得するための情報を第2のデバイスに送信する動作を実行するように、第2のデバイスのチャネル情報に従って、第2のデバイスを迅速に発見することができる。
加えて、鍵処理部91は、第2のデバイスの公開鍵を用いて検証値をさらに生成し、その検証値を第2のデバイスに送信することができ、このため、第2のデバイスは、第1の共有鍵を生成する前に、第2のデバイスの公開鍵を用いて受信した検証値を検証し、検証が成功した場合には、第1の共有鍵を生成する動作を実行する。
図10は、本発明の一実施形態によるコンフィギュレーションデバイスに配置された鍵コンフィギュレーション装置の概略的構造図である。図10に示すように、鍵コンフィギュレーション装置は、情報取得部11と情報送信部12を含んでいる。
情報取得部11は、第2のデバイスの公開鍵を取得することに関与している。
情報送信部12は、第2のデバイスの公開鍵を第1のデバイスに送信することに関与している。
この方法では、第1のデバイスは、第2のデバイスの公開鍵を用いて第1の共有鍵を取得するための情報を第2のデバイスに送信することができる;または、第1のデバイスは、第2のデバイスの公開鍵を用いて第1の共有鍵を生成し、第1の共有鍵を取得するための情報を第2のデバイスに送信することができる。
次いで、第2のデバイスは、第2のデバイスの秘密鍵と第1の共有鍵を取得するための情報を用いて第1の共有鍵を生成し、ここで、第1の共有鍵は、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される。
第1のデバイスおよび第2のデバイスが、事前認証された鍵交換アルゴリズムに基づいて、第1の共有鍵の生成を実施する場合、情報送信部12は、鍵交換アルゴリズムによって使用されるパラメータを第1のデバイスおよび第2のデバイスにさらに送信することができ、ここで、鍵交換アルゴリズムは、第1のデバイスの秘密鍵および第2のデバイスの公開鍵を用いて、鍵交換アルゴリズムに従って、第1のデバイスが第1の共有鍵を生成することを可能にするため、および、第2のデバイスの秘密鍵および第1のデバイスの公開鍵を用いて、鍵交換アルゴリズムに従って、第2のデバイスが第1の共有鍵を生成することを可能にするために使用される。
情報転送のセキュリティを向上させるために、情報取得部11は、第1のデバイスの公開鍵を取得することができる。情報送信部12は、第1のデバイスの公開鍵を用いて第2のデバイスの公開鍵を暗号化し、暗号化結果を第1のデバイスに送信し、このため、第1のデバイスは、第2のデバイスの公開鍵を取得するために、暗号化結果を復号化する。
別の方法が存在する:情報送信部12は、第2の共有鍵を生成するように、第1のデバイスへのセキュア接続を確立し;第2のデバイスの公開鍵を第1のデバイスに送信するときに、第2の共有鍵を用いて第2のデバイスの公開鍵を特に暗号化し、その後、暗号化結果を第1のデバイスに送信し、このため、第1のデバイスは、第2のデバイスの公開鍵を取得するために、第2の共有鍵を用いて受信した暗号化結果を復号化する。
具体的には、第2の共有鍵を生成するように第1のデバイスへのセキュア接続を確立するとき、情報送信部12は、WPSインタラクション方法で第1のデバイスとクレデンシャルを共有し、そのクレデンシャルを第2の共有鍵として使用するか;または、コンフィギュレーションデバイスの公開鍵を第1のデバイスに送信し、第1のデバイスの公開鍵とコンフィギュレーションデバイスの秘密鍵を用いて、事前認証された鍵交換アルゴリズムに従って、第2の共有鍵を生成する。
第1のデバイスによって第2のデバイスを発見する効率をさらに向上させるために、情報取得部11は、第2のデバイスのチャネル情報をさらに取得することができる。この場合、情報送信部12は、第2のデバイスのチャネル情報を第1のデバイスに送信し、このため、第1のデバイスは、第1の共有鍵を取得するための情報を第2のデバイスに送信する動作を実行するように、第2のデバイスのチャネル情報に従って、第2のデバイスを迅速に発見する。
具体的には、情報取得部11は、2次元コードをスキャンすることによって、ユニバーサルシリアルバス(USB)を使用することによって、または近距離無線通信の手段によって、第1のデバイスまたは第2のデバイスから情報を取得する。
図11は、本発明の一実施形態による第2のデバイスに配置された鍵コンフィギュレーション装置の概略的構造図である。図11に示すように、鍵コンフィギュレーション装置は、情報提供部21、情報受信部22、および鍵処理部23を含むことができる。
情報提供部21は、コンフィギュレーションデバイスに第2のデバイスの公開鍵を提供することに関与し、このため、コンフィギュレーションデバイスは、第2のデバイスの公開鍵を第1のデバイスに送信する。
情報受信部22は、第1の共有鍵を取得するために使用され、第2のデバイスの公開鍵を用いて第1のデバイスによって送信される情報を受信すること;または、第1のデバイスが第2のデバイスの公開鍵を用いて第1の共有鍵を生成した後に、第1の共有鍵を取得するために使用され、第1のデバイスによって送信される情報を受信することに関与する。
鍵処理部23は、第2のデバイスの秘密鍵と第1の共有鍵を取得するための情報を用いて第1の共有鍵を生成することに関与し、ここで、第1の共有鍵は、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される。
第1の共有鍵は、以下のいくつかの方法で取得され得る:
第1の方法では、情報受信部22は、第1のデバイスによって送信される暗号化結果を受信し、ここで、暗号化結果は、第1のデバイスがパスワードを生成し、そのパスワードを第1の共有鍵として使用し、その後、第2のデバイスの公開鍵を用いてパスワードを暗号化した後に取得される。
この場合、鍵処理部23は、パスワードを取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し、そのパスワードを第1の共有鍵として使用する。
第2の方法では、情報受信部22は、第1のデバイスによって送信される暗号化結果を受信し、ここで、暗号化結果は、第1のデバイスがパスワードを生成し、その後、第2のデバイスの公開鍵を用いてパスワードを暗号化した後に取得される。
この場合、鍵処理部23は、パスワードを取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し;鍵導出アルゴリズムを用いてパスワードのための導出鍵を生成し、その導出鍵を第1の共有鍵として使用する。
第3の方法では、情報受信部22は、第1のデバイスによって送信される暗号化結果を受信し、ここで、暗号化結果は、第1のデバイスがランダマイザを生成し、第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成し、第2のデバイスの公開鍵を用いてランダマイザを暗号化した後に取得される。
この場合、鍵処理部23は、ランダマイザを取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し;第1のデバイスおよび第2のデバイスとランダマイザによって認証された情報を用いて第1の共有鍵を生成する。
第4の方法では、情報受信部22は、第1のデバイスが第2のデバイスの公開鍵を用いて第1のデバイスの公開鍵を暗号化した後に取得される暗号化結果を受信する。
この場合、鍵処理部23は、第1のデバイスの公開鍵を取得するために、第2のデバイスの秘密鍵を用いて暗号化結果を復号化し;パスワードを生成し;そのパスワードを第1の共有鍵として使用し;第1のデバイスの公開鍵を用いてパスワードを暗号化し、その後、暗号化結果を第1のデバイスに送信し、このため、第1のデバイスは、第1のデバイスの秘密鍵を用いて受信した暗号化結果を復号化し、その後、取得したパスワードを第1の共有鍵として使用する。
第5の方法では、情報受信部22は、第1のデバイスが、鍵交換アルゴリズムに従って、第2のデバイスの公開鍵と第1のデバイスの秘密鍵を用いて、第1の共有鍵を生成した後に、第1のデバイスによって送信される第1のデバイスの公開鍵を受信し、ここで、鍵交換アルゴリズムは、第1のデバイスおよび第2のデバイスによって事前認証されている。
この場合、鍵処理部23は、鍵交換アルゴリズムに従って、第2のデバイスの秘密鍵および第1のデバイスの公開鍵を用いて、第1の共有鍵を生成する。
このような方法では、鍵交換アルゴリズムによって使用されるパラメータは、鍵処理部23で事前構成されていてもよく;または、情報受信部22は、鍵交換アルゴリズムによって使用され、コンフィギュレーションデバイスによって送信されるパラメータを受信し、そのパラメータを鍵処理部23に提供する。
また、鍵コンフィギュレーション装置は、セキュア接続部24をさらに含んでもよい。
セキュア接続部24は、第1のデバイスによって送信される暗号化結果を受信し、ここで、暗号化結果は、第1のデバイスが第1の共有鍵を取得し、クレデンシャルを生成し、その後、第1の共有鍵または第1の共有鍵の導出鍵を用いてクレデンシャルを復号化した後に取得され;クレデンシャルを取得するために、取得した第1の共有鍵または第1の共有鍵の導出鍵を用いて暗号化結果を復号化し、ここで、クレデンシャルは、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される(この実施は図に示されている)。代替的に、セキュア接続部24は、鍵処理部23が第1の共有鍵を取得した後に、クレデンシャルを生成し;第1の共有鍵または第1の共有鍵の導出鍵を用いてクレデンシャルを暗号化し、その後、暗号化結果を第1のデバイスに送信するように構成され、このため、第1のデバイスは、クレデンシャルを取得するために、取得した第1の共有鍵または第1の共有鍵の導出鍵を用いて暗号化結果を復号化し、ここで、クレデンシャルは、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される。
第1にデバイスによって第2のデバイスを発見する効率を向上させるために、情報提供部21は、第2のデバイスのチャネル情報をコンフィギュレーションデバイスにさらに提供することができ、このため、コンフィギュレーションデバイスは、第2のデバイスのチャネル情報を第1のデバイスに送信し、その後、第1のデバイスは、第1の共有鍵を取得するための情報を第2のデバイスに送信する動作を実行するように、第2のデバイスのチャネル情報に従って、第2のデバイスを迅速に発見する。
具体的には、情報提供部21は、2次元コードもしくはUSBを使用することによって、または近距離無線通信の手段によって、コンフィギュレーションデバイスのための情報を提供することができる。
加えて、セキュリティをさらに向上させるために、情報受信部22は、第2のデバイスの公開鍵を用いて第1のデバイスによって生成される検証値をさらに受信することができる。
この場合、鍵処理部23は、第2のデバイスの公開鍵を用いて受信した検証値を検証し、検証が成功した場合に、第1の共有鍵を生成する動作を実行する。
ハードウェア構成を考慮すると、図12に示すように、上記のコンフィギュレーションデバイスは、プロセッサ、メモリ、および通信バスを含む。プロセッサは、通信バスを用いてメモリに接続され、メモリは、鍵コンフィギュレーション方法を実施するための命令を格納する。また、コンフィギュレーションデバイスは、通信インタフェースをさらに含み、この通信インタフェースを用いて別のデバイスと通信接続している。
プロセッサがメモリ内の鍵コンフィギュレーション方法を実施するための命令を呼び出すときに、第2のデバイスの公開鍵を取得して、第2のデバイスの公開鍵を第1のデバイスに送信するステップを実行することができ:
このため、第1のデバイスが、第2のデバイスの公開鍵を用いて第1の共有鍵を取得するための情報を第2のデバイスに送信するか;または、
このため、第1のデバイスが、第2のデバイスの公開鍵を用いて第1の共有鍵を生成して、第1の共有鍵を取得するための情報を第2のデバイスに送信し;および、
このため、第2のデバイスが、第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて第1の共有鍵を生成し、ここで、第1の共有鍵は、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される。
プロセッサがメモリ内の鍵コンフィギュレーション方法を実施するための命令を呼び出すときに、上記の方法の実施形態でコンフィギュレーションデバイスによって実行されるステップが、実行されてもよい。詳細については、上記の方法の実施形態を参照することができ、ここでは詳細を再度説明しない。
上述した第1のデバイスは、図13に示すように、プロセッサ、メモリ、および通信バスを含む。プロセッサは、通信バスを用いてメモリに接続され、メモリは、鍵コンフィギュレーション方法を実施するための命令を格納する。また、第1のデバイスは、通信インタフェースをさらに含み、この通信インタフェースを用いて別のデバイスと通信接続している。
プロセッサがメモリ内の鍵コンフィギュレーション方法を実施するための命令を呼び出すときに:
コンフィギュレーションデバイスが第2のデバイスの公開鍵を取得した後に、コンフィギュレーションデバイスによって送信される第2のデバイスの公開鍵を受信するステップ;および、第2のデバイスの公開鍵を用いて第1の共有鍵を取得するための情報を第2のデバイスに送信するステップ;または、第1のデバイスによって、第2のデバイスの公開鍵を用いて第1の共有鍵を生成して、第1の共有鍵を取得するための情報を第2のデバイスに送信するステップ
を実行することができ、
このため、第2のデバイスは、第2のデバイスの秘密鍵および第1の共有鍵を取得するための情報を用いて第1の共有鍵を生成し、ここで、第1の共有鍵は、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される。
プロセッサがメモリ内の鍵コンフィギュレーション方法を実施するための命令を呼び出すときに、上記の方法の実施形態で第1のデバイスによって実行されるステップが、実行されてもよい。詳細については、上記の方法の実施形態を参照することができ、ここでは詳細を再度説明しない。
上述した第2のデバイスは、図14に示すように、プロセッサ、メモリ、および通信バスを含む。プロセッサは、通信バスを用いてメモリに接続され、メモリは、鍵コンフィギュレーション方法を実施するための命令を格納する。また、第2のデバイスは、通信インタフェースをさらに含み、この通信インタフェースを用いて別のデバイスと通信接続している。
プロセッサがメモリ内の鍵コンフィギュレーション方法を実施するための命令を呼び出すときに:
第2のデバイスの秘密鍵と第1の共有鍵を取得するための情報を用いて第1の共有鍵を生成するステップを実行することができ、ここで、第1の共有鍵は、第1のデバイスと第2のデバイスとの間のセキュア接続のために使用される。
プロセッサがメモリ内の鍵コンフィギュレーション方法を実施するための命令を呼び出すときに、上記の方法の実施形態で第2のデバイスによって実行されるステップが、実行されてもよい。詳細については、上記の方法の実施形態を参照することができ、ここでは詳細を再度説明しない。
本発明に記載のデバイスは、通信バス、処理システム、ストレージシステム、1つまたは複数の入力/出力システム、通信インタフェースなどのいくつかの基本的な構成要素をすべて構造的に含む。バスは、デバイスの構成要素間で通信を実施するために使用される1つまたは複数のワイヤを含むことができる。処理システムは、命令を実行するために使用されるプロセッサまたはマイクロプロセッサのさまざまなタイプを含み、手順またはスレッドを処理する。ストレージシステムは、動的情報を格納するためのランダムアクセスメモリ(RAM)などのダイナミックメモリ、静的情報を格納するための読み出し専用メモリ(ROM)などのスタティックメモリ、および磁気または光記録媒体および対応するドライブを含む大容量メモリを含むことができる。入力システムは、キーボード、マウス、スタイラス、音声認識システム、または生体認証システムなどの、サーバまたは端末デバイスに情報を入力するためにユーザによって使用される。ヘッドレスデバイスについては、マンマシンインタラクション機能を有する入力システムを除外することも可能である。出力システムは、情報出力用の、ディスプレイ、プリンタ、ラウドスピーカ、インジケータ等を含む。通信インタフェースは、サーバや端末デバイスと別のシステムやシステムとの間の通信のために使用される。通信インタフェースは、有線方式、無線方式、または光学的方式でネットワークに接続され得る。
各デバイスは、システムリソースを管理し、他のプログラムの動作を制御するためのオペレーティングシステムソフトウェア、および、特定の機能を実現するためのアプリケーションソフトウェアを含む。
以上の説明は、単に、本発明の例示的実施形態であるにすぎず、本発明を限定するためのものではない。本発明の原理を逸脱することなくなされるあらゆる改変、等価の置換、または改善は、本発明の保護範囲内に含まれるべきものである。
11 情報取得部
12 情報送信部
21 情報提供部
22 情報受信部
23 鍵処理部
24 セキュア接続部
90 コンフィギュレーション受信部
91 鍵処理部
92 セキュア接続部

Claims (71)

  1. 鍵コンフィギュレーション方法であって、前記鍵コンフィギュレーション方法が:
    コンフィギュレーションデバイスが第2のデバイスの公開鍵を取得した後に、前記コンフィギュレーションデバイスによって送信される前記第2のデバイスの前記公開鍵を、第1のデバイスによって受信するステップ;および、前記第2のデバイスの前記公開鍵を用いて第1の共有鍵を取得するための情報を前記第2のデバイスに送信するか、または、前記第1のデバイスによって、前記第2のデバイスの前記公開鍵を用いて第1の共有鍵を生成して、前記第1の共有鍵を取得するための情報を前記第2のデバイスに送信するステップ
    を含み、
    このため、前記第2のデバイスは、前記第2のデバイスの秘密鍵および前記第1の共有鍵を取得するための前記情報を用いて前記第1の共有鍵を生成し、ここで、前記第1の共有鍵は、前記第1のデバイスと前記第2のデバイスとの間のセキュア接続のために使用される、
    鍵コンフィギュレーション方法。
  2. 前記第2のデバイスの前記公開鍵を用いて、前記第1のデバイスによって、第1の共有鍵を取得するための情報を前記第2のデバイスに送信する前記ステップが:前記第1のデバイスによってパスワードを生成するステップと;前記パスワードを第1の共有鍵として使用するステップと;暗号化結果を取得するために、前記第2のデバイスの前記公開鍵を用いて前記パスワードを暗号化するステップと;前記暗号化結果を前記第2のデバイスに送信するステップとを含み;および、
    前記第2のデバイスの秘密鍵および前記第1の共有鍵を取得するための前記情報を用いて、前記第2のデバイスによって、前記第1の共有鍵を生成する前記ステップが:前記パスワードを取得するために、前記第2のデバイスの前記秘密鍵を用いて、前記第2のデバイスによって前記暗号化結果を復号化し、前記パスワードを前記第1の共有鍵として使用するステップを含むか;または、
    前記第1の共有鍵を前記第1のデバイスによって生成して、前記第2のデバイスの前記公開鍵を用いて前記第1の共有鍵を取得するための情報を前記第2のデバイスに送信する前記ステップが:前記第1のデバイスによってパスワードを生成するステップと;暗号化結果を取得するために、前記第2のデバイスの前記公開鍵を用いて前記パスワードを暗号化するステップと;前記暗号化結果を前記第2のデバイスに送信するステップと;鍵導出アルゴリズムを用いて前記パスワードのための導出鍵を生成するステップと;前記導出鍵を前記第1の共有鍵として使用するステップとを含み;および、
    前記第2のデバイスの秘密鍵および前記第1の共有鍵を取得するための前記情報を用いて、前記第2のデバイスによって、前記第1の共有鍵を生成する前記ステップが:前記パスワードを取得するために、前記第2のデバイスの前記秘密鍵を用いて、前記第2のデバイスによって前記暗号化結果を復号化するステップと;前記鍵導出アルゴリズムを用いて前記パスワードのための前記導出鍵を生成するステップと;前記導出鍵を前記第1の共有鍵として使用するステップとを含む、
    請求項1の記載の方法。
  3. 前記第1のデバイスによって第1の共有鍵を生成して、前記第2のデバイスの前記公開鍵を用いて前記第1の共有鍵を取得するための情報を前記第2のデバイスに送信する前記ステップが:前記第1のデバイスによってランダマイザを生成するステップと;前記第1のデバイスおよび前記第2のデバイスと前記ランダマイザによって認証された情報を用いて前記第1の共有鍵を生成するステップと;前記第2のデバイスの前記公開鍵を用いて前記ランダマイザを暗号化し、その後、暗号化結果を前記第2のデバイスに送信するステップとを含み;および、
    前記第2のデバイスの秘密鍵および前記第1の共有鍵を取得するための前記情報を用いて、前記第2のデバイスによって、前記第1の共有鍵を生成する前記ステップが:前記ランダマイザを取得するために、前記第2のデバイスの前記秘密鍵を用いて、前記第2のデバイスによって前記暗号化結果を復号化するステップ;および、前記第1のデバイスおよび前記第2のデバイスと前記ランダマイザによって認証された前記情報を用いて前記第1の共有鍵を生成するステップを含む、
    請求項1に記載の方法。
  4. 前記第2のデバイスの前記公開鍵を用いて、前記第1の共有鍵を取得するための情報を前記第2のデバイスに送信する前記ステップが:前記第2のデバイスの前記公開鍵を用いて前記第1のデバイスの公開鍵を、前記第1のデバイスによって暗号化し、その後、暗号化結果を前記第2のデバイスに送信するステップを含み;
    前記第2のデバイスの秘密鍵および前記第1の共有鍵を取得するための前記情報を用いて、前記第2のデバイスによって、前記第1の共有鍵を生成する前記ステップが:前記第1のデバイスの前記公開鍵を取得するために、前記第2のデバイスの前記秘密鍵を用いて、前記第2のデバイスによって前記暗号化結果を復号化するステップと;パスワードを生成するステップと;前記パスワードを前記第1の共有鍵として使用するステップとを含み;および、
    前記方法は:前記第2のデバイスが前記第1のデバイスの前記公開鍵を用いて前記パスワードを暗号化した後に取得される暗号化結果を、前記第1のデバイスによって受信するステップと;前記第1のデバイスの秘密鍵を用いて、前記受信した暗号化結果を復号化するステップと;取得したパスワードを前記第1の共有鍵として使用するステップとをさらに含む、
    請求項1に記載の方法。
  5. 前記方法が:前記第1のデバイスおよび前記第2のデバイスによって、鍵交換アルゴリズムを事前認証するステップをさらに含み;
    前記第2のデバイスの前記公開鍵を用いて、前記第1のデバイスによって第1の共有鍵を生成し、前記第1の共有鍵を取得するための情報を前記第2のデバイスに送信する前記ステップが:前記第2のデバイスの前記公開鍵および前記第1のデバイスの秘密鍵を用いて前記鍵交換アルゴリズムに従って、前記第1のデバイスによって前記第1の共有鍵を生成するステップ;および、前記第1のデバイスの公開鍵を前記第2のデバイスに送信するステップを含み;
    前記第2のデバイスの秘密鍵および前記第1の共有鍵を取得するための前記情報を用いて、前記第2のデバイスによって、前記第1の共有鍵を生成する前記ステップが:前記第2のデバイスの前記秘密鍵および前記第1のデバイスの前記公開鍵を用いて、前記鍵交換アルゴリズムに従って、前記第2のデバイスによって前記第1の共有鍵を生成するステップを含む、
    請求項1に記載の方法。
  6. 前記第1のデバイスおよび前記第2のデバイスによって、鍵交換アルゴリズムを事前認証する前記ステップが:
    前記第1のデバイスおよび前記第2のデバイスにおいて、前記鍵交換アルゴリズムによって使用されるパラメータを事前構成するステップ;または、
    前記コンフィギュレーションデバイスによって、前記鍵交換アルゴリズムによって使用されるパラメータを前記第1のデバイスおよび前記第2のデバイスに送信するステップ
    を含む、請求項5に記載の方法。
  7. 前記第1のデバイスと前記第2のデバイスとの間のセキュア接続のために使用される前記第1の共有鍵が:
    前記第1の共有鍵を取得した後に、前記第1のデバイスによってクレデンシャルを生成するステップ;前記第1の共有鍵または前記第1の共有鍵の導出鍵を用いて前記クレデンシャルを暗号化し、その後、暗号化結果を前記第2のデバイスに送信するステップであって、このため、前記第2のデバイスは、前記クレデンシャルを取得するために、前記取得した第1の共有鍵または前記第1の共有鍵の前記導出鍵を用いて前記暗号化結果を復号化し、ここで、前記クレデンシャルは、前記第1のデバイスと前記第2のデバイスとの間のセキュア接続のために使用される、ステップ;または、
    前記クレデンシャルを取得するために、前記取得した第1の共有鍵または前記第1の共有鍵の前記導出鍵を用いて、前記第2のデバイスによって送信される、クレデンシャルの暗号化結果を、前記第1のデバイスによって復号化するステップであって、前記クレデンシャルの前記暗号化結果は、前記第2のデバイスが、前記第1の共有鍵を取得し、前記クレデンシャルを生成し、その後、前記第1の共有鍵または前記第1の共有鍵の前記導出鍵を用いて前記クレデンシャルを暗号した後に取得され、前記クレデンシャルは、前記第1のデバイスと前記第2のデバイスとの間のセキュア接続のために使用される、ステップ、
    を含む、請求項1から6のいずれか一項に記載の方法。
  8. 前記第1のデバイスが、レジストラRegistrar、中央ノード、またはグループ所有者GOである場合、前記第1のデバイスは、前記クレデンシャルを生成し、前記クレデンシャルの前記暗号化結果を前記第2のデバイスに送信するか;または、
    前記第2のデバイスが、Registrar、中央ノード、またはGOである場合、前記第2のデバイスは、前記クレデンシャルを生成し、前記クレデンシャルの前記暗号化結果を前記第1のデバイスに送信する、
    請求項7に記載の方法。
  9. コンフィギュレーションデバイスが第2のデバイスの公開鍵を取得した後に、前記コンフィギュレーションデバイスによって送信される前記第2のデバイスの前記公開鍵を、第1のデバイスによって受信する前記ステップが、特に:
    前記コンフィギュレーションデバイスが前記第2のデバイスの前記公開鍵と前記第1のデバイスの前記公開鍵を取得した後に、前記コンフィギュレーションデバイスによって送信される暗号化結果を、前記第1のデバイスによって受信するステップであって、前記暗号化結果は、前記コンフィギュレーションデバイスが前記第1のデバイスの前記公開鍵を用いて前記第2のデバイスの前記公開鍵を暗号化した後に取得される、ステップであり;および、
    前記方法は:前記第2のデバイスの前記公開鍵を取得するために、前記第1のデバイスによって前記暗号化結果を復号化するステップをさらに含む、
    請求項1から8のいずれか一項に記載の方法。
  10. コンフィギュレーションデバイスが第2のデバイスの公開鍵を取得した後に、前記コンフィギュレーションデバイスによって送信される前記第2のデバイスの前記公開鍵を、第1のデバイスによって受信する前記ステップが、特に:
    第2の共有鍵を生成するように、前記コンフィギュレーションデバイスへのセキュア接続を、前記第1のデバイスによって確立するステップ;および、
    前記コンフィギュレーションデバイスが前記第2のデバイスの前記公開鍵を取得した後に、前記コンフィギュレーションデバイスによって送信される暗号化結果を、前記第1のデバイスによって受信するステップであって、前記暗号化結果は、前記コンフィギュレーションデバイスが前記第2の共有鍵を用いて前記第2のデバイスの前記公開鍵を暗号化した後に取得される、ステップであり;
    前記方法は、前記第2のデバイスの前記公開鍵を取得するために、前記第2の共有鍵を用いて前記受信した暗号化結果を、第1のデバイスによって復号化するステップをさらに含む、
    請求項1から8のいずれか一項に記載の方法。
  11. 第2の共有鍵を生成するように、前記コンフィギュレーションデバイスへのセキュア接続を、前記第1のデバイスによって確立する前記ステップが:
    クレデンシャルを共有するためにワイファイの手段によって前記コンフィギュレーションデバイスとのWPSインタラクション方法を、前記第1のデバイスによってセキュアに確立し、前記クレデンシャルを前記第2の共有鍵として使用するステップ;または、
    前記コンフィギュレーションデバイスによって送信される、前記コンフィギュレーションデバイスの公開鍵を前記第1のデバイスによって受信するステップ;および、前記コンフィギュレーションデバイスの前記公開鍵と前記第1のデバイスの前記秘密鍵を用いて、事前認証された鍵交換アルゴリズムに従って、前記第1のデバイスによって前記第2の共有鍵を生成するステップであって、このため、前記コンフィギュレーションデバイスは、前記第1のデバイスの前記公開鍵を取得した後に、前記第1のデバイスの前記公開鍵と前記コンフィギュレーションデバイスの秘密鍵を用いて、前記事前認証された鍵交換アルゴリズムに従って、前記第2の共有鍵を生成する、ステップ、
    を含む、請求項10に記載の方法。
  12. 前記第1のデバイスによって前記第2のデバイスの前記公開鍵を取得する前記ステップの後に、前記方法が:前記第1のデバイスによって、新たな公開鍵および新たな秘密鍵を生成するステップをさらに含み;
    前記第1のデバイスによって前記第2のデバイスに送信される前記第1のデバイスの前記公開鍵が、前記新たな公開鍵であり;前記第1の共有鍵を生成するために前記第2のデバイスによって使用される前記第1のデバイスの前記公開鍵が、前記新たな公開鍵であり;前記第1の共有鍵を生成するために前記第1のデバイスによって使用される前記第1のデバイスの前記秘密鍵は、前記新たな秘密鍵である、
    請求項5に記載の方法。
  13. 前記第1のデバイスがエンローリenrolleeであり、前記第2のデバイスがregistrarであり;または、前記第1のデバイスがクライアントclientであり、前記第2のデバイスがGOであり;または、前記第1のデバイスが無線端末であり、前記第2のデバイスがアクセスポイントであり;または、前記第1のデバイスが中央ノードであり、第2のデバイスがセンサノードである、
    請求項1から12のいずれか一項に記載の方法。
  14. 前記方法が:第1の共有鍵を取得するための情報を前記第2のデバイスに送信する前記ステップを実行するように、前記第2のデバイスのチャネル情報に従って、前記第1のデバイスによって前記第2のデバイスを迅速に発見するステップをさらに含み、前記第2のデバイスの前記チャネル情報は、前記第2のデバイスから前記コンフィギュレーションデバイスによって取得され、その後、前記第1のデバイスに送信される、
    請求項1から13のいずれか一項に記載の方法。
  15. 前記コンフィギュレーションデバイスが、2次元コードをスキャンすることによって、ユニバーサルシリアルバスUSBを使用することによって、または近距離無線通信の手段によって、前記第1のデバイスまたは前記第2のデバイスから情報を取得する、
    請求項1から14のいずれか一項に記載の方法。
  16. 前記方法が:前記第2のデバイスの前記公開鍵を用いて、前記第1のデバイスによって検証値を生成し、前記検証値を前記第2のデバイスに送信するステップをさらに含み、
    このため、前記第2のデバイスは、前記第1の共有鍵を生成する前に、前記第2のデバイスの前記公開鍵を用いて前記受信した検証値を検証し、検証が成功した場合には、前記第1の共有鍵を生成する前記ステップを実行する、
    請求項1から15のいずれか一項に記載の方法。
  17. 鍵コンフィギュレーション方法であって、前記鍵コンフィギュレーション方法が:
    コンフィギュレーションデバイスによって第2のデバイスの公開鍵を取得し、前記第2のデバイスの前記公開鍵を第1のデバイスに送信するステップを含み、
    このため、前記第1のデバイスは、前記第2のデバイスの前記公開鍵を用いて第1の共有鍵を取得するための情報を前記第2のデバイスに送信するか;または、前記第1のデバイスは、前記第2のデバイスの前記公開鍵を用いて第1の共有鍵を生成し、前記第1の共有鍵を取得するための情報を前記第2のデバイスに送信し;および、
    このため、前記第2のデバイスは、前記第2のデバイスの秘密鍵と前記第1の共有鍵を取得するための前記情報を用いて前記第1の共有鍵を生成し、ここで、前記第1の共有鍵は、前記第1のデバイスと前記第2のデバイスとの間のセキュア接続のために使用される、
    鍵コンフィギュレーション方法。
  18. 前記第2のデバイスの前記公開鍵を用いて、前記第1のデバイスによって、第1の共有鍵を取得するための情報を前記第2のデバイスに送信する前記ステップが:前記第1のデバイスによってパスワードを生成するステップと;前記パスワードを前記第1の共有鍵として使用するステップと;暗号化結果を取得するために、前記第2のデバイスの前記公開鍵を用いて前記パスワードを暗号化するステップと;前記暗号化結果を前記第2のデバイスに送信するステップとを含み;および、
    前記第2のデバイスの秘密鍵および前記第1の共有鍵を取得するための前記情報を用いて、前記第2のデバイスによって、前記第1の共有鍵を生成する前記ステップが:前記パスワードを取得するために、前記第2のデバイスの前記秘密鍵を用いて、前記第2のデバイスによって前記暗号化結果を復号化し、前記パスワードを前記第1の共有鍵として使用するステップを含むか;または、
    前記第1の共有鍵を前記第1のデバイスによって生成して、前記第2のデバイスの前記公開鍵を用いて前記第1の共有鍵を取得するための情報を前記第2のデバイスに送信する前記ステップが:前記第1のデバイスによってパスワードを生成するステップと;暗号化結果を取得するために、前記第2のデバイスの前記公開鍵を用いて前記パスワードを暗号化するステップと;前記暗号化結果を前記第2のデバイスに送信するステップと;鍵導出アルゴリズムを用いて前記パスワードのための導出鍵を生成するステップと;前記導出鍵を前記第1の共有鍵として使用するステップとを含み;および、
    前記第2のデバイスの秘密鍵および前記第1の共有鍵を取得するための前記情報を用いて、前記第2のデバイスによって、前記第1の共有鍵を生成する前記ステップが:前記パスワードを取得するために、前記第2のデバイスの前記秘密鍵を用いて、前記第2のデバイスによって前記暗号化結果を復号化するステップと;前記鍵導出アルゴリズムを用いて前記パスワードのための前記導出鍵を生成するステップと;前記導出鍵を前記第1の共有鍵として使用するステップとを含む、
    請求項17の記載の方法。
  19. 前記第1のデバイスによって第1の共有鍵を生成して、前記第2のデバイスの前記公開鍵を用いて前記第1の共有鍵を取得するための情報を前記第2のデバイスに送信する前記ステップが:前記第1のデバイスによってランダマイザを生成するステップと;前記第1のデバイスおよび前記第2のデバイスと前記ランダマイザによって認証された情報を用いて前記第1の共有鍵を生成するステップと;前記第2のデバイスの前記公開鍵を用いて前記ランダマイザを暗号化し、その後、暗号化結果を前記第2のデバイスに送信するステップとを含み;および、
    前記第2のデバイスの秘密鍵および前記第1の共有鍵を取得するための前記情報を用いて、前記第2のデバイスによって、前記第1の共有鍵を生成する前記ステップが:前記ランダマイザを取得するために、前記第2のデバイスの前記秘密鍵を用いて、前記第2のデバイスによって前記暗号化結果を復号化するステップ;および、前記第1のデバイスおよび前記第2のデバイスと前記ランダマイザによって認証された前記情報を用いて前記第1の共有鍵を生成するステップを含む、
    請求項17に記載の方法。
  20. 前記第2のデバイスの前記公開鍵を用いて、前記第1の共有鍵を取得するための情報を前記第2のデバイスに送信する前記ステップが:前記第2のデバイスの前記公開鍵を用いて前記第1のデバイスの公開鍵を、前記第1のデバイスによって暗号化し、その後、暗号化結果を前記第2のデバイスに送信するステップを含み;および、
    前記第2のデバイスの秘密鍵および前記第1の共有鍵を取得するための前記情報を用いて、前記第2のデバイスによって、前記第1の共有鍵を生成する前記ステップが:前記第1のデバイスの前記公開鍵を取得するために、前記第2のデバイスの前記秘密鍵を用いて、前記第2のデバイスによって前記暗号化結果を復号化するステップと;パスワードを生成するステップと;前記パスワードを暗号化し、その後、暗号化結果を前記第1のデバイスに送信するステップとを含み;
    このため、前記第1のデバイスは、前記第1のデバイスの秘密鍵を用いて、受信した前記暗号化結果を復号化し、その後、取得したパスワードを前記第1の共有鍵として使用する、
    請求項17に記載の方法。
  21. 前記方法が:前記第1のデバイスおよび前記第2のデバイスによって、鍵交換アルゴリズムを事前認証するステップをさらに含み;
    前記第2のデバイスの前記公開鍵を用いて、前記第1のデバイスによって第1の共有鍵を生成し、前記第1の共有鍵を取得するための情報を前記第2のデバイスに送信する前記ステップが:前記第2のデバイスの前記公開鍵および前記第1のデバイスの秘密鍵を用いて前記鍵交換アルゴリズムに従って、前記第1のデバイスによって前記第1の共有鍵を生成するステップ;および、前記第1のデバイスの公開鍵を前記第2のデバイスに送信するステップを含み;
    前記第2のデバイスの秘密鍵および前記第1の共有鍵を取得するための前記情報を用いて、前記第2のデバイスによって、前記第1の共有鍵を生成する前記ステップが:前記第2のデバイスの前記秘密鍵および前記第1のデバイスの前記公開鍵を用いて、前記鍵交換アルゴリズムに従って、前記第2のデバイスによって前記第1の共有鍵を生成するステップを含む、
    請求項17に記載の方法。
  22. 前記第1のデバイスおよび前記第2のデバイスによって、鍵交換アルゴリズムを事前認証する前記ステップが:
    前記第1のデバイスおよび前記第2のデバイスにおいて、前記鍵交換アルゴリズムによって使用されるパラメータを事前構成するステップ;または、
    前記コンフィギュレーションデバイスによって、前記鍵交換アルゴリズムによって使用されるパラメータを前記第1のデバイスおよび前記第2のデバイスに送信するステップ
    を含む、請求項21に記載の方法。
  23. 前記方法が:前記コンフィギュレーションデバイスによって、前記第1のデバイスの前記公開鍵を取得するステップをさらに含み;および、
    前記コンフィギュレーションデバイスによって、前記第2のデバイスの前記公開鍵を前記第1のデバイスに送信する前記ステップが:前記コンフィギュレーションデバイスによって、前記第1のデバイスの前記公開鍵を用いて前記第2のデバイスの前記公開鍵を暗号化し、暗号化結果を前記第1のデバイスに送信するステップを含み、このため、前記第1のデバイスは、前記第2のデバイスの前記公開鍵を取得するために、前記暗号化結果を復号化する、
    請求項17から22のいずれか一項に記載の方法。
  24. 前記方法が:第2の共有鍵を生成するように、前記第1のデバイスへのセキュア接続を、前記コンフィギュレーションデバイスによって確立するステップをさらに含み;および、
    前記第2のデバイスの前記公開鍵を前記第1のデバイスに送信する前記ステップが:前記コンフィギュレーションデバイスによって、前記第2の共有鍵を用いて前記第2のデバイスの前記公開鍵を暗号化し、その後、暗号化結果を前記第1のデバイスに送信するステップを含み、このため、前記第1のデバイスは、前記第2のデバイスの前記公開鍵を取得するために、前記第2の共有鍵を用いて、受信した前記暗号化結果を復号化する、
    請求項17から22のいずれか一項に記載の方法。
  25. 第2の共有鍵を生成するように、前記第1のデバイスへのセキュア接続を、前記コンフィギュレーションデバイスによって確立する前記ステップが:
    前記コンフィギュレーションデバイスによって、WPSインタラクション方法で、前記第1のデバイスとクレデンシャルを共有し、前記クレデンシャルを前記第2の共有鍵として使用するステップ;または、
    前記コンフィギュレーションデバイスによって、前記コンフィギュレーションデバイスの公開鍵を前記第1のデバイスに送信するステップであって、このため、前記コンフィギュレーションデバイスは、前記第1のデバイスの前記公開鍵と前記コンフィギュレーションデバイスの前記秘密鍵を用いて、事前認証された鍵交換アルゴリズムに従って、前記第2の共有鍵を生成し、前記第1のデバイスは、前記コンフィギュレーションデバイスの前記公開鍵と前記第1のデバイスの前記秘密鍵を用いて、前記事前認証された鍵交換アルゴリズムに従って、前記第2の共有鍵を生成する、ステップ、
    を含む、請求項24に記載の方法。
  26. 前記第1のデバイスがエンローリenrolleeであり、前記第2のデバイスがregistrarであり;または、前記第1のデバイスがクライアントclientであり、前記第2のデバイスがGOであり;または、前記第1のデバイスが無線端末であり、前記第2のデバイスがアクセスポイントであり;または、前記第1のデバイスが中央ノードであり、第2のデバイスがセンサノードである、
    請求項17から25のいずれか一項に記載の方法。
  27. 前記方法が:前記コンフィギュレーションデバイスによって、前記第2のデバイスのチャネル情報を取得し、前記チャネル情報を前記第1のデバイスに送信するステップをさらに含み、このため、前記第1のデバイスは、第1の共有鍵を取得するための情報を前記第2のデバイスに送信する前記ステップを実行するように、前記第2のデバイスの前記チャネル情報に従って、前記第2のデバイスを迅速に発見する、請求項17から26のいずれか一項に記載の方法。
  28. 前記コンフィギュレーションデバイスが、2次元コードをスキャンすることによって、ユニバーサルシリアルバスUSBを使用することによって、または近距離無線通信の手段によって、前記第1のデバイスまたは前記第2のデバイスから情報を取得する、請求項17から27のいずれか一項に記載の方法。
  29. 鍵コンフィギュレーション方法であって、前記方法が:
    第2のデバイスによって、前記第2のデバイスの公開鍵をコンフィギュレーションデバイスに提供するステップであって、このため、前記コンフィギュレーションデバイスは、前記第2のデバイスの前記公開鍵を第1のデバイスに送信する、ステップ;
    第1の共有鍵を取得するために使用され、前記第2のデバイスの前記公開鍵を用いて前記第1のデバイスによって送信される情報を、前記第2のデバイスによって受信するステップ;または、前記第2のデバイスの前記公開鍵を用いて前記第1のデバイスが前記第1の共有鍵を生成した後に、前記第1の共有鍵を取得するために使用され、前記第1のデバイスによって送信される情報を受信するステップ;および、
    前記第2のデバイスによって、前記第2のデバイスの秘密鍵と前記第1の共有鍵を取得するための前記情報を用いて前記第1の共有鍵を生成するステップであって、前記第1の共有鍵は、前記第1のデバイスと前記第2のデバイスとの間のセキュア接続のために使用される、ステップ、
    を含む、鍵コンフィギュレーション方法。
  30. 第1の共有鍵を取得するために使用され、前記第2のデバイスの前記公開鍵を用いて前記第1のデバイスによって送信される情報を、前記第2のデバイスによって受信する前記ステップが:前記第1のデバイスによって送信される暗号化結果を、前記第2のデバイスによって受信するステップであって、前記暗号化結果は、前記第1のデバイスがパスワードを生成し、前記パスワードを前記第1の共有鍵として使用し、その後、前記第2のデバイスの前記公開鍵を用いて前記パスワードを復号化した後に取得される、ステップ、を含み;および、
    前記第2のデバイスの秘密鍵および前記第1の共有鍵を取得するための前記情報を用いて、前記第2のデバイスによって、前記第1の共有鍵を生成する前記ステップが:前記パスワードを取得するために、前記第2のデバイスの前記秘密鍵を用いて、前記第2のデバイスによって前記暗号化結果を復号化し、前記パスワードを前記第1の共有鍵として使用するステップを含むか;または、
    第1の共有鍵を取得するために使用され、前記第2のデバイスの前記公開鍵を用いて前記第1のデバイスによって送信される情報を、前記第2のデバイスによって受信する前記ステップが:前記第1のデバイスによって送信される暗号化結果を、前記第2のデバイスによって受信するステップであって、前記暗号化結果は、前記第1のデバイスがパスワードを生成し、その後、前記第2のデバイスの前記公開鍵を用いて前記パスワードを復号化した後に取得される、ステップ、を含み;および、
    前記第2のデバイスの秘密鍵および前記第1の共有鍵を取得するための前記情報を用いて、前記第2のデバイスによって、前記第1の共有鍵を生成する前記ステップが:前記パスワードを取得するために、前記第2のデバイスの前記秘密鍵を用いて、前記第2のデバイスによって前記暗号化結果を復号化するステップと;鍵導出アルゴリズムを用いて前記パスワードのための導出鍵を生成するステップと;前記導出鍵を前記第1の共有鍵として使用するステップとを含む、
    請求項29の記載の方法。
  31. 第1の共有鍵を取得するために使用され、前記第2のデバイスの前記公開鍵を用いて前記第1のデバイスによって送信される情報を、前記第2のデバイスによって受信する前記ステップが:前記第1のデバイスによって送信される暗号化結果を、前記第2のデバイスによって受信するステップであって、前記暗号化結果は、前記第1のデバイスがランダマイザを生成し、その後、前記第2のデバイスの前記公開鍵を用いて前記ランダマイザを暗号化した後に取得され、前記第1のデバイスは、前記第1のデバイスおよび前記第2のデバイスと前記ランダマイザによって認証された情報を用いて前記第1の共有鍵を生成する、ステップ、を含み;および、
    前記第2のデバイスの秘密鍵および前記第1の共有鍵を取得するための前記情報を用いて、前記第2のデバイスによって、前記第1の共有鍵を生成する前記ステップが:前記ランダマイザを取得するために、前記第2のデバイスの前記秘密鍵を用いて、前記第2のデバイスによって前記暗号化結果を復号化するステップ;および、前記第1のデバイスおよび前記第2のデバイスと前記ランダマイザによって認証された前記情報を用いて前記第1の共有鍵を生成するステップを含む、
    請求項29に記載の方法。
  32. 第1の共有鍵を取得するために使用され、前記第2のデバイスの前記公開鍵を用いて前記第1のデバイスによって送信される情報を、前記第2のデバイスによって受信する前記ステップが:前記第1のデバイスが、前記第2のデバイスの前記公開鍵を用いて前記第1のデバイスの公開鍵を暗号化した後に取得される暗号化結果を、前記第2のデバイスによって受信するステップを含み;および、
    前記第2のデバイスの秘密鍵および前記第1の共有鍵を取得するための前記情報を用いて、前記第2のデバイスによって、前記第1の共有鍵を生成する前記ステップが:前記第1のデバイスの前記公開鍵を取得するために、前記第2のデバイスの前記秘密鍵を用いて、前記第2のデバイスによって前記暗号化結果を復号化するステップと;パスワードを生成するステップと;前記パスワードを第1の共有パスワードとして使用するステップと;前記第1のデバイスの前記公開鍵を用いて前記パスワードを暗号化し、その後、暗号化結果を前記第1のデバイスに送信するステップとを含み;
    このため、前記第1のデバイスは、前記第1のデバイスの秘密鍵を用いて、受信した前記暗号化結果を復号化し、その後、取得したパスワードを前記第1の共有鍵として使用する、
    請求項29に記載の方法。
  33. 前記方法が:前記第2のデバイスおよび前記第1のデバイスによって、鍵交換アルゴリズムを事前認証するステップをさらに含み;
    前記第1のデバイスが、前記第2のデバイスの前記公開鍵を用いて前記第1の共有鍵を生成した後に、第1の共有鍵を取得するために使用され、前記第1のデバイスによって送信される情報を受信する前記ステップが:前記第1のデバイスが、前記第2のデバイスの前記公開鍵および前記第1のデバイスの秘密鍵を用いて、前記鍵交換アルゴリズムに従って、前記第1の共有鍵を生成した後に、前記第1のデバイスによって送信される前記第1のデバイスの公開鍵を、前記第2のデバイスによって受信するステップを含み;および、
    前記第2のデバイスの秘密鍵および前記第1の共有鍵を取得するための前記情報を用いて、前記第2のデバイスによって、前記第1の共有鍵を生成する前記ステップが:前記第2のデバイスの前記秘密鍵および前記第1のデバイスの前記公開鍵を用いて、前記鍵交換アルゴリズムに従って、前記第2のデバイスによって前記第1の共有鍵を生成するステップを含む、
    請求項29に記載の方法。
  34. 前記第2のデバイスおよび前記第1のデバイスによって、鍵交換アルゴリズムを事前認証する前記ステップが:
    前記第2のデバイスおよび前記第1のデバイスにおいて、前記鍵交換アルゴリズムによって使用されるパラメータを事前構成するステップ;または、
    前記第2のデバイスおよび前記第1のデバイスによって、前記鍵交換アルゴリズムによって使用され、前記コンフィギュレーションデバイスによって送信されるパラメータを受信するステップ
    を含む、請求項33に記載の方法。
  35. 前記第1のデバイスと前記第2のデバイスとの間のセキュア接続のために使用される前記第1の共有鍵が:
    前記第2のデバイスによって、前記第1のデバイスによって送信される暗号化結果を受信するステップであって、前記暗号化結果は、前記第1のデバイスが前記第1の共有鍵を取得し、クレデンシャルを生成し、その後、前記第1の共有鍵または前記第1の共有鍵の導出鍵を用いて前記クレデンシャルを暗号化した後に取得される、ステップ;および、前記クレデンシャルを取得するために、前記取得した第1の共有鍵または前記第1の共有鍵の前記導出鍵を用いて、前記第2のデバイスによって、前記暗号化結果を復号化するステップであって、前記クレデンシャルは、前記第1のデバイスと前記第2のデバイスとの間のセキュア接続のために使用される、ステップ;または、
    前記第1の共有鍵を取得した後に、前記第2のデバイスによってクレデンシャルを生成するステップと;前記第1の共有鍵または前記第1の共有鍵の導出鍵を用いて前記クレデンシャルを暗号化し、その後、暗号化結果を前記第1のデバイスに送信するステップであって、このため、前記第1のデバイスは、前記クレデンシャルを取得するために、前記取得した第1の共有鍵または前記第1の共有鍵の前記導出鍵を用いて前記暗号化結果を復号化し、ここで、前記クレデンシャルは、前記第1のデバイスと前記第2のデバイスとの間のセキュア接続のために使用される、ステップ、
    を含む、請求項29から34のいずれか一項に記載の方法。
  36. 前記第1のデバイスが、レジストラRegistrar、中央ノード、またはグループ所有者GOである場合、前記第1のデバイスは、前記クレデンシャルを生成し、前記クレデンシャルの前記暗号化結果を前記第2のデバイスに送信するか;または、
    前記第2のデバイスが、Registrar、中央ノード、またはGOである場合、前記第2のデバイスは、前記クレデンシャルを生成し、前記クレデンシャルの前記暗号化結果を前記第1のデバイスに送信する、
    請求項35に記載の方法。
  37. 前記方法が:
    前記第2のデバイスによって、前記第2のデバイスのチャネル情報を前記コンフィギュレーションデバイスに提供するステップであって、このため、前記コンフィギュレーションデバイスは、前記第2のデバイスの前記チャネル情報を前記第1のデバイスに送信し、その後、前記第1のデバイスは、第1の共有鍵を取得するための情報を前記第2のデバイスに送信する前記ステップを実行するように、前記第2のデバイスの前記チャネル情報に従って、前記第2のデバイスを迅速に発見する、ステップ、
    をさらに含む、請求項29から36のいずれか一項に記載の方法。
  38. 前記コンフィギュレーションデバイスが、2次元コードもしくはUSBを使用することによって、または近距離無線通信の手段によって、前記第2のデバイスまたは前記第1のデバイスから情報を取得する、請求項29から37のいずれか一項に記載の方法。
  39. 前記方法が:
    前記第2のデバイスの前記公開鍵を用いて、前記第1のデバイスによって生成される検証値を、前記第2のデバイスによって受信するステップと;前記第2のデバイスの前記公開鍵を用いて前記受信した検証値を、前記第2のデバイスによって検証するステップと;検証が成功した場合には、前記第1の共有鍵を生成する前記ステップを実行するステップと
    をさらに含む、請求項29から38のいずれか一項に記載の方法。
  40. 第1のデバイスに配置された鍵コンフィギュレーション装置であって、前記鍵コンフィギュレーション装置が:
    コンフィギュレーションデバイスが第2のデバイスの公開鍵を取得した後に、前記コンフィギュレーションデバイスによって送信される前記第2のデバイスの前記公開鍵を受信するように構成された、コンフィギュレーション受信部;および、
    前記第2のデバイスの前記公開鍵を用いて、第1の共有鍵を取得するための情報を前記第2のデバイスに送信するように、または、前記第2のデバイスの前記公開鍵を用いて、第1の共有鍵を生成して、前記第1の共有鍵を取得するための情報を前記第2のデバイスに送信するように構成された、鍵処理部であって、このため、前記第2のデバイスは、前記第2のデバイスの秘密鍵および前記第1の共有鍵を取得するための前記情報を用いて前記第1の共有鍵を生成し、ここで、前記第1の共有鍵は、前記第1のデバイスと前記第2のデバイスとの間のセキュア接続のために使用される、鍵処理部
    を含む、鍵コンフィギュレーション装置。
  41. 前記鍵処理部が、パスワードを生成し、前記パスワードを前記第1の共有鍵として使用し;暗号化結果を取得するために、前記第2のデバイスの前記公開鍵を用いて前記パスワードを暗号化し;および、前記暗号化結果を前記第2のデバイスに送信するように特に構成され、このため、前記第2のデバイスは、前記パスワードを取得するために、前記第2のデバイスの前記秘密鍵を用いて前記暗号化結果を復号化し、前記パスワードを前記第1の共有鍵として使用するか;または、
    前記鍵処理部が、パスワードを生成し、暗号化結果を取得するために、前記第2のデバイスの前記公開鍵を用いて前記パスワードを暗号化し;前記暗号化結果を前記第2のデバイスに送信し;鍵導出アルゴリズムを用いて前記パスワードのための導出鍵を生成し;前記導出鍵を前記第1の共有鍵として使用するように特に構成され、このため、前記第2のデバイスは、前記パスワードを取得するために、前記第2のデバイスの前記秘密鍵を用いて前記暗号化結果を復号化し、前記鍵導出アルゴリズムを用いて前記パスワードのための前記導出鍵を生成して、前記導出鍵を前記第1の共有鍵として使用する、
    請求項40に記載の鍵コンフィギュレーション装置。
  42. 前記鍵処理部が、ランダマイザを生成し;前記第1のデバイスおよび前記第2のデバイスと前記ランダマイザによって認証された情報を用いて前記第1の共有鍵を生成し;前記第2のデバイスの前記公開鍵を用いて前記ランダマイザを暗号化し、その後、暗号化結果を前記第2のデバイスに送信するように特に構成され、このため、前記第2のデバイスは、前記ランダマイザを取得するために、前記第2のデバイスの前記秘密鍵を用いて前記暗号化結果を復号化し、前記第1のデバイスおよび前記第2のデバイスと前記ランダマイザによって認証された前記情報を用いて前記第1の共有鍵を生成する、請求項40に記載の鍵コンフィギュレーション装置。
  43. 前記鍵処理部が、前記第2のデバイスの前記公開鍵を用いて前記第1のデバイスの公開鍵を暗号化し、その後、暗号化結果を前記第2のデバイスに送信し;前記第2のデバイスによって送信される暗号化結果を受信し、ここで、前記暗号化結果は、前記第1のデバイスの前記公開鍵を取得するために、前記第2のデバイスが前記第2のデバイスの前記秘密鍵を用いて前記受信した暗号化結果を復号化し、パスワードを生成し、前記パスワードを前記第1の共有鍵として使用し、その後、前記第1のデバイスの前記公開鍵を用いて前記パスワードを暗号化した後に取得され;前記第1のデバイスの秘密鍵を用いて、前記受信した暗号化結果を復号化し、その後、前記取得したパスワードを前記第1の共有鍵として使用するように特に構成される、請求項40に記載の鍵コンフィギュレーション装置。
  44. 前記鍵処理部が、前記第1のデバイスおよび前記第2のデバイスによって事前認証された鍵交換アルゴリズムに従って、前記第2のデバイスの前記公開鍵および前記第1のデバイスの秘密鍵を用いて、前記第1の共有鍵を生成し;前記第1のデバイスの公開鍵を前記第2のデバイスに送信するように特に構成され、このため、前記第2のデバイスは、前記第2のデバイスの前記秘密鍵および前記第1のデバイスの前記公開鍵を用いて、前記鍵交換アルゴリズムに従って、前記第1の共有鍵を生成する、請求項40に記載の鍵コンフィギュレーション装置。
  45. 前記鍵交換アルゴリズムによって使用されるパラメータが、前記鍵処理部で事前構成されるか;または、
    前記コンフィギュレーション受信部が、前記鍵交換アルゴリズムによって使用され、前記コンフィギュレーションデバイスによって送信されるパラメータを受信し、前記パラメータを前記鍵処理部に提供するようにさらに構成される、
    請求項44に記載の鍵コンフィギュレーション装置。
  46. 前記鍵コンフィギュレーション装置がセキュア接続部をさらに含み、
    前記セキュア接続部は、前記鍵処理部が前記第1の共有鍵を取得した後に、クレデンシャルを生成し;前記第1の共有鍵または前記第1の共有鍵の導出鍵を用いて前記クレデンシャルを暗号化し、その後、暗号化結果を前記第2のデバイスに送信するように構成され、このため、前記第2のデバイスは、前記クレデンシャルを取得するために、前記取得した第1の共有鍵または前記第1の共有鍵の前記導出鍵を用いて前記暗号化結果を復号化し、ここで、前記クレデンシャルは、前記第1のデバイスと前記第2のデバイスとの間のセキュア接続のために使用されるか;または、前記クレデンシャルを取得するために、前記取得した第1の共有鍵または前記第1の共有鍵の前記導出鍵を用いて、前記第2のデバイスによって送信される、クレデンシャルの暗号化結果を復号化し、ここで、前記クレデンシャルの前記暗号化結果は、前記第2のデバイスが、前記第1の共有鍵を取得し、前記クレデンシャルを生成し、その後、前記第1の共有鍵および前記第1の共有鍵の前記導出鍵を用いて前記クレデンシャルを暗号化した後に取得され、前記クレデンシャルは、前記第1のデバイスと前記第2のデバイスとの間のセキュア接続のために使用される、
    請求項40から45のいずれか一項に記載の鍵コンフィギュレーション装置。
  47. 前記コンフィギュレーション受信部は、前記コンフィギュレーションデバイスが前記第2のデバイスの前記公開鍵と前記第1のデバイスの前記公開鍵を取得した後に、前記コンフィギュレーションデバイスによって送信される暗号化結果を受信するように特に構成され、ここで、前記暗号化結果は、前記コンフィギュレーションデバイスが前記第1のデバイスの前記公開鍵を用いて前記第2のデバイスの前記公開鍵を暗号化した後に取得され;および、
    前記鍵処理部は、前記第2のデバイスの前記公開鍵を取得するために、前記暗号化結果を復号化するようにさらに構成される、
    請求項40から46のいずれか一項に記載の鍵コンフィギュレーション装置。
  48. 前記コンフィギュレーション受信部が、第2の共有鍵を生成するように、前記コンフィギュレーションデバイスとのセキュア接続を確立し;前記コンフィギュレーションデバイスが前記第2のデバイスの前記公開鍵を取得した後に、前記コンフィギュレーションデバイスによって送信される暗号化結果を受信するように特に構成され、ここで、前記暗号化結果は、前記コンフィギュレーションデバイスが、前記第2の共有鍵を用いて前記第2のデバイスの前記公開鍵を暗号化した後に取得され;および、
    前記鍵処理部が、前記第2のデバイスの前記公開鍵を取得するために、前記第2の共有鍵を用いて前記受信した暗号化結果を復号化するようにさらに構成される、
    請求項40から46のいずれか一項に記載の鍵コンフィギュレーション装置。
  49. 前記第2の共有鍵を生成するように前記コンフィギュレーションデバイスとのセキュア接続を確立するとき、特に、前記コンフィギュレーション受信部は、クレデンシャルを共有するためにワイファイの手段によって前記コンフィギュレーションデバイスとのWPSインタラクション方法をセキュアに確立し、前記クレデンシャルを前記第2の共有鍵として使用するか;または、前記コンフィギュレーションデバイスによって送信される前記コンフィギュレーションデバイスの公開鍵を特に受信し、このため、前記第1のデバイスは、前記コンフィギュレーションデバイスの前記公開鍵および前記第1のデバイスの前記秘密鍵を用いて、事前認証された鍵交換アルゴリズムに従って、前記第2の共有鍵を生成する、請求項48に記載の鍵コンフィギュレーション装置。
  50. 前記鍵処理部が、前記第2のデバイスの前記公開鍵を取得した後に、新たな公開鍵と新たな秘密鍵を生成するようにさらに構成され;および、
    前記第1のデバイスによって前記第2のデバイスに送信される前記第1のデバイスの前記公開鍵が、前記新たな公開鍵であり;前記第1の共有鍵を生成するために前記第2のデバイスによって使用される前記第1のデバイスの前記公開鍵が、前記新たな公開鍵であり;前記第1の共有鍵を生成するために前記第1のデバイスによって使用される前記第1のデバイスの前記秘密鍵は、前記新たな秘密鍵である、
    請求項44に記載の鍵コンフィギュレーション装置。
  51. 前記第1のデバイスがエンローリenrolleeであり、前記第2のデバイスがregistrarであり;または、前記第1のデバイスがクライアントclientであり、前記第2のデバイスがGOであり;または、前記第1のデバイスが無線端末であり、前記第2のデバイスがアクセスポイントであり;または、前記第1のデバイスが中央ノードであり、第2のデバイスがセンサノードである、
    請求項40から50のいずれか一項に記載の鍵コンフィギュレーション装置。
  52. 前記コンフィギュレーション受信部が、前記第2のデバイスから取得され、その後前記コンフィギュレーションデバイスによって送信される、前記第2のデバイスのチャネル情報を受信するようにさらに構成され;および、
    前記鍵処理部が、第1の共有鍵を取得するための情報を前記第2のデバイスに送信する前記動作を実行するように、前記第2のデバイスの前記チャネル情報に従って、前記第2のデバイスを迅速に発見する、
    請求項40から51のいずれか一項に記載の鍵コンフィギュレーション装置。
  53. 前記鍵処理部が、前記第2のデバイスの前記公開鍵を用いて検証値を生成し、前記検証値を前記第2のデバイスに送信するようにさらに構成され、このため、前記第2のデバイスは、前記第1の共有鍵を生成する前に、前記第2のデバイスの前記公開鍵を用いて前記受信した検証値を検証し、検証が成功した場合には、前記第1の共有鍵を生成する動作を実行する、請求項40から52のいずれか一項に記載の鍵コンフィギュレーション装置。
  54. コンフィギュレーションデバイスに配置された鍵コンフィギュレーション装置であって、前記鍵コンフィギュレーション装置が:
    第2のデバイスの公開鍵を取得するように構成された情報取得部;および、
    前記第2のデバイスの前記公開鍵を第1のデバイスに送信するように構成された情報送信部を含み、
    このため、前記第1のデバイスは、前記第2のデバイスの前記公開鍵を用いて第1の共有鍵を取得するための情報を前記第2のデバイスに送信するか;または、前記第1のデバイスは、前記第2のデバイスの前記公開鍵を用いて第1の共有鍵を生成し、前記第1の共有鍵を取得するための情報を前記第2のデバイスに送信し;および、
    このため、前記第2のデバイスは、前記第2のデバイスの秘密鍵と前記第1の共有鍵を取得するための前記情報を用いて前記第1の共有鍵を生成し、ここで、前記第1の共有鍵は、前記第1のデバイスと前記第2のデバイスとの間のセキュア接続のために使用される、
    鍵コンフィギュレーション装置。
  55. 前記情報送信部が、鍵交換アルゴリズムによって使用されるパラメータを前記第1のデバイスおよび前記第2のデバイスに送信するようにさらに構成され、ここで、前記鍵交換アルゴリズムは、前記第1のデバイスの秘密鍵および前記第2のデバイスの前記公開鍵を用いて、前記鍵交換アルゴリズムに従って、前記第1のデバイスが前記第1の共有鍵を生成することを可能にするため、および、前記第2のデバイスの前記秘密鍵および前記第1のデバイスの公開鍵を用いて、前記鍵交換アルゴリズムに従って、前記第2のデバイスが前記第1の共有鍵を生成することを可能にするために使用される、請求項54に記載の鍵コンフィギュレーション装置。
  56. 前記情報取得部が、前記第1のデバイスの前記公開鍵を取得するようにさらに構成され;および、
    前記情報送信部が、前記第1のデバイスの前記公開鍵を用いて前記第2のデバイスの前記公開鍵を暗号化し、暗号化結果を前記第1のデバイスに送信するように特に構成され、このため、前記第1のデバイスは、前記第2のデバイスの前記公開鍵を取得するために、前記暗号化結果を復号化する、
    請求項54または55に記載の鍵コンフィギュレーション装置。
  57. 前記情報送信部が、第2の共有鍵を生成するように、前記第1のデバイスへのセキュア接続を確立するようにさらに構成され;前記第2のデバイスの前記公開鍵を前記第1のデバイスに送信するとき、前記情報送信部は、前記第2の共有鍵を用いて、前記第2のデバイスの前記公開鍵を特に暗号化し、暗号化結果を前記第1のデバイスに送信し、このため、前記第1のデバイスは、前記第2のデバイスの前記公開鍵を取得するために、前記第2の共有鍵を用いて、受信した暗号化結果を復号化する、請求項54または55に記載の鍵コンフィギュレーション装置。
  58. 前記第2の共有鍵を生成するように前記第1のデバイスへのセキュア接続を確立するとき、前記情報送信部が、WPSインタラクション方法で前記第1のデバイスとクレデンシャルを共有し、前記クレデンシャルを前記第2の共有鍵として使用するように;または、前記コンフィギュレーションデバイスの公開鍵を前記第1のデバイスに送信し、前記第1のデバイスの前記公開鍵と前記コンフィギュレーションデバイスの秘密鍵を用いて、事前認証された鍵交換アルゴリズムに従って、前記第2の共有鍵を生成するように、特に構成される、請求項57に記載の鍵コンフィギュレーション装置。
  59. 前記情報取得部が、前記第2のデバイスのチャネル情報を取得するようにさらに構成され;および、
    前記情報送信部が、前記第2のデバイスの前記チャネル情報を前記第1のデバイスに送信するようにさらに構成され、このため、前記第1のデバイスは、第1の共有鍵を取得するための情報を前記第2のデバイスに送信する前記動作を実行するように、前記第2のデバイスの前記チャネル情報に従って、前記第2のデバイスを迅速に発見する、
    請求項54から58のいずれか一項に記載の鍵コンフィギュレーション装置。
  60. 前記情報取得部が、2次元コードをスキャンすることによって、ユニバーサルシリアルバスUSBを使用することによって、または近距離無線通信の手段によって、前記第1のデバイスまたは前記第2のデバイスから情報を取得するように特に構成される、請求項54から59のいずれか一項に記載の鍵コンフィギュレーション装置。
  61. 第2のデバイスに配置された鍵コンフィギュレーション装置であって、前記鍵コンフィギュレーション装置が:
    コンフィギュレーションデバイスに前記第2のデバイスの公開鍵を提供するように構成された情報提供部であって、このため、前記コンフィギュレーションデバイスは、前記第2のデバイスの前記公開鍵を第1のデバイスに送信する、情報提供部と;
    第1の共有鍵を取得するために使用され、前記第2のデバイスの前記公開鍵を用いて前記第1のデバイスによって送信される情報を受信するように;または、前記第1のデバイスが前記第2のデバイスの前記公開鍵を用いて第1の共有鍵を生成した後に、前記第1の共有鍵を取得するために使用され、前記第1のデバイスによって送信される情報を受信するように構成された情報受信部と;
    前記第2のデバイスの秘密鍵と前記第1の共有鍵を取得するための前記情報を用いて前記第1の共有鍵を生成するように構成された鍵生成部であって、前記第1の共有鍵は、前記第1のデバイスと前記第2のデバイスとの間のセキュア接続のために使用される、鍵生成部と
    を含む、鍵コンフィギュレーション装置。
  62. 前記情報受信部が、前記第1のデバイスによって送信される暗号化結果を受信するように特に構成され、ここで、前記暗号化結果は、前記第1のデバイスがパスワードを生成し、前記パスワードを前記第1の共有鍵として使用し、前記第2のデバイスの前記公開鍵を用いて前記パスワードを暗号化した後に取得され;
    前記鍵処理部が、前記パスワードを取得するために、前記第2のデバイスの前記秘密鍵を用いて前記暗号化結果を復号化し、前記パスワードを前記第1の共有鍵として使用するように特に構成されるか;または、
    前記情報受信部が、前記第1のデバイスによって送信される暗号化結果を受信するように特に構成され、ここで、前記暗号化結果は、前記第1のデバイスがパスワードを生成し、前記第2のデバイスの前記公開鍵を用いて前記パスワードを暗号化した後に取得され; 前記鍵処理部が、前記パスワードを取得するために、前記第2のデバイスの前記秘密鍵を用いて前記暗号化結果を復号化し;鍵導出アルゴリズムを用いて前記パスワードのための導出鍵を生成し;前記導出鍵を前記第1の共有鍵として使用するように特に構成される、
    請求項61に記載の鍵コンフィギュレーション装置。
  63. 前記情報受信部が、前記第1のデバイスによって送信される暗号化結果を受信するように特に構成され、ここで、前記暗号化結果は、前記第1のデバイスがランダマイザを生成し、前記第2のデバイスの前記公開鍵を用いて前記ランダマイザを暗号化した後に取得され、前記第1のデバイスは、前記第1のデバイスおよび前記第2のデバイスと前記ランダマイザによって認証された情報を用いて前記第1の共有鍵を生成し;および、
    前記鍵処理部が、前記ランダマイザを取得するために、前記第2のデバイスの前記秘密鍵を用いて前記暗号化結果を復号化し;前記第1のデバイスおよび前記第2のデバイスと前記ランダマイザによって認証された前記情報を用いて第1の共有鍵を生成するように特に構成される、
    請求項61に記載の鍵コンフィギュレーション装置。
  64. 前記情報受信部は、前記第1のデバイスが前記第2のデバイスの前記公開鍵を用いて前記第1のデバイスの公開鍵を暗号化した後に取得される暗号化結果を受信するように特に構成され;および、
    前記鍵処理部が、前記第1のデバイスの前記公開鍵を取得するために、前記第2のデバイスの前記秘密鍵を用いて前記暗号化結果を復号化し;パスワードを生成し;前記パスワードを前記第1の共有鍵として使用し;前記第1のデバイスの前記公開鍵を用いて前記パスワードを暗号化し、その後、暗号化結果を前記第1のデバイスに送信するように特に構成され、このため、前記第1のデバイスは、前記第1のデバイスの秘密鍵を用いて前記受信した暗号化結果を復号化し、その後、前記取得したパスワードを前記第1の共有鍵として使用する、
    請求項61に記載の鍵コンフィギュレーション装置。
  65. 前記情報受信部は、前記第1のデバイスが、鍵交換アルゴリズムに従って、前記第2のデバイスの前記公開鍵と前記第1のデバイスの秘密鍵を用いて、前記第1の共有鍵を生成した後に、前記第1のデバイスによって送信される前記第1のデバイスの公開鍵を受信するように特に構成され、ここで、前記鍵交換アルゴリズムは、前記第1のデバイスおよび前記第2のデバイスによって事前認証され;および、
    前記鍵処理部が、前記鍵交換アルゴリズムに従って、前記第2のデバイスの秘密鍵および前記第1のデバイスの公開鍵を用いて、前記第1の共有鍵を生成するように特に構成される、
    請求項61に記載の鍵コンフィギュレーション装置。
  66. 前記鍵交換アルゴリズムによって使用されるパラメータが、前記鍵処理部で事前構成され;または、
    前記情報受信部が、前記鍵交換アルゴリズムによって使用され、前記コンフィギュレーションデバイスによって送信されるパラメータを受信し、前記パラメータを前記鍵処理部に提供するようにさらに構成される、
    請求項65に記載の鍵コンフィギュレーション装置。
  67. 前記鍵コンフィギュレーション装置がセキュア接続部をさらに含み、前記セキュア接続部は、
    前記第1のデバイスによって送信される暗号化結果を受信し、ここで、前記暗号化結果は、前記第1のデバイスが前記第1の共有鍵を取得し、クレデンシャルを生成し、その後、前記第1の共有鍵または前記第1の共有鍵の導出鍵を用いて前記クレデンシャルを暗号化した後に取得され;および、前記クレデンシャルを取得するために、前記取得した第1の共有鍵または前記第1の共有鍵の前記導出鍵を用いて、前記暗号化結果を復号化し、ここで、前記クレデンシャルは、前記第1のデバイスと前記第2のデバイスとの間のセキュア接続のために使用される、ように構成されるか;または、
    前記鍵処理部が前記第1の共有鍵を取得した後に、クレデンシャルを生成し;前記第1の共有鍵または前記第1の共有鍵の前記導出鍵を用いて前記クレデンシャルを暗号化し、その後、暗号化結果を前記第1のデバイスに送信し、このため、前記第1のデバイスは、前記クレデンシャルを取得するために、前記取得した第1の共有鍵または前記第1の共有鍵の前記導出鍵を用いて前記暗号化結果を復号化し、ここで、前記クレデンシャルは、前記第1のデバイスと前記第2のデバイスとの間のセキュア接続のために使用される、ように構成される、
    請求項61から66のいずれか一項に記載の鍵コンフィギュレーション装置。
  68. 前記情報提供部が、前記第2のデバイスのチャネル情報を前記コンフィギュレーションデバイスに提供するようにさらに構成され、このため、前記コンフィギュレーションデバイスは、前記第2のデバイスの前記チャネル情報を前記第1のデバイスに送信し、その後、前記第1のデバイスは、第1の共有鍵を取得するための情報を前記第2のデバイスに送信する前記動作を実行するように、前記第2のデバイスの前記チャネル情報に従って、前記第2のデバイスを迅速に発見する、請求項61から67のいずれか一項に記載の鍵コンフィギュレーション装置。
  69. 前記情報提供部が、2次元コードもしくはUSBを使用することによって、または近距離無線通信の手段によって、前記コンフィギュレーションデバイスに情報を提供するように特に構成される、請求項61から68のいずれか一項に記載の鍵コンフィギュレーション装置。
  70. 前記情報受信部が、前記第2のデバイスの前記公開鍵を用いて前記第1のデバイスによって生成される検証値を受信するようにさらに構成され;および、
    前記鍵処理部が、前記第2のデバイスの前記公開鍵を用いて前記受信した検証値を検証し、検証が成功した場合に、前記第1の共有鍵を生成する動作を実行するようにさらに構成される、
    請求項61から68のいずれか一項に記載の鍵コンフィギュレーション装置。
  71. 鍵コンフィギュレーションシステムであって、前記鍵コンフィギュレーションシステムが:
    請求項40に記載の鍵コンフィギュレーション装置、請求項54に記載の鍵コンフィギュレーション装置、および請求項61に記載の鍵コンフィギュレーション装置;または、
    請求項41に記載の鍵コンフィギュレーション装置、請求項54に記載の鍵コンフィギュレーション装置、および請求項62に記載の鍵コンフィギュレーション装置;または、
    請求項42に記載の鍵コンフィギュレーション装置、請求項54に記載の鍵コンフィギュレーション装置、および請求項63に記載の鍵コンフィギュレーション装置;または、
    請求項43に記載の鍵コンフィギュレーション装置、請求項54に記載の鍵コンフィギュレーション装置、および請求項64に記載の鍵コンフィギュレーション装置;または、
    請求項44に記載の鍵コンフィギュレーション装置、請求項54に記載の鍵コンフィギュレーション装置、および請求項65に記載の鍵コンフィギュレーション装置;または、
    請求項45に記載の鍵コンフィギュレーション装置、請求項55に記載の鍵コンフィギュレーション装置、および請求項66に記載の鍵コンフィギュレーション装置;または、
    請求項46に記載の鍵コンフィギュレーション装置、請求項54に記載の鍵コンフィギュレーション装置、および請求項67に記載の鍵コンフィギュレーション装置;または、
    請求項47に記載の鍵コンフィギュレーション装置、請求項56に記載の鍵コンフィギュレーション装置、および請求項61から67のいずれか一項に記載の鍵コンフィギュレーション装置;または、
    請求項48に記載の鍵コンフィギュレーション装置、請求項57に記載の鍵コンフィギュレーション装置、および請求項61から67のいずれか一項に記載の鍵コンフィギュレーション装置;または、
    請求項49に記載の鍵コンフィギュレーション装置、請求項58に記載の鍵コンフィギュレーション装置、および請求項61から67のいずれか一項に記載の鍵コンフィギュレーション装置;または、
    請求項50に記載の鍵コンフィギュレーション装置、請求項54に記載の鍵コンフィギュレーション装置、および請求項65に記載の鍵コンフィギュレーション装置;または、
    請求項51に記載の鍵コンフィギュレーション装置、請求項54から58のいずれか一項に記載の鍵コンフィギュレーション装置、および請求項61から67のいずれか一項に記載の鍵コンフィギュレーション装置;または、
    請求項52に記載の鍵コンフィギュレーション装置、請求項59に記載の鍵コンフィギュレーション装置、および請求項68に記載の鍵コンフィギュレーション装置;または、
    請求項53に記載の鍵コンフィギュレーション装置、請求項54から59のいずれか一項に記載の鍵コンフィギュレーション装置、および請求項70に記載の鍵コンフィギュレーション装置;または、
    請求項40から53のいずれか一項に記載の鍵コンフィギュレーション装置、請求項60に記載の鍵コンフィギュレーション装置、および請求項69に記載の鍵コンフィギュレーション装置
    を含む、鍵コンフィギュレーションシステム。
JP2016550902A 2013-10-30 2013-10-30 鍵コンフィギュレーション方法、システム、および装置 Withdrawn JP2016540462A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2013/086247 WO2015061992A1 (zh) 2013-10-30 2013-10-30 一种密钥配置方法、系统和装置

Publications (1)

Publication Number Publication Date
JP2016540462A true JP2016540462A (ja) 2016-12-22

Family

ID=53003122

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016550902A Withdrawn JP2016540462A (ja) 2013-10-30 2013-10-30 鍵コンフィギュレーション方法、システム、および装置

Country Status (8)

Country Link
US (1) US20160269176A1 (ja)
EP (1) EP3065334A4 (ja)
JP (1) JP2016540462A (ja)
KR (1) KR20160078475A (ja)
CN (1) CN105723648B (ja)
AU (1) AU2013404506A1 (ja)
CA (1) CA2929173A1 (ja)
WO (1) WO2015061992A1 (ja)

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102023801B1 (ko) 2011-06-05 2019-09-20 애플 인크. 다수의 애플리케이션들로부터 수신된 통지들을 디스플레이하기 위한 시스템들 및 방법들
WO2014143776A2 (en) 2013-03-15 2014-09-18 Bodhi Technology Ventures Llc Providing remote interactions with host device using a wireless device
US11343335B2 (en) 2014-05-29 2022-05-24 Apple Inc. Message processing by subscriber app prior to message forwarding
TWI647608B (zh) 2014-07-21 2019-01-11 美商蘋果公司 遠端使用者介面
US9547419B2 (en) 2014-09-02 2017-01-17 Apple Inc. Reduced size configuration interface
US10254911B2 (en) * 2015-03-08 2019-04-09 Apple Inc. Device configuration user interface
EP3982590B1 (en) 2015-08-24 2023-06-07 Huawei Technologies Co., Ltd. Security authentication method, configuration method, and related device
US9633659B1 (en) * 2016-01-20 2017-04-25 Motorola Mobility Llc Method and apparatus for voice enrolling an electronic computing device
JP6776023B2 (ja) * 2016-06-30 2020-10-28 キヤノン株式会社 通信装置、通信方法、及びプログラム
US10445109B2 (en) * 2016-06-30 2019-10-15 Digicert, Inc. Automated propagation of server configuration on a server cluster
FR3054056B1 (fr) * 2016-07-13 2018-06-29 Safran Identity & Security Procede de mise en relation securisee d'un premier dispositif avec un deuxieme dispositif
US10230700B2 (en) * 2016-08-09 2019-03-12 Lenovo (Singapore) Pte. Ltd. Transaction based message security
JP6746427B2 (ja) * 2016-08-10 2020-08-26 キヤノン株式会社 通信装置、通信方法、及びプログラム
SG10201609247YA (en) * 2016-11-04 2018-06-28 Huawei Int Pte Ltd System and method for configuring a wireless device for wireless network access
US11200488B2 (en) * 2017-02-28 2021-12-14 Cisco Technology, Inc. Network endpoint profiling using a topical model and semantic analysis
US20180310176A1 (en) * 2017-04-24 2018-10-25 Osram Sylvania Inc. Methods and Systems For Authenticating a Device to a Wireless Network
CN109246581A (zh) * 2017-05-17 2019-01-18 北京京东尚科信息技术有限公司 一种通信的方法和装置
WO2019141375A1 (en) * 2018-01-19 2019-07-25 Telefonaktiebolaget Lm Ericsson (Publ) Method and device for sharing an established connection between a primary device and one of a plurality of secondary devices in a network
US10587400B2 (en) * 2018-02-12 2020-03-10 Afero, Inc. System and method for securely configuring a new device with network credentials
US10887193B2 (en) 2018-06-03 2021-01-05 Apple Inc. User interfaces for updating network connection settings of external devices
WO2019235802A1 (ko) * 2018-06-04 2019-12-12 엘지전자 주식회사 블루투스 기기를 통한 사용자 인증 방법 및 이를 위한 장치
CN112805671A (zh) 2019-05-06 2021-05-14 苹果公司 电子设备的受限操作
TWI714100B (zh) * 2019-05-24 2020-12-21 魏文科 利用非對稱式加密演算法建立、驗證輸入值的方法及其應用方法
DK201970533A1 (en) 2019-05-31 2021-02-15 Apple Inc Methods and user interfaces for sharing audio
US11477609B2 (en) 2019-06-01 2022-10-18 Apple Inc. User interfaces for location-related communications
US11481094B2 (en) 2019-06-01 2022-10-25 Apple Inc. User interfaces for location-related communications
CN113099451A (zh) * 2020-01-07 2021-07-09 上海诺基亚贝尔股份有限公司 用于连接到网络的方法、设备、装置和计算机可读介质
CN111327605B (zh) * 2020-01-23 2022-09-13 北京无限光场科技有限公司 传输私密信息的方法、终端、服务器和系统
CN111404950B (zh) * 2020-03-23 2021-12-10 腾讯科技(深圳)有限公司 一种基于区块链网络的信息共享方法、装置和相关设备
CN112073193B (zh) * 2020-09-07 2022-06-07 江苏徐工工程机械研究院有限公司 信息安全处理方法、装置和系统、工程车辆
US11595214B2 (en) * 2020-11-10 2023-02-28 Okta, Inc. Efficient transfer of authentication credentials between client devices

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001175467A (ja) * 1999-12-07 2001-06-29 Kizna.Com Inc コンピュータのセキュリティー確保方法及びそのプログラムを記録した媒体
JP3904011B2 (ja) * 2004-09-03 2007-04-11 大豊工業株式会社 半球状シューの製造方法
US7545932B2 (en) * 2004-10-29 2009-06-09 Thomson Licensing Secure authenticated channel
WO2007018476A1 (en) * 2005-08-11 2007-02-15 Nss Msc Sdn Bhd Hybrid cryptographic approach to mobile messaging
KR20080068647A (ko) * 2005-09-28 2008-07-23 온텔라, 인크. 이형, 분산 컴퓨팅 시스템에 서비스 애플리케이션 실행환경을 형성하기 위한 방법 및 시스템, 그리고 상기 서비스애플리케이션 실행 환경에서 실행하는 사용자 친화적데이터 전달 서비스 애플리케이션
US20070118735A1 (en) * 2005-11-10 2007-05-24 Jeff Cherrington Systems and methods for trusted information exchange
CN101150849B (zh) * 2006-09-18 2010-09-08 华为技术有限公司 生成绑定管理密钥的方法、系统、移动节点及通信节点
KR100872817B1 (ko) * 2006-12-07 2008-12-09 인하대학교 산학협력단 변형 디피 헬만 기반 키교환 방법
CN101267301A (zh) * 2007-03-15 2008-09-17 上海贝尔阿尔卡特股份有限公司 通信网络中基于身份的认证和密钥协商方法及装置
US8478988B2 (en) * 2007-05-15 2013-07-02 At&T Intellectual Property I, L.P. System and method for authentication of a communication device
JP5159700B2 (ja) * 2009-05-19 2013-03-06 キヤノン株式会社 光学装置及び焦点検出方法
CN101582906B (zh) * 2009-06-23 2012-04-18 中国人民解放军信息工程大学 密钥协商方法和装置
US8280408B2 (en) * 2009-07-17 2012-10-02 At&T Intellectual Property I, Lp Methods, systems and computer program products for tailoring advertisements to a user based on actions taken using a portable electronic device
EP2439238B1 (en) * 2010-10-06 2012-12-05 Borealis AG Polypropylene with living hinge properties

Also Published As

Publication number Publication date
EP3065334A4 (en) 2016-11-09
AU2013404506A1 (en) 2016-06-02
WO2015061992A1 (zh) 2015-05-07
EP3065334A1 (en) 2016-09-07
US20160269176A1 (en) 2016-09-15
CN105723648A (zh) 2016-06-29
KR20160078475A (ko) 2016-07-04
CA2929173A1 (en) 2015-05-07
CN105723648B (zh) 2019-06-18

Similar Documents

Publication Publication Date Title
US10003966B2 (en) Key configuration method and apparatus
US20160269176A1 (en) Key Configuration Method, System, and Apparatus
JP6923611B2 (ja) サービス層におけるコンテンツセキュリティ
JP6707717B2 (ja) デバイスプロビジョニングプロトコル(dpp)のためのコンフィギュレータ鍵パッケージ
JP6406681B2 (ja) プレアソシエーションサービスディスカバリのためのシステムおよび方法
US11451614B2 (en) Cloud authenticated offline file sharing
EP2491672B1 (en) Low-latency peer session establishment
US20150358820A1 (en) Method for Establishing Connection Between Devices, Configuration Device, and Wireless Device
CN109479049B (zh) 用于密钥供应委托的系统、设备和方法
US10305684B2 (en) Secure connection method for network device, related apparatus, and system
US11736304B2 (en) Secure authentication of remote equipment
EP2993933B1 (en) Wireless terminal configuration method, apparatus and wireless terminal
WO2023280194A1 (zh) 网络连接管理方法、装置、可读介质、程序产品及电子设备
JP2020533853A (ja) デジタル証明書を管理するための方法および装置
WO2022100356A1 (zh) 身份认证系统、方法、装置、设备及计算机可读存储介质
WO2017091987A1 (zh) 一种终端间的安全交互方法及装置
US8464055B2 (en) Method and apparatus of ensuring security of communication in home network
KR101785382B1 (ko) 클라이언트 인증 방법, 클라이언트의 동작 방법, 서버, 및 통신 소프트웨어
WO2016187850A1 (zh) 无线通信网络中设备配置的方法、装置及系统

Legal Events

Date Code Title Description
A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20170508