JP2020507243A - ネットワークデバイス及び信頼できるサードパーティデバイス - Google Patents

ネットワークデバイス及び信頼できるサードパーティデバイス Download PDF

Info

Publication number
JP2020507243A
JP2020507243A JP2019536275A JP2019536275A JP2020507243A JP 2020507243 A JP2020507243 A JP 2020507243A JP 2019536275 A JP2019536275 A JP 2019536275A JP 2019536275 A JP2019536275 A JP 2019536275A JP 2020507243 A JP2020507243 A JP 2020507243A
Authority
JP
Japan
Prior art keywords
network node
key
identification information
local
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019536275A
Other languages
English (en)
Other versions
JP7059282B2 (ja
JP2020507243A5 (ja
JP7059282B6 (ja
Inventor
マールテン ペーター ボドラエンデル
マールテン ペーター ボドラエンデル
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Koninklijke Philips NV
Original Assignee
Koninklijke Philips NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Koninklijke Philips NV filed Critical Koninklijke Philips NV
Publication of JP2020507243A publication Critical patent/JP2020507243A/ja
Publication of JP2020507243A5 publication Critical patent/JP2020507243A5/ja
Publication of JP7059282B2 publication Critical patent/JP7059282B2/ja
Application granted granted Critical
Publication of JP7059282B6 publication Critical patent/JP7059282B6/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0847Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC

Abstract

第1のネットワークノード100、200は、第2のネットワークノードの第1の識別情報と、第1のネットワークノードの機密性を保護するためのローカル鍵材料とから、機密性を保護するための第1の共有鍵245を計算することと、第2のネットワークノードの第2の識別情報と、第1のネットワークノードの完全性を保護するためのローカル鍵材料とから、完全性を保護するための第2の共有鍵246を計算することと、第1の共有鍵を使用して、メッセージを暗号化することと、第2の共有鍵を使用して、メッセージについて第1のメッセージ認証コードを計算することとを行うように設定される。

Description

本発明は、ネットワークノード、信頼できるサードパーティ(第3者)デバイス、電子通信方法、電子的な信頼できるサードパーティ方法、及びコンピュータ可読媒体に関する。
旧来の公開鍵インフラストラクチャでは、信頼できるサードパーティ又は鍵当局とも呼ばれる、単一の信頼の起点(root−of−trust)がある。信頼できるサードパーティは、公開鍵インフラストラクチャに参加するネットワークノードの証明書に署名する。送信側のネットワークノードは、受信側のネットワークノードの証明書上の署名を検証して、その真正性を保証し、証明書中に含まれている公開鍵を使用して、メッセージを暗号化することができる。送信側のノードは、メッセージに署名するために、それ自体の証明書に対応する秘密鍵を使用することができる。受信側のネットワークは、その公開鍵に対応する秘密鍵を有し、その秘密鍵を用いてメッセージを解読する。送信側のノードの証明書、及び特にその証明書中に含まれている公開鍵を使用して、署名が検証され得る。
普及しているにもかかわらず、このシステムにはいくつかの欠点がある。まず第1に、信頼の起点がハッキングされたとき、これはシステム全体を危険にさらす。攻撃者が、信頼の起点のルート鍵材料へのアクセス、この場合には、信頼の起点の秘密鍵へのアクセスを得た場合、攻撃者は、攻撃者自体の証明書を生成することができる。そのような偽造された証明書を用いて署名されたメッセージを受信したネットワークノードは、それを真正のものとして受け入れ、メッセージのコンテンツに応じて行動することになる。過去に、ハッキングされた鍵当局が、たとえば、分散マルウェアに使用されたことがある。
ルート鍵材料へのアクセスをもつ攻撃者は、大きい危害を加えることができるが、正当な法執行機関は、暗号化されたメッセージのコンテンツへのアクセスを得ることができない。すなわち、ハッキングされた信頼の起点は、証明書スプーフィングを許すが、正当な法執行機関が、このシステムを用いて暗号化された傍受されたメッセージのコンテンツを知ることを許さない。
現代のテレコムシステムについて、合法的に傍受されたメッセージのコンテンツを知る能力は、しばしば要件である。たとえば、ETSI TS101 331 V1.1.1(2001−08)、「関係する合法的許可に従って、ネットワーク事業者、アクセスプロバイダ、サービスプロバイダは、1)傍受されているターゲット識別情報に関連する通信のコンテンツ全体が、合法的許可の期間全体中に傍受され得ることを保証するものとする」を考慮する。
旧来の公開鍵インフラストラクチャでは、合法的傍受要件は、公開鍵インフラストラクチャ中のノードの秘密鍵が利用可能であることを確実にすることによって、満たされる。たとえば、信頼の起点は、それが証明書に署名する前に、秘密鍵が信頼の起点に預けられることを必要とする。鍵材料を、それが対応するネットワークノード以外のパーティに与えることに関する問題は、この鍵材料を用いて、制御なしにメッセージをスプーフィングすることが可能であるということである。これにより、法的手続き中に使用するための傍受されたメッセージの価値が低減し、それは不正活動の影響を受けやすくなる。
特許請求の範囲において定義されるようなネットワークノードが提示される。ネットワークノードは、識別情報ベース鍵事前配布方式を使用する。様々なそのような方式が存在し、本発明に適応され得る。識別情報ベース鍵事前配布方式のいくつかの例が、本明細書で提示される。
ネットワークノードは、少なくとも2つの異なる信頼できるサードパーティ、すなわち、機密性のための少なくとも1つの信頼できるサードパーティと完全性のための少なくとも1つの信頼できるサードパーティとから取得されたローカル鍵材料を有する。したがって、合法的傍受当局は、機密性に関係する鍵材料のみへのアクセス、たとえば、機密性のための信頼できる(1つ又は複数の)サードパーティのルート鍵材料へのアクセス、又はこのネットワークノードの機密性のためのローカル鍵材料へのアクセスを与えられ得る。そのような鍵材料を有すると、合法的傍受当局は、通信を傍受し、読み取る能力を得る。しかしながら、合法的傍受当局は、メッセージを変更することが可能でなく、少なくとも、メッセージ上の第1のメッセージ認証コードを破損することなしにメッセージを変更することが可能でない。メッセージが、後の訴訟において関係するようになる場合、傍受されたメッセージは、すべてのパーティによって信頼される受託者、たとえば、公証人において記憶され得、その後に、たとえば、信頼できるサードパーティ自体によって、ネットワークノードから取得されたローカル鍵材料、又は完全性のためのTTPから取得されたローカル(又はルート)鍵材料を使用して、第2のmacが検証され得る。このようにして、抑制と均衡が、システムに自然に組み込まれる。
一実施形態では、第1のネットワークは、さらなる識別情報と、第1のネットワークノードの完全性を保護するためのローカル鍵材料とから、完全性を保護するための第3の鍵を計算する。第3の鍵は、第2のmacを計算するために使用される。さらなる識別情報に対応するローカル鍵材料は、受信側の第2のネットワークノードにとって利用可能でない。したがって、第2のmacは、受信側のネットワークノードによって改ざんされ得ない。これは、システムの否認防止特性を高める。
本発明によるデバイス及び方法の追加の利点が本明細書において提示される。
本発明は、たとえば、合法的傍受を必要とする及び/又は送信側がメッセージを実際に送ったことの証明を必要とする任意の通信媒体、たとえば、WhatsApp、telegram、5G電話、患者と医師との間の通信などにおいて適用される。たとえば、ネットワークノードは、スマートフォンなどの電話、モバイルコンピュータ、ラップトップ、テーブル、ノートブック、コンピュータ、スマートカードなどである。たとえば、ネットワークノードは、センサーネットワーク中のセンサーノード、照明ネットワーク中の照明ユニットなどである。
本発明による方法は、コンピュータ上でコンピュータ実施方法として、又は専用ハードウェアで、又はその両方の組合せで実施される。本発明による方法のための実行可能コードが、コンピュータプログラム製品に記憶される。ココンピュータプログラム製品の例は、メモリデバイス、光記憶デバイス、集積回路、サーバ、オンラインソフトウェアなどを含む。好ましくは、コンピュータプログラム製品は、コンピュータプログラム製品がコンピュータ上で実行されるとき、本発明による方法を実施するためのコンピュータ可読媒体に記憶された非一時的プログラムコードを含む。
好ましい実施形態では、コンピュータプログラムは、コンピュータプログラムがコンピュータ上で実行されるとき、本発明による方法のすべてのステップを実施するように適応されたコンピュータプログラムコードを含む。好ましくは、コンピュータプログラムは、コンピュータ可読媒体上で具現される。
本発明の別の態様は、コンピュータプログラムをダウンロードのために利用可能にする方法を提供する。この態様は、コンピュータプログラムが、たとえば、AppleのApp Store、GoogleのPlay Store、又はMicrosoftのWindows Storeにアップロードされるとき、及びコンピュータプログラムが、そのようなストアからダウンロードするために利用可能であるとき、使用される。
本発明のさらなる詳細、態様、及び実施形態が、図面を参照しながら単に例として説明される。図中の要素は、簡潔及び明快のために示され、必ずしも一定の縮尺で描かれているとは限らない。図において、すでに説明された要素に対応する要素は同じ参照番号を有する。
ネットワークノードの一実施形態の一例を概略的に示す図である。 ネットワークノードの一実施形態の一例を概略的に示す図である。 ネットワークノードの一実施形態の一例を概略的に示す図である。 通信システムの一実施形態の一例を概略的に示す図である。 信頼できるサードパーティデバイスの一実施形態の一例を概略的に示す図である。 信頼できるサードパーティデバイスの一実施形態の一例を概略的に示す図である。 電子通信方法の一実施形態の一例を概略的に示す図である。 完全性のための電子的な信頼できるサードパーティ(TTP)方法の一実施形態の一例を概略的に示す図である。 一実施形態による、コンピュータプログラムを含む書込み可能部分を有するコンピュータ可読媒体を概略的に示す図である。 一実施形態による、プロセッサシステムの表現を概略的に示す図である。
本発明は、多くの異なる形態での実施形態が可能であるが、1つ又は複数の特定の実施形態が、図面において示され、本明細書で詳細に説明される。ここで、本開示は、本発明の原理の例と見なされるべきであり、図示及び説明される特定の実施形態に本発明を限定することを意図するものではないことが理解される。
以下では、理解のために、実施形態の要素が、動作において説明される。しかしながら、それぞれの要素が、それらによって実施されるものとして説明される機能を実施するように構成されることは、明らかである。さらに、本発明は実施形態に限定されず、本発明は、本明細書で説明される、又は相互に異なる従属請求項に記載の、あらゆる新規の特徴又は特徴の組合せにある。
本発明は、いわゆる識別情報ベース鍵事前配布方式を使用する。これらの方式は、ローカル識別情報ベース鍵材料を使用して2つのパーティ間の鍵一致を実施するやり方を提供する。以下で、識別情報ベース鍵事前配布方式に関するいくつかの背景が与えられる。
識別情報ベース鍵事前配布方式は、2つのフェーズ、すなわち、鍵事前配布と鍵導出とを有する。2つのアルゴリズム、すなわち、ローカル鍵材料生成アルゴリズムと鍵確立アルゴリズムとが、それぞれ、識別情報ベース鍵事前配布方式の2つのフェーズに関連する。
識別情報ベース鍵事前配布方式は、信頼できるサードパーティにルート鍵材料を与えることによってセットアップされる。信頼できるサードパーティは、デバイスの製造業者であり、たとえば、デバイスを、それらの製造中に、又は何らかの他の信頼できる環境において、プロビジョニングする。代替的に、信頼できるサードパーティは、証明当局デバイス、たとえば、たとえば何らかのオンラインプロトコルを使用して、デバイスをプロビジョニングするデバイスである。
鍵事前配布中に、ローカル鍵材料生成アルゴリズムをルート鍵材料と各ネットワークノードの識別子とに対して適用することによって、ローカル鍵材料が、各ネットワークノードのために生成され、そのネットワークノードに記憶される。鍵導出フェーズ中に、2つのネットワークノードは、鍵確立アルゴリズムをそれらのローカル鍵材料と他方のネットワークノードの識別子とに対して適用することによって、共有鍵を導出することができる。たとえば、第1のノードは、鍵確立アルゴリズムを、第2のネットワークノードの第2の識別子とそれ自体の第1のローカル鍵材料とに対して適用し、第2のノードは、鍵確立アルゴリズムを第1のネットワークノードの第1の識別子とその第2のローカル鍵材料とに対して適用する。鍵確立アルゴリズムの結果は、2つのネットワークノード間で共有される識別情報ベース鍵である。
いくつかの識別情報ベース鍵事前配布方式が存在する。たとえば、識別情報ベース鍵事前配布方式は、Oscar Garcia−Morchon、Domingo Gomez−Perez、Jaime Gutierrez、Ronald Rietman、Berry Schoenmakers及びLudo Tolhuizenによる「HIMMO−A lightweight collusion−resistant key predistribution scheme」に記載されている。Cryptology ePrint Archive,Report 2014/698において公開された。HIMMOの改善バージョンが、同じ出願人の、代理人整理番号2015PF001725をもつ、欧州特許庁に出願された欧州特許出願「Improved system for key sharing」に記載されており、参照により組み込まれる。HIMMOは、いくつかの他の識別情報ベース鍵配布方式のように、処理されない鍵がわずかにはずれることがあるという欠点を有する。これは許容され、すなわち、小さい割合で鍵一致が失敗することが許容される。代替的に、パーティのうちの1つが、共有鍵に達するために必要とされる追加の鍵調停(key−reconciliation)データ(ヘルパーデータとも呼ばれる)を計算する。鍵調停データは、通常、両方の識別情報へのアクセスを有する第1のネットワークノードによって生成され、たとえば、第1のネットワークノードが、共有鍵を計算するのを開始する前に第2のネットワークノード識別情報を受信した場合、第1のネットワークノードによって生成される。
HIMMOは、ハイディングインフォメーション(HI)とミキシングモジュラーオペレーション(MMO)問題に基づく、識別情報ベース鍵事前配布方式である。すべての既存の攻撃が格子に依拠するので、HIMMOは、軽量であり、より耐量子(quantum−safe)である。HIMMOでは、TTPは、何らかの秘密ルート鍵材料、たとえば、二変数関数R(x,y)を有する。TTPは、そのルート鍵材料からノードAのための秘密関数G_A(x)を抽出することができ(G_A(x)=R(A,y)、ここで、この演算は、HIMMOにおいて説明されているように行われる)。A及びBが、共通鍵を確立することを望むとき、AはG_A(x=B)を評価し、BはG_B(x=A)を評価する。
別の使用可能な識別情報ベース鍵事前配布方式が、Carlo Blundoらによる、「Perfectly−Secure Key Distribution for Dynamic Conferences」に記載されている。この方式は、鍵一致が失敗しないこと、及び鍵調停データが必要とされないことという利点を有する。一方、Blundoの方式は、共謀攻撃に対する回復力がほとんどない。
一実施形態では、ルート鍵材料は二変数多項式を含み、ローカル鍵材料は一変数多項式を含む。たとえば、Blundo識別情報ベース鍵事前配布方式では、ルート鍵材料は、二変数多項式f(x,y)によって形成される。二変数多項式を一変数多項式g(y)=f(ID,y)にまとめることによって、識別子IDをもつ第1のノードのためのローカル鍵材料gが形成される。ローカル鍵材料gと第2のノードの識別子IDとをもつノードが、g(ID)を計算することによって共有鍵を取得する。すべての多項式計算は、法(modulus)mを法として行われる。
いくつかの識別情報ベース鍵事前配布方式は、異なるTTPから受信されたが、互換性があるパラメータ、たとえば、同じ次数、及び法のために生成されたローカル鍵材料が、新しいローカル鍵材料を形成するためにローカルネットワークノードにおいて合成されるという特性を有する。新しいローカル鍵材料は、ただ、あるTTPによって直接生成された鍵材料として使用され得るが、別個のTTPのいずれにもまだ見られていないという利点がある。これは、TTPがハッキングされた場合、そのような合成された新しいローカル鍵材料をよりセキュアにする。
鍵事前配布方式に関する問題は、それらが対称鍵を生成するということである。したがって、受信側は、対称鍵を用いてメッセージのためのメッセージ認証コードを偽造し、送信側からのメッセージを受信側が受信したと主張することができ、暗号システムは、メッセージがスプーフィングされたことを証明するやり方を有しない。
図1a及び図1bは、それぞれ、ネットワークノードの一実施形態の一例を概略的に示す。図1aに示されている第1のネットワークノード200は、図1bに示されている第2のネットワークノード201と協働するように構成される。第1のネットワークノード200は、識別情報ベース鍵事前配布方式のローカル鍵材料生成アルゴリズムによって生成されたローカル鍵材料を記憶するように構成された、鍵ストレージ210を備える。鍵ストレージ210は、2つの異なるタイプのローカル鍵材料、すなわち、各タイプについて少なくとも1つのローカル鍵材料を含む。
第1のタイプのローカル鍵材料は、第1のネットワークノードと他のネットワークノードとの間の通信の機密性を保護するためのローカル鍵材料である。このローカル鍵材料は、機密性のための信頼できるサードパーティ(TTP)によって、第1のネットワークノードの第1の識別情報のために識別情報ベース鍵事前配布方式のローカル鍵材料生成アルゴリズムを使用して、以前に生成された。
システムには機密性のための少なくとも1つのTTPがあるが、より多くのTTPがあり得る。図1aは、機密性のための2つのTTP、TTP292及びTTP294を示す。使用される各TTPについて、ローカル鍵材料が受信される。この場合、鍵ストレージ210は、TTP292及びTTP294に対応する、機密性212及び機密性214を保護するためのローカル鍵材料を記憶する。機密性のための単一のTTPがあり得、たとえば、TTP292を除く機密性のためのすべてTTPが、システムから除去されることがある。通信は、そのコンテンツが、関係する鍵材料へのアクセスなしに読み取られ得ない場合、機密性のために保護されている。
第2のタイプのローカル鍵材料は、第1のネットワークノードと他のネットワークノードとの間の通信の完全性を保護するためのローカル鍵材料である。完全性を保護するためのこのローカル鍵材料は、完全性のためのTTPによって、第1のネットワークノードの第2の識別情報のために識別情報ベース鍵事前配布方式のローカル鍵材料生成アルゴリズムを使用して、以前に生成された。
システムには完全性のための少なくとも1つのTTPがあるが、より多くのTTPがあり得る。図1aは、完全性のための2つのTTP、TTP296及びTTP298を示す。使用される各TTPについて、ローカル鍵材料が受信される。この場合、鍵ストレージ210は、TTP296及びTTP298に対応する、完全性216及び完全性218を保護するためのローカル鍵材料を記憶する。完全性のための単一のTTPがあり得る。たとえば、TTP296を除く完全性のためのすべてTTPが、システムから除去されることがある。メッセージは、たとえば、メッセージのコンテンツが、関係する鍵材料へのアクセスなしに未検出で変更され得ない場合、完全性のために保護されている。
機密性のためのTTPと完全性のためのTTPとは、異なるTTPである。これは、それらが、少なくとも異なるルート鍵材料を使用することを意味する。場合によっては、TTPのパラメータは、ローカル鍵材料がノードによって合成され得るように、同じである。しかしながら、機密性のためのTTPは、完全性のためのTTPのルート鍵材料に対応するローカル鍵材料を生成することができないこと、より詳細には、完全性のためのTTPによって生成されたそのようなローカル鍵材料から取得される共有鍵を生成することができないことが、重要である。概して、この条件は、異なる秘密ルート鍵材料を選定することによって、容易に満たされ得る。たとえば、HIMMO又はBlundoベースシステムが使用される場合、ルート鍵材料は、異なる多項式を含む。一実施形態では、機密性のための(1つ又は複数の)TTPと完全性のための(1つ又は複数の)TTPとは、物理的に別個のサーバ上で実施される。機密性のための(1つ又は複数の)TTPと完全性のための(1つ又は複数の)TTPとは、異なる管轄、たとえば、異なる国に位置する。異なるTTPは、同じ方式を使用し得るが、異なるルート鍵材料をもつ。鍵材料を合成するために、いくつかの鍵事前配布方式は、TTPが、同じパラメータ(たとえば、法)を使用するが、異なるルート鍵材料(たとえば、多項式、マトリックスなど)を使用することを必要とする。一般に、同じ第1又は第2の識別情報のためにローカル鍵材料が生成されることも、必要とされる。
上記で参照された第1のネットワークノードの第1の識別情報及び第2の識別情報は、使用される識別情報ベース鍵事前配布方式に好適な識別情報である。一般に、これらの識別情報は秘密でないが、ローカル鍵材料は秘密である。識別情報は、同じであるか、又はシリアル番号、ネットワークアドレス、たとえばIPアドレス、MACアドレス、リアルネームなどのような識別する情報から取得される。第1の識別情報及び/又は第2の識別情報は、マスタ識別情報から、又は資格証明書から生成される。たとえば、X.509証明書、場合によっては署名なしのX.509証明書のハッシュが、識別情報として使用されることがある。識別する情報から識別情報を導出することは、TTPによる暗黙的許可の利点を有する。識別情報を導出することは、鍵導出関数(KDF:key derivation function)を使用する。KDFの一例は、たとえば、CMLA技術仕様、バージョン:V1.43−20131218からのCMLA_KDFにおいて与えられるか、又は「DRM仕様」、OMA−TS−DRM−DRM−V2_0_2−20080723−A、Open Mobile Alliance(商標)、バージョン2.0.2、セクション7.1.2において定義されているKDF機能などにおいて与えられる。鍵導出関数は、たとえば、連結の後に、Vのエントリに適用される。
第1の識別情報及び第2の識別情報は、第1のネットワークノード200のストレージ(このストレージは別個に示されてない)に記憶される。代替的に、第1の識別情報及び第2の識別情報が導出される情報が、ネットワークノード200に記憶される。
一実施形態では、第1の識別情報と第2の識別情報とは等しい。事実上、これは、セキュリティに有害な影響を及ぼすように見えないシステムを実装するための簡単なやり方である。
ローカル鍵材料の合成を可能にする識別情報ベース鍵事前配布方式が使用される場合、ネットワークノードが、機密性のための複数のローカル鍵材料又は完全性のための複数のローカル鍵材料を受信し、次いで、ネットワークノードは、複数のローカル鍵材料を合成し、合成鍵材料、たとえば、機密性のための合成ローカル鍵材料及び/又は完全性のための合成ローカル鍵材料を記憶する。しかしながら、合成されていないローカル鍵材料を保ち、必要に応じて後でそれらを合成することにおける利点がある。
第1のネットワークノード200は、第1のネットワークノードと他のネットワークノードとの間のデジタル通信のために構成された通信インターフェース220を備える。たとえば、他のノードは、以下で説明される第2のネットワークノード201である。通信インターフェース220は、デジタルネットワーク、たとえば、Wi−Fi(登録商標)などワイヤレスネットワーク、又はイーサネット(登録商標)などのワイヤードネットワーク、又はそれらの組合せを介して通信するように設定される。たとえば、デジタルネットワークは、センサーネットワーク、又はインターネットなどである。ローカル鍵材料は、その通信インターフェース、たとえば、通信インターフェース220を通ってネットワークノードに記憶されるが、アウトオブバウンズ方法、たとえば、メモリデバイス、たとえば、メモリスティックを使用する転送が可能であり、通信インターフェース220は、ワイヤレスネットワークインターフェースなどである。
第1のネットワークノード200は、第2のネットワークノード、たとえば、第2のネットワークノード201の第1の識別情報及び第2の識別情報を取得するように設定された、識別情報取得器241を備える。また、第2のネットワークノードの第1の識別情報と第2の識別情報とは同じである。第2のネットワークノードの第1の識別情報及び第2の識別情報は、たとえば、ハッシュ関数を適用することによって、第1の識別情報及び第2の識別情報がそこから導出される、識別する情報の形式で取得される。鍵識別情報、第1の識別情報及び/又は第2の識別情報は、他方のノードから受信されるか、ローカルアドレス帳から取り出されるか、又はオンラインアドレス帳などから取り出される。
第1のネットワークノード200は、通信、たとえばデジタルメッセージを、第2のネットワークノードに送るように構成される。たとえば、通信は、デジタルメッセージ、たとえば、ネットワークメッセージ、プロトコルメッセージ、電子メール、ドキュメントなどである。
第1のネットワークノード200は、随意の合成器243を備える。ストレージ210が、機密性のための複数のローカル鍵材料又は完全性のための複数のローカル鍵材料を含む場合、合成器243は、機密性のための単一のローカル鍵材料及び完全性のための単一のローカル鍵材料を取得する。
たとえば、合成器243は、同じタイプのローカル鍵材料を合成するように構成され、それについて、第2のネットワークノードは、同じTTPから受信された、たとえば同じルート鍵材料から生成された、ローカル鍵材料を有することが知られている。たとえば、第1のネットワークノード200は、第2のネットワークノード201から、それがサポートするTTPを用いたメッセージを受信する。この場合、ローカル鍵材料は、方式に適するように、たとえば、ある法を法として加えることによって合成される。代替的に、合成器243は、合成せずに、場合によっては複数のローカル鍵材料のうちの1つ、たとえば、各タイプについて1つのローカル鍵材料を選択する。機密性のための単一のTTP及び完全性のための単一のTTPのみがシステムにおいて使用される場合、合成器243は必要とされない。
第1のネットワークノード200は、共有鍵ユニット244を備える。共有鍵ユニット244は、2つの鍵、すなわち、機密性を保護するための第1の共有鍵245と、完全性を保護するための第2の共有鍵246とを計算するように構成される。
機密性を保護するための第1の共有鍵245は、第2のネットワークノードの第1の識別情報と、第1のネットワークノードの機密性を保護するためのローカル鍵材料とから計算される。一実施形態では、機密性を保護するための1つのローカル鍵材料のみ、たとえば、機密性を保護するためのローカル鍵材料212が使用される。一実施形態では、たとえば、合成器243によって計算された、機密性を保護するための合成ローカル鍵材料が使用される。たとえば、共有鍵ユニット244は、鍵確立アルゴリズムを第2のネットワークノードの第1の識別情報と、機密性のためのローカル鍵材料とに適用するように構成される。
完全性を保護するための第2の共有鍵246は、第2のネットワークノードの第2の識別情報と、第1のネットワークノードの完全性を保護するためのローカル鍵材料とから計算される。一実施形態では、完全性を保護するための1つのローカル鍵材料のみ、たとえば完全性を保護するためのローカル鍵材料216が使用される。一実施形態では、たとえば、合成器243によって計算された、完全性を保護するための合成ローカル鍵材料が使用される。たとえば、共有鍵ユニット244は、鍵確立アルゴリズムを第2のネットワークノードの第2の識別情報と、機密性のためのローカル鍵材料とに適用するように構成される。
識別情報ベース鍵事前配布システムが、それを必要とする場合、共有鍵ユニット244は鍵調停データをも計算する。たとえば、いくつかの事例では、鍵調停データが、共有鍵のいくつかの最下位ビットである(その場合、共有鍵は、秘密の喪失を補償するために、対応してより長く選定される)。図1aでは、随意の鍵調停データの送信が、共有鍵ユニット144から通信インターフェース220への破線によって示されている。いくつかの方式、たとえば、Blundoが、鍵調停データを必要としないことに留意されたい。
第1のネットワークノード200は、暗号化ユニット248を備える。暗号化ユニット248は、第1の共有鍵245を使用してメッセージを暗号化するように構成される。たとえば、暗号化ユニット248は、ブロック暗号、たとえば、AES、トリプルDES、Blowfishなどを適用するように構成され、ブロック暗号は、暗号化のモード、たとえば、暗号ブロック連鎖(CBC)、カウンタモード(CTR)などのために構成される。
第1のネットワークノード200は、mac生成ユニット249を備える。mac生成ユニット249は、第2の共有鍵を使用して、メッセージについて第1のメッセージ認証コード246を計算するように構成される。たとえば、mac生成ユニット249は、macアルゴリズム、たとえば、SHA−1、SHA−256などのハッシュアルゴリズムに基づくHMAC、又は、たとえばAES、トリプルDES、Blowfishなどに基づく、ブロック暗号ベースmac、たとえば、CBC−MACを適用するように構成される。メッセージについてmacが生成され得る、いくつかのやり方がある。たとえば、以下の通りである。
・ MAC処理、次いで暗号化:クリアテキストメッセージに対するMACを計算し、それをメッセージに添付し、次いで、全体を暗号化する。
・ 暗号化及びMAC処理:クリアテキストメッセージに対するMACを計算し、クリアテキストを暗号化し、次いで、暗号文メッセージの端部にMACを添付する。
・ 暗号化、次いでMAC処理:クリアテキストを暗号化し、暗号文に対するMACを計算し、それを暗号文に添付する。この場合、初期化ベクトル(IV)及び暗号化方法識別子が、MAC処理されたデータ(MACed data)中に含まれることに留意されたい。
最後に、暗号化されたメッセージ及び第1のメッセージ認証コードが、通信インターフェース220を介して第2のネットワークノードに送られる。第1の鍵及び/又は第2の鍵の正常な生成を保証するために鍵調停データが必要とされる場合、鍵調停データも第2のネットワークノードに送られる。たとえば、暗号化されたメッセージ、第1のメッセージ認証コード、及び場合によっては鍵調停データは、1つのより大きいメッセージ中に含まれ得る。
暗号化及びmac生成は、異なるTTPから受信されたローカル鍵材料から導出される、異なる鍵を使用することに留意されたい。たとえば、機密性のためのTTPから、機密性のためのTTPのルート鍵材料及び/又は第1のネットワークノードのための機密性のためのTTPによって生成されたローカル鍵材料が取得された場合、傍受されたメッセージが合法的当局によって解読され得る。しかしながら、当局がこのルート鍵材料/ローカル鍵材料へのアクセスを有する場合でも、当局は、これらのメッセージに対するmacをスプーフィングすることができない。これを、同じTTPから取得された鍵材料を使用して機密性と完全性の両方の保護が行われるシステムと、比較する。そのような場合、メッセージを解読することができる誰もが、必然的にそのメッセージのためのMACコードを生成することも可能である。言い換えれば、そのようなシステムにおける合法的当局は、証拠を偽造する能力を有する。合法的当局がそのような能力をこれまでに使用しなかった場合でも、そのような能力は、メッセージが改ざんされ得たという理由だけで、証拠としてのメッセージの価値を低下させる。
複数のTTPが使用される場合、追加の利点は、すべてのTTPが、鍵材料の要求が合法的であることに同意しなければならないことである。これは、2つ以上のTTPが要求の正当さを検証することになるので、鍵材料のための合法的に正しい要求のみが受け付けられる可能性を高くする。
図1bは、図1aに示されている第1のネットワークノード200と協働するように構成された、第2のネットワークノード201の一実施形態の一例を概略的に示す。図1aに示されている第1のネットワークノード200は、メッセージを送るように構成され、図1bに示されている第2のネットワークノード201は、メッセージを受信するように構成される。図1aの実施形態と図1bの実施形態とは、メッセージを送信すること及び受信することの両方が可能であるネットワークを取得するために組み合わせられる。
第2のネットワークノード201は、ネットワークノード200と同様である。以下で、2つの間の顕著な差のうちのいくつかが説明される。
第1のネットワークノード200のように、ネットワークノード201も鍵ストレージ260を備える。鍵ストレージ260も、機密性を保護するためのローカル鍵材料と、完全性を保護するためのローカル鍵材料とを記憶する。第2のネットワークノード201は、そのローカル鍵材料を異なるTTPから受信していることがあるが、第1のネットワークノードと第2のネットワークノードとが正常に通信するべきである場合、機密性のための少なくとも1つのTTPと完全性のための少なくとも1つのTTPとの重複があるべきである。たとえば、これは、機密性のための単一のTTPと完全性のための単一のTTPとのみが使用される場合に、達成される。
図1a及び図1bに示されている実施形態では、少なくとも共通のTTP292、及びTTP296が示されている。これが唯一の共通のTTPである場合、対応するローカル鍵材料が使用されるべきである。より多くの共通のTTPがある場合、それらのローカル鍵材料は合成される。
第2のネットワークノード201は、第1のネットワークノードの第1の識別情報及び第2の識別情報を取得するように構成された、識別情報取得器271を備える。識別情報取得器271は、識別情報取得器241と同じように動作する。第1のネットワークノード200の第1の識別情報及び第2の識別情報は、第1のネットワークノード200の通信、たとえば、暗号化されたメッセージとともに受信される。識別情報取得器241及び識別情報取得器271はまた、第1の識別情報及び/又は第2の識別情報を、公共データベース、ローカルアドレス帳などで見つける。
第2のネットワークノード201は、たとえば、通信インターフェース220と同じ又は同様のタイプの、通信インターフェース265を備える。通信インターフェース265を通して、第1のネットワークノード200から第1のメッセージ認証コードと、暗号化されたメッセージとが受信される。
第2のネットワークノード201は、共通のTTPによって生成されたローカル鍵材料を選択及び/又は合成するための随意の合成器273を備える。第2のネットワークノード201は、
− 第2のネットワークノードの第1の識別情報と、第1のネットワークノードの機密性を保護するためのローカル鍵材料とから、機密性を保護するための第1の共有鍵245を計算することと、
− 第2のネットワークノードの第2の識別情報と、第1のネットワークノードの完全性を保護するためのローカル鍵材料とから、完全性を保護するための第2の共有鍵246を計算することと
を行うように構成された共有鍵ユニット274を備える。
共有鍵ユニット274は、第1の鍵及び/又は第2の鍵を計算するために、第1のネットワークノード200から受信された鍵調停データを使用するように構成される。たとえば、鍵調停データは、たとえば、暗号化されたメッセージ、及び/又は第1のmacとともに、通信インターフェース265を介して受信される。これは、インターフェース265から共有鍵ユニット274への破線で示されている。
第2のネットワークノード201は、第1の共有鍵を使用して、暗号化されたメッセージを解読するように構成された、解読ユニット278を備える。第2のネットワークノード201は、第2の共有鍵を使用して、第1のメッセージ認証コードを検証するように構成された、mac検証ユニット279を備える。
macが正しくないことをmac検証ユニット279が検出した場合、mac検証ユニット279は、アラームを発し、たとえば、エラーメッセージを第2のネットワークノード201のユーザに送り、たとえば、アラームメッセージをさらなるパーティ、たとえば、さらなるサーバなどに送る。
第2のネットワークノード201は、メッセージを解読することと、メッセージの完全性を検証することの両方が可能であることに留意されたい。しかしながら、合法的に傍受されたメッセージは、合法的当局に与えられた、鍵材料へのアクセスに応じて、解読されることのみが選択的に可能にされ得る。
したがって、実施形態は以下の利点を有する。
(a) 送信側及び受信側の両方が、それらのローカル鍵材料を使用して、メッセージを暗号化及び解読し、MACを検証することができる。
(b) 機密性のためのTTPが同意する場合、合法的傍受が可能であるが、完全性のためのTTPが同意しない限り、合法的傍受者によるスプーフィングが可能でない。
図1cは、第1のネットワークノード202の一実施形態の一例を概略的に示す。ネットワークノード202は、ネットワークノード200に基づくが、さらなる有利な機能を用いて拡張される。第1のネットワークノード202は、メッセージを第2のネットワークノードに送るように設定される。受信側のノード、たとえば、第2のネットワークについて、ネットワークノード201を使用し得、ネットワークノード201は、図1cによる一実施形態によって追加された追加の要素、たとえば、第2のmacを無視するように適応される(下記参照)。
図1aに関して説明された要素に加えて、第1のネットワークノード202は、さらなる識別情報取得器242を備える。さらなる取得器242は、さらなる識別情報を取得するように設定される。さらなる識別情報は、第2のネットワークノードの第1の識別情報及び第2の識別情報とは異なる。重要であることは、第2のネットワークノードが、さらなる識別情報に対応するローカル鍵材料を有しないことである。また、一実施形態では、第1のネットワークノードの第1の識別情報及び第2の識別情報とは異なるさらなる識別情報が、選定される。事実上、好ましくは、ネットワークノードのいずれも、さらなる識別情報に対応するローカル鍵材料へのアクセスを有せず、これは、さらなる識別情報が、共通のネットワークノードによって使用される識別情報とは別様に選定されることを意味する。この場合、共通のネットワークノードは、さらなる識別情報に対応するローカル鍵材料又はルート鍵材料へのアクセスを有しないネットワークである。
たとえば、さらなる識別情報は、それが第2のネットワークノードに知られないように選定され、これは、第2のネットワークノードが、対応する鍵材料をも有しないことを暗示する。しかしながら、異なる利点をもつ、さらなる識別情報を選択するための多くの異なるやり方がある。これらのオプションのうちのいくつかが以下で説明される。
共有鍵ユニット244は、さらなる識別情報と、少なくとも、第1のネットワークノードの完全性を保護するためのローカル鍵材料とから、完全性を保護するための第3の鍵247を計算するように構成される。たとえば、共有鍵ユニット244は、第3の鍵247を取得するために、鍵確立アルゴリズムをさらなる識別情報と、完全性のためのローカル鍵材料とに適用するように構成される。mac生成ユニット249は、第3の鍵を使用して、少なくともメッセージについて第2のメッセージ認証コードを計算するように構成される。最終的に、第2のメッセージ認証コードは、たとえば、暗号化されたメッセージと第1のメッセージ認証コードとともに第2のネットワークノードに送られる。代替的に、第2のmacがいつか必要とされた場合、メッセージの真正性が証明され得るように、第2のメッセージ認証コードは、第2のmacを保つと信頼されている信頼できる当局に送られる。信頼できる当局、たとえば、完全性のためのTTPに送信するとき、メッセージを後で見つけることが容易になるように、メッセージ識別子、たとえば、シーケンス番号、タイムスタンプ、メッセージのハッシュ、場合によってはメッセージ自体が含まれる。さらなる識別子も含まれる。
第3の鍵を復元するために、以下を使用する。
A:さらなる識別情報、及び、第1のネットワークノード202の完全性を保護するためのローカル鍵材料、又は
B:完全性を保護するためのローカル鍵材料に対応する第1のネットワークノード202の第2の識別情報、及び、第1のネットワークノード202の完全性を保護するためのローカル鍵材料を生成した同じ(1つ又は複数の)TTPによって、さらなる識別情報のために生成されたローカル鍵材料。
第1のネットワークノード202は、オプションAのすべての要素を所有しているので、第3の鍵を計算することができる。第2のネットワークノードは、オプションAの要素を所有せず(第2のネットワークノードは、第1のネットワークノード202の完全性を保護するためのローカル鍵材料へのアクセスを有しない)、また、オプションBの要素も所有しない(第2のネットワークノードは、さらなる識別情報に対応するローカル鍵材料を有せず、特に、さらなる識別情報は、第2のネットワークノードがローカル鍵材料を有する、識別情報とは異なる)ので、第2のネットワークノードは、第3の鍵を計算することができない。
その結果、第2のmacは、メッセージが改ざんされておらず、第1のネットワークノード202によって実際に書かれたという有効な保証を提供する。第3の鍵が対称鍵であるにもかかわらず、受信側のパーティ、第2のネットワークノードは、第3の鍵へのアクセスを有せず、第2のmacをスプーフィングすることが可能でない。このことの副作用は、第2のネットワークノードも、第2のmacを検証することが可能でないということである。とはいえ、これは必ずしも問題ではなく、特に、第2のネットワークノードが第1のmacを検証することができるので、問題ではない。
さらなる識別情報を取得するための1つのオプションは、さらなる識別情報取得器242を、さらなる識別情報をランダムに選択するように設定することである。さらなる識別情報がランダムである場合、それが、第2のネットワークノードの第1のネットワーク識別情報及び第2のネットワーク識別情報に等しくないことは、自動的である。一実施形態では、ランダムに割り当てられた識別情報間の衝突の可能性が低くなるように、識別情報のビットサイズが選定される。その場合、ランダムに選定されたさらなる識別情報が、別のノードの識別情報に等しくなる可能性も低い。たとえば、識別情報のビットサイズは、システム中のネットワークノードの数に応じて、及び/又は予想される通信の数に応じて選定される。たとえば、識別情報は、32ビット、64ビット、128ビット、256ビット、又はそれ以上などである。
興味深いことに、ランダムなさらなる識別情報を選定することによって、完全性を保護するための(1つ又は複数の)TTPによって、対応するローカル鍵材料がまだ生成されていないことも保証される。これは、第2のmacを計算する瞬間において、第1のネットワークノード202が、第3の鍵へのアクセスを有する唯一のネットワークノードであることを意味する。完全性を保護するための(1つ又は複数の)TTPが、さらなる識別情報に対応するローカル鍵材料を計算することを決定するときのみ、他のエンティティが第3の鍵を計算することが可能になる。したがって、このオプションは、第2のmacが正しい場合、第2のmacが第1のネットワークノードによって実際に計算されたという高い保証を与える。さらなる識別情報を完全にランダムに選定する代わりに、さらなる識別情報は、何らかの大きいセットからも選択される。
第1のネットワークノード202は、さらなる識別情報を第2のネットワークノードに、又は信頼されたパーティに送るように設定される。このようにして、たとえば訴訟の場合、合法的傍受を検証するために、第3の鍵を計算するために後で必要とされるさらなる識別情報は、最初に、メッセージを傍受することができる傍受者にとって利用可能である。必要であれば、同じことが鍵調停データについても成り立つ。
さらなる識別情報を送ることを回避し、したがってシステムが受けるオーバーヘッドを低減するための様々なやり方がある。たとえば、さらなる識別情報は、固定識別情報であるか、又は許容されるさらなる識別情報の小さいセットから選択される。この場合、さらなる識別情報は、すべての又は多くのネットワークノードに知られていることがある。依然として、ネットワークノードは、さらなる識別情報のために生成されたローカル鍵材料を有しないので、これは問題でない。そのような鍵材料は、(第1のネットワークノードの第2の識別情報とともに)第3の鍵を計算するために必要とされる。
さらなる例として、さらなる識別情報は、たとえば、ハッシュ関数をメッセージに適用すること、又はKDFを適用することなどによって、メッセージ自体から生成される。一実施形態では、さらなる識別情報をメッセージから導出する前に、たとえば、メッセージとランダムなソルト(salt)との合成にハッシュを適用することによって、そのソルトがメッセージにアタッチされる。これは、さらなる識別情報が、必要に応じてメッセージから計算され、したがって、転送される必要がないという利点を有する。同時に、さらなる識別情報は、対応するローカル鍵材料がすでに生成されている可能性が低くなるように、ランダムな性質を有する。ソルトは、さらなる識別情報よりも小さいビットサイズ、たとえば、32ビット及び64ビットなどを有する。より大きい識別情報、たとえば、128ビットが可能である。ソルトが使用される場合、ソルトは、第2のmacを受信する任意のパーティ、たとえば、第2のネットワークノードに通信される。
興味深いことに、さらなる識別情報は、第1のネットワークノード202の第2の識別情報として選定される。通常は、鍵が他のパーティの識別情報とそれ自体の鍵材料とから導出されることに留意されたい。それ自体の識別情報と鍵材料とから鍵を計算することによって、他のパーティによって再計算され得ない鍵が、他のパーティが第1のネットワークノードのローカル鍵材料へのアクセスを有する場合を除いて、取得される。後者は、共通のネットワークノードについての場合ではない。しかしながら、完全性の保護のための(1つ又は複数の)TTPは、識別情報のためのローカル鍵材料を計算することが可能であり、したがって、第3の鍵を計算することもできる。
さらなる識別情報が、すでに知られているか、又はメッセージから導出され得る、これらの場合、さらなる識別情報を第2のネットワークノードに送ることは必要とされない。しかしながら、ソルトが使用される場合、ソルトを送ることが必要とされる。
第2のmacはメッセージについて計算されるが、第1のメッセージ認証についての上記のように、これを行うための様々なやり方がある。たとえば、第2のmacは、メッセージの平文(plain text)について、暗号化されたメッセージについて、第1のmacとともにメッセージについて、第1のmacとともに暗号化されたメッセージなどについて、直接計算される。一実施形態では、第2のメッセージ認証コードは、少なくともメッセージと第1のメッセージ認証コードとについて計算される。後者のオプションは、第1のmacが変えられたかどうかを、第1のmacを計算するために使用された鍵を知る必要なしに検証することを可能にする。
一実施形態では、第2のmacは、少なくとも平文メッセージと、場合によっては第1のmacとについて計算される。これは、完全性のためのTTPは、それが平文へのアクセスを有する場合のみ、macを検証することができ、したがって、macを変更することができるという利点を有する。しかしながら、完全性のためのTTPは、それ自体で平文を取得することができない。完全性のためのTTPは、機密性のためのTTPに依存する。このようにして、2つタイプのTTPは、互いの均衡を保つ。
第3の鍵を計算するためのローカル鍵材料は、第2の共有鍵を計算するためのローカル鍵材料と同じである。同じく第3の鍵のために、複数のTTPのローカル鍵材料が合成される。事実上、第3の鍵について、同じTTPからの鍵材料を第2のネットワークノードが有することを保証する必要さえない。一実施形態では、同じく機密性のためのTTPのローカル鍵材料が、完全性のためのTTPのローカル鍵材料と混合される。たとえば、一実施形態では、合成器243は、機密性のためのローカル鍵材料と完全性のためのローカル鍵材料とを合成し、合成ローカル鍵材料を形成するように設定され、第3の鍵が、さらなる識別情報と合成ローカル鍵材料とから導出される。
より多くのローカル鍵材料を合成することは、ローカル鍵材料が使用されたすべてのTTPが、不正行為に参加する必要があるので、不正なTTPがメッセージに対するMACを改ざんすることがより難しくなるという利点を有する。
いくつかの鍵事前配布方式は、ローカル鍵材料を直接合成するオプションを有しない。合成する場合でも、そのような方式が一実施形態で使用され得るが、この場合、ローカル鍵材料のために別個に第1の中間鍵(intermediate key)が計算され、それらは次いで、単一の鍵を形成するために合成される。後者の合成は、中間鍵に対する任意の鍵導出アルゴリズム、たとえば、KDF、又は直接XOR(direct XOR)によって行われる。たとえば、一実施形態では、共有鍵ユニット244は、最初に、さらなる識別情報と第1のネットワークノードの完全性を保護するためのローカル鍵材料とから中間の第3の鍵を取得し、中間の第3の鍵を第1の鍵と合成することによって、第3の鍵を計算するように設定される。
本発明は、複数の問題に、たとえば、以下の態様のうちの1つ又は複数によって対処する、(a)メッセージの本文のために使用されないメッセージについてのMACのための少なくとも1つの追加のTTPを使用する、及び(b)メッセージ中に、受信側へ宛てられていないが、この追加のTTPによって単独で管理されるさらなる識別情報に宛てられた、送信側による第2のメッセージを含め、このメッセージは同じくメッセージについてのMACを含む。さらなる識別情報は、第2のmacの宛て先のパーティの識別情報であり得るが、このことは必要ではない。
合法的傍受エンティティは、さらなる識別情報のためのMACを解読することによって、受信側が、メッセージを受信したことをスプーフィングしたかどうかを検査することができることに留意されたい。合法的傍受エンティティは、この情報を偽造することができない。
さらに、メッセージは、合法的傍受に関する異なるルールを有する複数の管轄をしばしば横断する。本発明の実施形態を使用して、各管轄は、たとえば、適切な管轄のTTPを使用して第2のmacを生成することによって、各管轄が必要とする傍受及び/又は検証能力を得ることができる。たとえば、異なる管轄中のTTPを使用して、複数の第2のmacが生成される。
図2は、通信システム195の一実施形態の一例を概略的に示す。
通信システム195は複数のネットワークノードを備える。第1のネットワークノード100と、第2のネットワークノード150とが、図2に示されている。より多くのネットワークノード、たとえば、100個、1000個、10000個超などがあり得る。
通信システム195は、少なくとも2つのTTP、すなわち、機密性のための信頼できるサードパーティ192と、完全性のための信頼できるサードパーティ194とを備える。各種類の2つ以上のTTPがあり得る。
ネットワークノードは、互いと通信する、たとえば、デジタルネットワーク190を介して、デジタルメッセージを互いに送るように設定される。ネットワークノードは、デジタルネットワーク190を介して他のネットワークノードに通信するように設定された、通信インターフェースを有する。第1のネットワークノード110中の通信インターフェース120と、第2のネットワークノード150中の通信インターフェース170とが、図2に示されている。
一実施形態では、ネットワークノードは、異なるTTPから取得されたローカル鍵材料を用いてメッセージの機密性と完全性とを保護するように設定される。ローカル鍵材料は、鍵ストレージに記憶される。鍵ストレージは、不揮発性電子メモリ、磁気又は光ストレージなどである。第1のネットワークノード110中の鍵ストレージ110と、第2のネットワークノード150中の鍵ストレージ160とが、図2に示されている。
各ネットワークノードはプロセッサ回路を備える。第1のネットワークノード110中のプロセッサ回路130と、第2のネットワークノード150中のプロセッサ回路180とが、図2に示されている。プロセッサ回路は、一実施形態による機密性と完全性とのためのメッセージを保護し、メッセージを解読及び検証するように設定される。たとえば、プロセッサ回路は、図1a、図1b及び図1cのうちの任意の1つを用いて示されている一実施形態のために設定される。
図3は、完全性を保護するための信頼できるサードパーティデバイス400の一実施形態の一例を概略的に示す。このTTPデバイス400は、完全性のための単一のTTPが使用される場合、及びネットワークノードが第3の鍵を取得するために複数のTTPのためのローカル鍵材料を混合しない場合、使用される。ローカル鍵材料が混合される場合、他の手法が可能である。たとえば、TTPは、たとえば、以下のように計算されたローカル鍵材料をさらなるTTPに提供し、さらなるTTPは、ローカル鍵材料を合成し、第2の鍵又は第3の鍵を計算し、第1のmac又は第2のmacを検証する。
TTP400は、ルート鍵材料を記憶するように構成された鍵ストレージ410を備える。ルート鍵材料は、使用される鍵事前配布方式による。ルート鍵材料と識別情報とから、ローカル鍵材料が計算され得る。
TTP400は、2つの通信インターフェース、すなわち、第1の通信インターフェース422と第2の通信インターフェース424とを備える。これらは、複数の目的のために単一の通信インターフェースを共有することによって実施され得るが、このことは必要とされない。
第1通信インターフェースと第2の通信インターフェースとは、異なる様式で保護される。たとえば、第1の通信インターフェースは、たとえば、製造環境において使用され、そこでは、ローカル鍵材料についての多数の要求が、少数の要求側、たとえば、モバイルフォン、スマートカードなどの製造業者から行われる。たとえば、この需要に適応するために、第1の通信インターフェースは、デジタルコンピュータネットワークインターフェースであり、そこでは、要求側が、たとえば、従来のX.509認証システムを使用して、それら自体を認証する。第2の通信インターフェースは、たとえば、法執行機関によって使用される。第2の通信インターフェースは、第1の通信インターフェース、たとえば、保護されたデジタルコンピュータネットワークインターフェースと同様のやり方で行われるが、それは異なることもある。
たとえば、第2の通信インターフェース424は、いわゆるアウトオブバンド機構を使用して実施され、その機構は、TTP400への特殊なアクセス、たとえば、ローカルキーボード、ローカルusbポートなどを通って、たとえば、サーバを通るローカルアクセスを必要とする。第1の通信インターフェースと第2の通信インターフェースの両方が、あるタイプの認証、たとえば、暗号化認証トークン、ドングルなどを必要とする。
第1の通信インターフェース422は、第2の識別情報442を受信するように構成される。第2の識別情報442は、完全性を保護するためのローカル鍵材料が計算されることになる、ネットワークノードの第2の識別情報に対応する。
TTP400は、ローカル鍵材料生成器432を備える。ローカル鍵材料生成器432は、識別情報ベース鍵事前配布方式のローカル鍵材料生成アルゴリズムを第2の識別情報と、ルート鍵材料とに適用することによって、完全性を保護するための第1のローカル鍵材料を計算するように設定される。
第1の通信インターフェース422及びローカル鍵材料生成器432は、ネットワークノードのためのローカル鍵材料を計算するためにTTP400において使用される。たとえば、TTP400は、ネットワークノードを製造する際に、及びネットワークノードにローカル鍵材料を提供するために使用される。たとえば、TTP400は、対応するローカル鍵材料とともに識別情報442を含むローカル鍵材料についての要求に応答するために、通信インターフェース422を使用する。ローカル鍵材料は、識別情報442に対応する1つのネットワークノードを除いてすべてのネットワークノードにとって秘密であるので、TTP400とそのインターフェースとを保護するために、適切な注意が払われなければならない。
第2の通信インターフェース424は、送信側の第2の識別情報と受信側の第2の識別情報とを受信するように構成される。送信側の第2の識別情報と受信側の第2の識別情報とは、一緒に444として示されている。第2の通信インターフェース424は、メッセージとメッセージ認証コードとを受信するようにさらに構成される。メッセージとメッセージ認証コードとは、一緒に446として示されている。送信側の第2の識別情報444は、ネットワークノードの第2の識別情報に対応し、ネットワークノードは、メッセージのための(第1のmacとして上記で言及された)macを計算するために、ネットワークノードの以前に生成されたローカル鍵材料と、受信側の第2の識別情報、たとえば、第2のネットワークノードの受信側の第2の識別情報とを使用した。この第1のmacは検証されることになる。TTP400は、第2の共有鍵を使用して、メッセージ認証コードとメッセージ446との合成を検証するように構成された、mac検証ユニット434を備える。
TTP400が進むための少なくとも2つのやり方がある。
第1のオプションでは、ローカル鍵材料生成器432は、識別情報ベース鍵事前配布方式のローカル鍵材料生成アルゴリズムをルート鍵材料と、送信側の第2の識別情報とに適用することによって、完全性を保護するための第2のローカル鍵材料を計算するように設定される。この場合、送信側のネットワークノードによって使用されたものと同じローカル鍵材料が取得される。mac検証ユニット434は、完全性を保護するための第2のローカル鍵材料と、受信側の第2の識別情報とから第2の共有鍵を計算するように構成される。
第2のオプションでは、ローカル鍵材料生成器432は、識別情報ベース鍵事前配布方式のローカル鍵材料生成アルゴリズムをルート鍵材料と、受信側の第2の識別情報とに適用することによって、完全性を保護するための第2のローカル鍵材料を計算するように設定される。mac検証ユニット434は、完全性を保護するための第2のローカル鍵材料と、送信側の第2の識別情報とから第2の共有鍵を計算するように構成される。
mac検証ユニット434が、メッセージについてのmacを検証すると、mac検証ユニット434は、たとえば、macが正しかったか又は正しくなかったかを示す適切な応答メッセージを送ることができる。
このTTP400は、macを検証するために鍵材料が開示される必要がないという利点を有する。同様に、TTP400は、メッセージを送った第1のネットワークノードの第2の識別情報、又は第1の(送信側の)ネットワークノードによって選択されたさらなる識別情報のいずれかから、第2のmacを検証することができる。さらなる識別情報は、たとえば、さらなる識別情報がランダムな識別情報である場合、第2の通信インターフェース424を通して受信され得、又は、さらなる識別情報は、TTP400によって知られている、たとえば、TTP400のローカルストレージに記憶されているか、又は、さらなる識別情報はメッセージから計算される。
図4は、完全性を保護するための信頼できるサードパーティデバイス300の一実施形態の一例を概略的に示す。TTP300は、TTP400と同じやり方で動作する。TTP400は、鍵ストレージ310、たとえば、(不揮発性)電子メモリ、たとえば、磁気又は光ストレージなどを備える。TTP300は、第1の通信インターフェース322と、第2の通信インターフェース324とを備える。通信インターフェースは、ネットワークインターフェース、キーボード、通信ポート、たとえば、usbポートなどである。TTP300は、一実施形態、たとえば、図3によって示されている一実施形態に従って設定された、プロセッサ回路330を備える。
発明者は、以下の条項も利点であることを了解した。出願人は、本出願の遂行又は本出願から導出されるさらなる適用例の遂行中に、そのような条項、及び/又はそのような条項の組合せ、及び/又は説明からとられる特徴に対して、新しい請求項が構築されることを本明細書によって通知する。
条項1:第1のネットワークノード(100;200)であって、第1のネットワークノードは、
− 少なくとも、第1のネットワークノードと他のネットワークノードとの間の通信の完全性を保護するためのローカル鍵材料(216、218;217)を記憶するように構成された鍵ストレージ(110;160;210;260)であって、完全性を保護するためのローカル鍵材料が、完全性のための信頼できるサードパーティ(TTP)(194;296、298;297)によって、第1のネットワークノードの第2の識別情報のために識別情報ベース鍵事前配布方式のローカル鍵材料生成アルゴリズムを使用して生成される、鍵ストレージ(110;160;210;260)と、
− 第1のネットワークノードと他のネットワークノードとの間のデジタル通信のために構成された通信インターフェース(120;170;220;265)と、
− たとえば、第2のネットワークノードの第1の識別情報及び第2の識別情報とは異なる、さらなる識別情報を取得することと、
− さらなる識別情報と、少なくとも、第1のネットワークノードの完全性を保護するためのローカル鍵材料とから、完全性を保護するための第3の鍵(247)を計算することと、
− 第3の鍵を使用して、少なくともメッセージについて第2のメッセージ認証コードを計算することと、
− 第2のメッセージ認証コードを、たとえば、第2のネットワークノードに送ることと
を行うように設定された、プロセッサ回路(130)と
を備える、第1のネットワークノード(100;200)。
条項2:プロセッサ回路(130)が、
− 第2のネットワークノード(150;201)の第2の識別情報を取得することと、
− 第2のネットワークノードの第2の識別情報と、第1のネットワークノードの完全性を保護するためのローカル鍵材料とから、完全性を保護するための第2の共有鍵(246)を計算することと、
− 第2の共有鍵を使用して、メッセージについて第1のメッセージ認証コードを計算することと、
− メッセージと第1のメッセージ認証コードとを第2のネットワークノードに送ることと
を行うように設定された、条項1に記載の第1のネットワークノード。
条項1又は2による第1のネットワークノードは、請求項3乃至7のいずれか一項と組み合わせられる。その上、第1のネットワークノードは、メッセージを暗号化するために、機密性のためのTTPからのローカル鍵材料を用いて拡張され得る。
図5は、第1のネットワークノード100、200、202など、第1のネットワークノードのための電子通信方法500の一実施形態の一例を概略的に示す。
本方法は、
− 少なくとも、
− 第1のネットワークノードと他のネットワークノードとの間の通信の機密性を保護するためのローカル鍵材料(212、214;213)であって、通信を保護するためのローカル鍵材料が、機密性のための信頼できるサードパーティ(TTP)(192;292、294;293)によって、第1のネットワークノードの第1の識別情報のために識別情報ベース鍵事前配布方式のローカル鍵材料生成アルゴリズムを使用して生成される、ローカル鍵材料(212、214;213)と、
− 第1のネットワークノードと他のネットワークノードとの間の通信の完全性を保護するためのローカル鍵材料(216、218;217)であって、完全性を保護するためのローカル鍵材料が、完全性のための信頼できるサードパーティ(TTP)(194;296、298;297)によって、第1のネットワークノードの第2の識別情報のために識別情報ベース鍵事前配布方式のローカル鍵材料生成アルゴリズムを使用して生成される、ローカル鍵材料(216、218;217)と
を記憶するステップ510
を有する。
方法500は、
− 第2のネットワークノード(150;201)の第1の識別情報及び第2の識別情報を取得するステップ520と、
− 第2のネットワークノードの第1の識別情報と、第1のネットワークノードの機密性を保護するためのローカル鍵材料とから、機密性を保護するための第1の共有鍵(245)を計算するステップ525と、
− 第2のネットワークノードの第2の識別情報と、第1のネットワークノードの完全性を保護するためのローカル鍵材料とから、完全性を保護するための第2の共有鍵(246)を計算するステップ530と、
− 第1の共有鍵を使用して、メッセージを暗号化するステップ535と、
− 第2の共有鍵を使用して、メッセージについて第1のメッセージ認証コードを計算するステップ540と、
− 暗号化されたメッセージと第1のメッセージ認証コードとを第2のネットワークノードに送るステップ545と
をさらに有する。
方法500はまた、又は代わりに、
− 第2のネットワークノードから第1のメッセージ認証コードと暗号化されたメッセージとを受信するステップ550と、
− 第2のネットワークノードの第1の識別情報及び第2の識別情報を取得するステップ555と、
− 第2のネットワークノードの第1の識別情報と、第1のネットワークノードの機密性を保護するためのローカル鍵材料とから、機密性を保護するための第1の共有鍵(245)を計算するステップ560と、
− 第2のネットワークノードの第2の識別情報と、第1のネットワークノードの完全性を保護するためのローカル鍵材料とから、完全性を保護するための第2の共有鍵(246)を計算するステップ565と、
− 第1の共有鍵を使用して、暗号化されたメッセージを解読するステップ570と、
− 第2の共有鍵を使用して、第1のメッセージ認証コードを検証するステップ575と
を有する。
図6は、完全性のための電子的な信頼できるサードパーティ(TTP)方法600の一実施形態の一例を概略的に示す。方法600は、
− ルート鍵材料を記憶するステップ610と、
− 第2の識別情報を受信するステップ620と、
− メッセージと、メッセージ認証コードと、送信側の第2の識別情報と、受信側の第2の識別情報とを受信するステップ630と、
− 識別情報ベース鍵事前配布方式のローカル鍵材料生成アルゴリズムを第2の識別情報と、ルート鍵材料とに適用することによって、完全性を保護するための第1のローカル鍵材料を計算するステップ640と、
− 識別情報ベース鍵事前配布方式のローカル鍵材料生成アルゴリズムをルート鍵材料と、送信側の第2の識別情報とに適用することによって、完全性を保護するための第2のローカル鍵材料を計算し、完全性を保護するための第2のローカル鍵材料と、受信側の第2の識別情報とから第2の共有鍵を計算するステップ650と
を有する。段階650の代わりに、本方法はまた、識別情報ベース鍵事前配布方式のローカル鍵材料生成アルゴリズムをルート鍵材料と、受信側の第2の識別情報とに適用することによって、完全性を保護するための第2のローカル鍵材料を計算し、完全性を保護するための第2のローカル鍵材料と、送信側の第2の識別情報とから第2の共有鍵を計算するステップ660の段階と、
− 第3の鍵を使用して、メッセージについてメッセージ認証コードを検証するステップ670と
を有する。
以下で、追加の実施形態が説明される。機密性のためのTTPは、本明細書では本文TTP、又はbTTPとも呼ばれる。完全性のためのTTPは、本明細書ではMAC TTP、又はmTTPとも呼ばれる。実施形態のうちのいくつかは、以下の態様のうちの1つ又は複数を有する。
− メッセージが単に傍受され得るのか(暗号化/機密性)、スプーフィングされ得るのか(認証)を制御することが可能であるように、メッセージの本文のために使用されないメッセージについてのMACのための少なくとも1つの追加のTTPを使用する、及び
− メッセージ中に、少なくとも、この追加のTTPによって管理されるサードパーティ識別情報に宛てられたサブメッセージを含める、このメッセージは、メッセージ本文についてのMACを含む。このサードパーティの鍵材料は、好ましくは、追加のTTPによって追加のTTP外のパーティに配布されない。オプションとして、それは、送信側によって選択された、たとえば、極めて大きい空間から取られた、ランダムな識別情報でもある。
− メッセージ本文(body‐of‐the‐message)TTPからの鍵材料のみを合法的傍受担当に提供する。
− サードパーティ識別情報に宛てられたサブメッセージを解読することと、MACがメッセージの本文に適合することを検査することとによって、メッセージが受信側ではなく送信側によって送られたことを検証する。これは、送信側の鍵材料、又は(ランダムに選択された)サードパーティ識別情報の鍵材料を使用して行われ得る。
− 傍受能力を必要とする管轄間で、及び管轄2中のBに通信することを希望する管轄1中のパーティAが、管轄1と管轄2との間で共有されるメッセージ本文TTPのみを使用するために、ルート鍵材料を複製する。
実施形態のうちのいくつかは、以下の効果のうちの1つ又は複数を提供する。
(a)送信側と受信側の両方が、メッセージTTP及びMAC TTPのローカル鍵材料(KM)を使用して、メッセージとMACの両方を暗号化及び解読することができる。
(b)関連する鍵材料を提供することにメッセージTTPが同意する場合、合法的傍受は可能であるが、合法的傍受者によるスプーフィングは、合法的傍受者がMAC TTPの鍵材料へのアクセスを有しない限り可能でない。
(c)TTPのルート鍵材料が2つ(又はそれ以上)の管轄間で共有される場合、これらの管轄は、これらのTTPから導出された鍵材料によって完全に保護されたメッセージを傍受することを独立して決定することができる。
(d)MAC TTP又は選択されたサードパーティからの情報を使用して、サードパーティ識別情報に送られたMACを解読することによって、受信側がメッセージを受信したことをスプーフィングしたかどうかを検査することができ、受信側は、受信側がそのための適切な鍵を生成することを可能にする、鍵材料を有しない。
以下は、これが実際にどのように使用されるかの第1の例である。
1. 動作フェーズでは、送信側及び受信側が、通常通り通信する。それらは、メッセージの完全性を検証するためにMACを使用する。
2. パーティAに対する合法的傍受が必要とされる場合、メッセージTTPは、たとえば、パーティAのローカル鍵材料、KM_Aを、傍受するパーティに提供する。1つのTTPがそのKM_Aを共有することを拒否する限り、傍受は行われ得ず、これは、抑制と均衡が改善されることを自動的に暗示する。MAC TTPは、傍受が行われるために情報を共有する必要がない。
3. Aによって送られたメッセージが裁判所において証拠として使用される場合、そのメッセージがスプーフィングされなかったことが証明され得る。
a. 傍受するパーティは、MAC TTPからの鍵材料へのアクセスを得ないので、傍受するパーティは、Aから/へのメッセージをスプーフィングすることができず、したがって、傍受するパーティは、メッセージ本文を読み取ること及び書き込こむことができるが、傍受するパーティは、MACを検証すること又は有意味に書き込むことができない。
b. また、パーティBが、ランダムに選択されたサードパーティ識別情報からのMAC鍵材料を有しないので、パーティBは、Aからの受信されたメッセージをスプーフィングすることができない。
c. 裁判所は、たとえば、MAC TTPからローカル鍵材料を取り出すことによっても、メッセージがスプーフィングされなかったことを検証することができる。代替的に、MAC TTP又は選択されたサードパーティ識別情報は、サードパーティ識別情報に送られたメッセージを解読及び/又は検証することができる。
以下で、より詳細な実施形態が開示される。システムは、以下の4つの異なるタイプのエンティティを備える。
1. クライアントC:互いに/からメッセージを送信及び受信するデバイス。
2. 本文信頼できるサードパーティ(Body Trusted Third party)bTTP:クライアント間のメッセージの本文をセキュアにするために使用される信頼の(1つ又は複数の)ルートとして働く、1つ又は複数のサーバ。
3. MAC信頼できるサードパーティ(Mac Trusted Third party)mTTP:パーティ間のMACをセキュアにするために使用される信頼の(1つ又は複数の)ルートとして働く、1つ又は複数のサーバ。
4. 法執行機関L:クライアントから/へのメッセージを解読する法的権利を有する、1つ又は複数のパーティ。
随意に、TTPは、最初に、クライアントに鍵材料を発行するための許可を得るために、Lに登録する必要がある。
登録フェーズ中に、クライアントC_aが、すべての本文信頼できるサードパーティbTTPiから本文鍵材料bKM_a_iを取り出すことによって、それ自体を設定する。クライアントC_aは、同様に、すべてのmTTPiからMAC鍵材料mKM_a_iを取り出す。この鍵材料を取得することは、参照により本明細書に含まれる、同じ出願人のEP特許出願「System and method for distribution of identity based key material and certificate」、EP16162597、出願日2016年3月29日、代理人整理番号2016P00212EP、に記載されているシステムを使用し、たとえば、その請求項1に記載のシステムを使用して、公開鍵又はそのハッシュを要求中に含めることによって、たとえば、鍵材料をセキュアに取り出す。
動作フェーズ中に、以下の段階が実施される。
・ クライアントC_aが、クライアントC_cと通信するために、3つの鍵を算出する。
本文鍵bK=すべてのbKM_a_i(c)の和。
MAC鍵mK=すべてのmKM_a_i(c)の和+bK。+は、鍵事前配布方式の仕様に従って実施されることに留意されたい。代替的に、鍵材料はまた、異なるやり方で、たとえば、排他的論理和をとること又は鍵導出関数によって合成され得る。
送信側の鍵(sender‐key)sK(随意)
サードパーティ識別情報tを選ぶ(ランダム又は事前に割り当てられる)
sK=すべてのbKM_a_i(t)の和+すべてのmKM_a_i(t)の和
・ クライアントC_aは、mKを用いて本文についてMACを計算する
・ クライアントC_aは、bKを用いて、C_c及びC_aへのメッセージの本文を暗号化する。すなわち、enc_body|m_MAC(ここで、「|」は連結を示す)。
・ クライアントC_aは、sKすなわちs_MACを用いて、enc_body|m_MACについてMACを計算する(随意)。オプションとして、sKを計算するために使用されるさらなる識別情報tは、enc_body+m_MACのハッシュであるように取られ得、追加の情報を送信する必要をなくし、情報を暗黙的にリンクすることに留意されたい。
さらなるオプションは、MAC TTPによって決して渡されないアドレスの範囲から、このtを選択することである
tのための代替オプションは、固定のt、又は、クライアントAがそのKMをセキュアに保つと信頼するt(たとえば公証人)である
・ クライアントC_aは、メッセージ[enc_body,m_MAC,{t},s_MAC]をC_bに送る。後者の2つのパラメータは随意である。ここで、{t}は、それがenc_body+m_MACのハッシュとして計算される場合、又はそれがプロトコルにおいて固定である場合、{t}が随意のパラメータであることを示す。
・ クライアントC_cは、2つの鍵を算出する。
本文鍵bK=すべてのbKM_c_i(a)の和。
MAC鍵mK=すべてのmKM_c_i(a)の和+bK。
必要な場合、調停鍵を使用する
次に、C_cは、bKを使用してenc_body及びm_MACを解読し、mKを使用してm_MACを検証することができる。
C_cは、t、s_MACを無視する。
合法的傍受について、機密性と完全性とを区別する。
合法的傍受(機密性)の場合:この使用事例では、法律は、傍受を許可するが、メッセージの変形は許可しない。
・ Lが、C_aからのメッセージを解読する権利を有する場合、Lは、すべてのbTTPiからbKM_a_iを取り出す。
代替的に、Lが、C_aとC_bとの間の通信のみに関心がある場合、Lは、bKM_a_iから生成された対応する鍵のみを取り出す
・ C_aとC_cとの間のメッセージを受信すると、次に、Lは1つの鍵を算出する
本文鍵bK=すべてのbKM_a_i(c)の和。
Lは、bKを使用してenc_bodyを解読することができる。
合法的傍受(完全性):
この使用事例では、法律は、メッセージの傍受及び検証を(及び、場合によっては変更さえ)許可する。
・ Lが、C_aからのメッセージを解読及び変更する権利を有する場合、Lは、すべてのbTTPiからのbKM_a_iと、すべてのmTTPiからのmKM_a_iとを取り出す。
代替的に、Lが、C_aとC_bとの間の通信のみに関心がある場合、Lは、その通信リンクのための対応する鍵のみを取り出す。これはskを生成することを可能にしないことに留意されたい。
・ C_aとC_cとの間のメッセージを受信すると、次に、Lは1つの鍵を算出する
本文鍵bK=すべてのbKM_a_i(c)の和。
mac鍵mK
・ Lは、bKを使用してenc_bodyを解読することができる。Lはまた、任意のメッセージを作成し、それらを通信リンクに注入することができる。
メッセージソースを検証するために、たとえば、メッセージ[enc_body,m_MAC,t,s_MAC]がC_aによってC_cに送られたこと(及びその逆でないこと)を証明する。以下が行われる。
・ sK’=すべてのbKM_t_i(a)の和+すべてのmKM_t_i(a)の和を算出する
・ Lは、sK’と調停データとからsKを取得することができる。
・ enc_body+m_MACからのs_MAC’を検証し、それを、受信されたs_MACと比較する。
様々な実施形態では、入力インターフェースは、様々な代替形態から選択される。たとえば、入力インターフェースは、ローカル又はワイドエリアネットワーク、たとえば、インターネットへのネットワークインターフェース、内部又は外部データストレージへのストレージインターフェース、キーボードなどである。
一般に、デバイス200、201、202及び400は、それぞれ、マイクロプロセッサ(図1a〜図1c及び図3に個別に図示せず)を備え、それは、デバイスにおいて記憶された適切なソフトウェアを実行し、たとえば、そのソフトウェアは、ダウンロードされ、及び/又は対応するメモリ、たとえば、RAMなどの揮発性メモリ又はフラッシュなどの不揮発性メモリ(個別に図示せず)に記憶される。代替的に、デバイス200、201、202、及び400は、全体的に又は部分的に、プログラマブル論理で、たとえば、フィールドプログラマブルゲートアレイ(FPGA)として実装される。デバイスは、全体的に又は部分的に、いわゆる特定用途向け集積回路(ASIC)、すなわち、それらの特定の用途のためにカスタマイズされた集積回路(IC)として実装される。たとえば、回路は、たとえば、Verilog、VHDLなど、ハードウェア記述言語を使用して、CMOSにおいて実装される。
一実施形態では、デバイス200は、鍵ストレージ回路、通信インターフェース回路、識別情報取得器回路、合成器回路、共有鍵回路、暗号化回路、mac生成回路を備える。実施形態は、さらなる識別情報取得器回路をさらに備える。デバイス201は、必要に応じて適応されたデバイス200からの適切な回路、及び解読回路、mac検証回路を備える。TTP400は、鍵ストレージ回路、第1の通信インターフェース回路、第2の通信インターフェース回路、ローカル鍵材料生成回路、及びmac検証ユニット回路を備える。
回路は、本明細書で説明される対応するユニットを実装する。回路は、プロセッサ回路及びストレージ回路であり、プロセッサ回路は、ストレージ回路中に電子的に表された命令を実行する。回路はまた、FPGA、ASICなどである。
当業者に明らかであるように、方法500及び方法600を含む、一実施形態による方法を実行する多くの異なるやり方が、可能である。たとえば、ステップの順序が変動され得るか、又はいくつかのステップが並列に実行される。その上、ステップの中間に、他の方法ステップが挿入される。挿入されたステップは、本明細書で説明されるような方法の改良を表すか、又はそのような方法に関係しない。その上、次のステップが開始される前に、所与のステップが完全に終了しないことがある。
本発明による方法は、ソフトウェアを使用して実行され、ソフトウェアは、プロセッサシステムに、方法500又は方法600など、一実施形態による方法を実施させるための命令を含む。ソフトウェアは、システムの特定のサブエンティティによってとられるステップのみを含む。ソソフトウェアは、ハードディスク、フロッピー、メモリ、光ディスクなど、好適なストレージ媒体に記憶される。ソフトウェアは、ワイヤに沿って、又はワイヤレス、或いはデータネットワーク、たとえば、インターネットを使用して、信号として送られる。ソフトウェアは、ダウンロードのために及び/又はサーバ上でのリモート使用のために利用可能にされる。本発明による方法は、方法を実施するためにプログラマブル論理、たとえば、フィールドプログラマブルゲートアレイ(FPGA)を設定するように構成された、ビットストリームを使用して実行される。
本発明は、本発明を実現するために適応されるコンピュータプログラム、特にキャリア上の又はその中のコンピュータプログラムにも拡張されることが諒解されよう。プログラムは、ソースコード、オブジェクトコード、コード中間ソース及び部分的にコンパイルされた形態などのオブジェクトコードの形態、又は本発明による方法の実装形態において使用するのに好適な任意の他の形態である。コンピュータプログラム製品に関係する実施形態は、記載された方法のうちの少なくとも1つの処理ステップの各々に対応するコンピュータ実行可能命令を含む。これらの命令は、サブルーチンに再分割され、及び/或いは静的に又は動的にリンクされる1つ又は複数のファイルに記憶される。コンピュータプログラム製品に関係する別の実施形態は、記載されたシステム及び/又は製品のうちの少なくとも1つの手段の各々に対応するコンピュータ実行可能命令を含む。
図7aは、コンピュータプログラム1020を備える書込み可能部分1010を備えるコンピュータ可読媒体1000を示し、コンピュータプログラム1020は、プロセッサシステムに、一実施形態による、通信方法又はTTP方法を実施させるための命令を含む。コンピュータプログラム1020は、物理的マークとして又はコンピュータ可読媒体1000の磁化によって、コンピュータ可読媒体1000上で具現される。しかしながら、他の好適な実施形態が、同様に考えられる。さらに、コンピュータ可読媒体1000は、ここでは光ディスクとして示されているが、コンピュータ可読媒体1000は、ハードディスク、ソリッドステートメモリ、フラッシュメモリなど、任意の好適なコンピュータ可読媒体であり、記録不可能又は記録可能であることが諒解されよう。コンピュータプログラム1020は、プロセッサシステムに前記通信方法又はTTP方法を実施させるための命令を含む。
図7bは、一実施形態による、プロセッサシステム1140の概略表現を示す。プロセッサシステムは、1つ又は複数の集積回路1110を備える。1つ又は複数の集積回路1110のアーキテクチャは、図7bに概略的に示されている。回路1110は、一実施形態による方法を実行し、及び/或いはそのモジュール又はユニットを実装するために、コンピュータプログラム構成要素を実行するための処理ユニット1120、たとえば、CPUを備える。回路1110は、プログラミングコード、データなどを記憶するためのメモリ1122を備える。メモリ1122の一部は、読取り専用である。回路1110は、通信要素1126、たとえば、アンテナ、コネクタ、又はその両方などを備える。回路1110は、方法において定義された処理の一部又は全部を実施するための専用集積回路1124を備える。プロセッサ1120、メモリ1122、専用IC1124及び通信要素1126は、相互接続1130、たとえばバスを介して、互いに接続される。プロセッサシステム1110は、それぞれ、アンテナ及び/又はコネクタを使用して、接触及び/又は非接触通信のために構成される。
たとえば、一実施形態では、第1のネットワークノード又はTTPデバイスは、プロセッサ回路及びメモリ回路を備え、プロセッサは、メモリ回路に記憶されたソフトウェアを実行するように構成される。たとえば、プロセッサ回路は、Intel Core i7プロセッサ、ARM Cortex−R8などである。メモリ回路は、ROM回路、又は不揮発性メモリ、たとえば、フラッシュメモリである。メモリ回路は、揮発性メモリ、たとえば、SRAMメモリである。後者の場合、検証デバイスは、ソフトウェアを与えるために構成された、不揮発性ソフトウェアインターフェース、たとえば、ハードドライブ、ネットワークインターフェースなどを備える。
上述の実施形態は本発明を限定するのではなく説明するものであること、及び、当業者であれば、多くの代替実施形態を設計することが可能となることに留意されたい。
特許請求の範囲では、丸括弧間に置かれたいかなる参照符号も、特許請求の範囲を限定するものとして解釈されるべきではない。「備える、含む、有する(comprise)」という動詞及びその活用形の使用は、特許請求の範囲で述べられた要素又はステップ以外の要素又はステップの存在を除外するものではない。要素に先行する冠詞「a」又は「an」は、そのような要素が複数存在することを除外するものではない。本発明は、いくつかの別個の要素を備えるハードウェアによって、また、適切にプログラムされたコンピュータによって実施される。いくつかの手段を列挙するデバイス請求項では、これらの手段のうちのいくつかが、ハードウェアの1つの同じアイテムによって具現される。いくつかの方策が、相互に異なる従属請求項に記載されているという単なる事実は、これらの方策の組合せが有利には使用され得ないことを示しているわけではない。
特許請求の範囲では、丸括弧内の参照は、実施形態の図面中の参照符号、又は実施形態の式を指し、したがって、特許請求の範囲の了解度を増加させる。これらの参照は、特許請求の範囲を限定するものとして解釈されるべきではない。
100 第1のネットワークノード
110、160 鍵ストレージ
120、170 通信インターフェース
130、180 プロセッサ回路
150 第2のネットワークノード
190 デジタルネットワーク
192 機密性のための信頼できるサードパーティ
194 完全性のための信頼できるサードパーティ
195 通信システム
200、202 第1のネットワークノード
201 第2のネットワークノード
210、260 鍵ストレージ
212、213、214 機密性を保護するためのローカル鍵材料
216、217、218 完全性を保護するためのローカル鍵材料
220、265 通信インターフェース
241、271 識別情報取得器
242 さらなる識別情報取得器
243、273 合成器
244、274 共有鍵(shared key)ユニット
247 第3の鍵
245 機密性を保護するための第1の共有鍵
246 完全性を保護するための第2の共有鍵
248 暗号化ユニット
249 mac生成ユニット
278 解読ユニット
279 mac検証ユニット
292、293、294 機密性のための信頼できるサードパーティ
296、297、298 完全性のための信頼できるサードパーティ
300 信頼できるサードパーティデバイス
310 鍵ストレージ
322 第1の通信インターフェース
324 第2の通信インターフェース
330 プロセッサ回路
400 信頼できるサードパーティデバイス
410 鍵ストレージ
422 第1の通信インターフェース
424 第2の通信インターフェース
432 ローカル鍵材料生成器
434 mac検証ユニット
442 第2の識別情報
444 送信側の第2の識別情報及び受信側の第2の識別情報
446 メッセージ及びメッセージ認証コード

Claims (10)

  1. 第1のネットワークノードであって、前記第1のネットワークノードは、
    少なくとも、
    前記第1のネットワークノードと他のネットワークノードとの間の通信の機密性を保護するためのローカル鍵材料であって、通信を保護するための前記ローカル鍵材料が、機密性のための信頼できるサードパーティ(TTP)によって、前記第1のネットワークノードの第1の識別情報のために識別情報ベース鍵事前配布方式のローカル鍵材料生成アルゴリズムを使用して生成される、ローカル鍵材料と、
    前記第1のネットワークノードと前記他のネットワークノードとの間の前記通信の完全性を保護するためのローカル鍵材料であって、完全性を保護するための前記ローカル鍵材料が、完全性のための信頼できるサードパーティ(TTP)によって、前記第1のネットワークノードの第2の識別情報のために識別情報ベース鍵事前配布方式のローカル鍵材料生成アルゴリズムを使用して生成される、ローカル鍵材料と
    を記憶する鍵ストレージと、
    前記第1のネットワークノードと前記他のネットワークノードとの間のデジタル通信のための通信インターフェースと、
    プロセッサ回路と
    を備え、
    前記プロセッサ回路は、
    第2のネットワークノードの第1の識別情報及び第2の識別情報を取得することと、
    前記第2のネットワークノードの前記第1の識別情報と、前記第1のネットワークノードの機密性を保護するための前記ローカル鍵材料とから、機密性を保護するための第1の共有鍵を計算することと、
    前記第2のネットワークノードの前記第2の識別情報と、前記第1のネットワークノードの完全性を保護するための前記ローカル鍵材料とから、完全性を保護するための第2の共有鍵を計算することと、
    前記第1の共有鍵を使用して、メッセージを暗号化することと、
    前記第2の共有鍵を使用して、前記メッセージについて第1のメッセージ認証コードを計算することと、
    暗号化された前記メッセージと前記第1のメッセージ認証コードとを前記第2のネットワークノードに送ることと
    を行い、
    並びに/又は、前記プロセッサ回路は、
    第2のネットワークノードから第1のメッセージ認証コードと、暗号化されたメッセージとを受信することと、
    前記第2のネットワークノードの第1の識別情報及び第2の識別情報を取得することと、
    前記第2のネットワークノードの前記第1の識別情報と、前記第1のネットワークノードの機密性を保護するための前記ローカル鍵材料とから、機密性を保護するための第1の共有鍵を計算することと、
    前記第2のネットワークノードの前記第2の識別情報と、前記第1のネットワークノードの完全性を保護するための前記ローカル鍵材料とから、完全性を保護するための第2の共有鍵を計算することと、
    前記第1の共有鍵を使用して、暗号化された前記メッセージを解読することと、
    前記第2の共有鍵を使用して、前記第1のメッセージ認証コードを検証することと
    を行う、
    第1のネットワークノード。
  2. 前記プロセッサ回路は、
    前記第2のネットワークノードの前記第1の識別情報及び前記第2の識別情報とは異なるさらなる識別情報を取得することと、
    前記さらなる識別情報と、少なくとも、前記第1のネットワークノードの完全性を保護するための前記ローカル鍵材料とから、完全性を保護するための第3の鍵を計算することと、
    前記第3の鍵を使用して、少なくとも前記メッセージについて第2のメッセージ認証コードを計算することと、
    前記第2のメッセージ認証コードを送ることと
    を行う、請求項1に記載の第1のネットワークノード。
  3. 前記プロセッサ回路は、前記さらなる識別情報をランダムに選択し、前記プロセッサ回路は、前記さらなる識別情報を前記第2のネットワークノードに送る、請求項2に記載の第1のネットワークノード。
  4. 前記プロセッサ回路は、
    固定識別情報として前記さらなる識別情報を取得することと、
    ハッシュ関数を前記メッセージに適用することによって、前記さらなる識別情報を取得することと
    を行い、前記プロセッサ回路は、前記さらなる識別情報を前記第2のネットワークノードに送らない、請求項2に記載の第1のネットワークノード。
  5. 前記第2のメッセージ認証コードが、少なくとも前記メッセージと前記第1のメッセージ認証コードとについて計算される、請求項2乃至4のいずれか一項に記載の第1のネットワークノード。
  6. 前記プロセッサ回路は、
    機密性のための前記ローカル鍵材料と完全性のための前記ローカル鍵材料とを合成して、合成ローカル鍵材料を形成し、前記第3の鍵が、前記さらなる識別情報と前記合成ローカル鍵材料とから導出される、
    請求項2乃至5のいずれか一項に記載の第1のネットワークノード。
  7. 前記プロセッサ回路は、
    最初に、前記さらなる識別情報と前記第1のネットワークノードの完全性を保護するための前記ローカル鍵材料とから中間の第3の鍵を取得し、前記中間の第3の鍵を前記第1の鍵と合成することによって、前記第3の鍵を計算する、
    請求項2乃至5のいずれか一項に記載の第1のネットワークノード。
  8. 前記第1の識別情報と前記第2の識別情報とが等しい、請求項1乃至7のいずれか一項に記載の第1のネットワークノード。
  9. 第1のネットワークノードのための電子通信方法であって、前記電子通信方法は、
    少なくとも、
    前記第1のネットワークノードと他のネットワークノードとの間の通信の機密性を保護するためのローカル鍵材料であって、通信を保護するための前記ローカル鍵材料が、機密性のための信頼できるサードパーティ(TTP)によって、前記第1のネットワークノードの第1の識別情報のために識別情報ベース鍵事前配布方式のローカル鍵材料生成アルゴリズムを使用して生成される、ローカル鍵材料と、
    前記第1のネットワークノードと前記他のネットワークノードとの間の前記通信の完全性を保護するためのローカル鍵材料であって、完全性を保護するための前記ローカル鍵材料が、完全性のための信頼できるサードパーティ(TTP)によって、前記第1のネットワークノードの第2の識別情報のために識別情報ベース鍵事前配布方式のローカル鍵材料生成アルゴリズムを使用して生成される、ローカル鍵材料と
    を記憶するステップを有し、
    前記電子通信方法は、
    第2のネットワークノードの第1の識別情報及び第2の識別情報を取得するステップと、
    前記第2のネットワークノードの前記第1の識別情報と、前記第1のネットワークノードの機密性を保護するための前記ローカル鍵材料とから、機密性を保護するための第1の共有鍵を計算するステップと、
    前記第2のネットワークノードの前記第2の識別情報と、前記第1のネットワークノードの完全性を保護するための前記ローカル鍵材料とから、完全性を保護するための第2の共有鍵を計算するステップと、
    前記第1の共有鍵を使用して、メッセージを暗号化するステップと、
    前記第2の共有鍵を使用して、前記メッセージについて第1のメッセージ認証コードを計算するステップと、
    暗号化された前記メッセージと前記第1のメッセージ認証コードとを前記第2のネットワークノードに送るステップと
    を有し、
    並びに/又は、前記電子通信方法は、
    第2のネットワークノードから第1のメッセージ認証コードと、暗号化されたメッセージとを受信するステップと、
    前記第2のネットワークノードの第1の識別情報及び第2の識別情報を取得するステップと、
    前記第2のネットワークノードの前記第1の識別情報と、前記第1のネットワークノードの機密性を保護するための前記ローカル鍵材料とから、機密性を保護するための第1の共有鍵を計算するステップと、
    前記第2のネットワークノードの前記第2の識別情報と、前記第1のネットワークノードの完全性を保護するための前記ローカル鍵材料とから、完全性を保護するための第2の共有鍵を計算するステップと、
    前記第1の共有鍵を使用して、前記暗号化されたメッセージを解読するステップと、
    前記第2の共有鍵を使用して、前記第1のメッセージ認証コードを検証するステップと
    を有する、
    電子通信方法。
  10. プロセッサシステムに、請求項9に記載の電子通信方法を実施させるための命令を表す一時的又は非一時的データを含む、コンピュータ可読媒体。
JP2019536275A 2017-01-05 2018-01-02 ネットワークデバイス及び信頼できるサードパーティデバイス Active JP7059282B6 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP17150389 2017-01-05
EP17150389.9 2017-01-05
PCT/EP2018/050033 WO2018127479A1 (en) 2017-01-05 2018-01-02 Network device and trusted third party device

Publications (4)

Publication Number Publication Date
JP2020507243A true JP2020507243A (ja) 2020-03-05
JP2020507243A5 JP2020507243A5 (ja) 2021-02-12
JP7059282B2 JP7059282B2 (ja) 2022-04-25
JP7059282B6 JP7059282B6 (ja) 2022-06-03

Family

ID=57737665

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019536275A Active JP7059282B6 (ja) 2017-01-05 2018-01-02 ネットワークデバイス及び信頼できるサードパーティデバイス

Country Status (5)

Country Link
US (1) US11265154B2 (ja)
EP (1) EP3566386B1 (ja)
JP (1) JP7059282B6 (ja)
CN (1) CN110383755B (ja)
WO (1) WO2018127479A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113572716B (zh) * 2020-04-29 2023-08-08 青岛海尔洗涤电器有限公司 设备检测方法及系统
CN114417362A (zh) * 2020-10-10 2022-04-29 华为技术有限公司 数据管理方法、装置及系统、存储介质
CN115226416B (zh) * 2021-02-20 2024-05-03 华为技术有限公司 一种根密钥保护方法和系统
CN114157488B (zh) * 2021-12-03 2023-06-16 北京明朝万达科技股份有限公司 密钥获取方法、装置、电子设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10268766A (ja) * 1997-01-24 1998-10-09 Nec Corp 暗号鍵処理システム及び暗号鍵処理システムを実現するコンピュータプログラムを格納した記憶媒体
JP2000216769A (ja) * 1999-01-25 2000-08-04 Murata Mach Ltd 秘密鍵生成方法,暗号化方法及び暗号通信方法
JP2009153111A (ja) * 2007-11-06 2009-07-09 Intel Corp トラフィック可視性をもつエンドツーエンドのネットワーク・セキュリティ
JP2016512005A (ja) * 2013-02-28 2016-04-21 コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. 共有鍵を導出するよう構成されたネットワークデバイス

Family Cites Families (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7239701B1 (en) * 2000-05-02 2007-07-03 Murata Machinery Ltd. Key sharing method, secret key generating method, common key generating method and cryptographic communication method in ID-NIKS cryptosystem
US7181015B2 (en) * 2001-07-31 2007-02-20 Mcafee, Inc. Method and apparatus for cryptographic key establishment using an identity based symmetric keying technique
US7346773B2 (en) * 2004-01-12 2008-03-18 Cisco Technology, Inc. Enabling stateless server-based pre-shared secrets
US8341402B2 (en) * 2005-01-19 2012-12-25 Samsung Electronics Co., Ltd. Method of controlling content access and method of obtaining content key using the same
KR100704675B1 (ko) * 2005-03-09 2007-04-06 한국전자통신연구원 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법
US7992193B2 (en) * 2005-03-17 2011-08-02 Cisco Technology, Inc. Method and apparatus to secure AAA protocol messages
CN102299791B (zh) * 2008-08-28 2014-12-24 华为技术有限公司 自治公钥证书管理方法、系统及设备
BRPI0919215B1 (pt) * 2008-09-16 2020-10-20 Telefonaktiebolaget Lm Ericsson (Publ) método de gerenciamento de chave para um primeiro e segundo dispositivo, servidor de gerenciamento de chave, dispositivo de origem, método de gerenciamento de chave em um dispositivo de origem, e, mídia de armazenamento legível por computador
EP2359521A1 (en) * 2008-09-19 2011-08-24 Philips Intellectual Property & Standards GmbH A method for secure communication in a network, a communication device, a network and a computer program therefor
JP5564053B2 (ja) * 2008-10-20 2014-07-30 コーニンクレッカ フィリップス エヌ ヴェ 暗号鍵を生成する方法、ネットワーク及びコンピュータプログラム
US8966265B2 (en) * 2009-01-30 2015-02-24 Texas Instruments Incorporated Pairwise temporal key creation for secure networks
KR101684753B1 (ko) 2010-02-09 2016-12-08 인터디지탈 패튼 홀딩스, 인크 신뢰적인 연합 아이덴티티를 위한 방법 및 장치
CA2697687C (en) * 2010-03-24 2014-02-18 Diversinet Corp. Method and system for secure communication using hash-based message authentication codes
GB201010735D0 (en) * 2010-06-25 2010-08-11 Omar Ralph M Security improvements for flexible substrates
CN101917270B (zh) * 2010-08-03 2012-08-22 中国科学院软件研究所 一种基于对称密码的弱认证和密钥协商方法
KR101040588B1 (ko) * 2010-12-13 2011-06-10 한국기초과학지원연구원 익명성을 제공하는 효율적인 신원기반 환서명 방법과 그 시스템
CN102625300B (zh) * 2011-01-28 2015-07-08 华为技术有限公司 密钥生成方法和设备
EP2695101B1 (en) * 2011-04-04 2022-11-09 Nextlabs, Inc. Protecting information using policies and encryption
EP2719212B1 (en) * 2011-06-10 2020-04-08 Signify Holding B.V. Avoidance of hostile attacks in a network
US9203613B2 (en) * 2011-09-29 2015-12-01 Amazon Technologies, Inc. Techniques for client constructed sessions
US9065637B2 (en) * 2012-01-25 2015-06-23 CertiVox Ltd. System and method for securing private keys issued from distributed private key generator (D-PKG) nodes
EP2667539A1 (en) * 2012-05-21 2013-11-27 Koninklijke Philips N.V. Key sharing methods, device and system for configuration thereof.
DE102012209408A1 (de) * 2012-06-04 2013-12-05 Siemens Aktiengesellschaft Sichere Übertragung einer Nachricht
WO2014069783A1 (ko) * 2012-10-31 2014-05-08 삼성에스디에스 주식회사 패스워드 기반 인증 방법 및 이를 수행하기 위한 장치
WO2014094982A1 (en) * 2012-12-20 2014-06-26 Abb Ag Commissioning system and method for a secure exchange of sensitive information for the commissioning and configuring of technical equipment
EP3072256A1 (en) * 2013-11-21 2016-09-28 Koninklijke Philips N.V. System for sharing a cryptographic key
US9949115B2 (en) * 2014-06-10 2018-04-17 Qualcomm Incorporated Common modulus RSA key pairs for signature generation and encryption/decryption
EP3248352B1 (en) * 2015-01-19 2020-09-30 Telefonaktiebolaget LM Ericsson (publ) Methods and apparatus for direct communication key establishment
CN106302312B (zh) * 2015-05-13 2019-09-17 阿里巴巴集团控股有限公司 获取电子文件的方法及装置
US10172000B2 (en) * 2016-03-17 2019-01-01 M2MD Technologies, Inc. Method and system for managing security keys for user and M2M devices in a wireless communication network environment
CN107579826B (zh) * 2016-07-04 2022-07-22 华为技术有限公司 一种网络认证方法、中转节点及相关系统
CN114826673A (zh) * 2016-07-06 2022-07-29 华为技术有限公司 一种传输数据的保护系统、方法及装置
WO2018029893A1 (ja) * 2016-08-10 2018-02-15 Kddi株式会社 データ提供システム、データ保安装置、データ提供方法、及びコンピュータプログラム
CN107809411B (zh) * 2016-09-09 2021-12-03 华为技术有限公司 移动网络的认证方法、终端设备、服务器和网络认证实体
JP6288219B1 (ja) * 2016-11-18 2018-03-07 Kddi株式会社 通信システム
EP3337120B1 (en) * 2016-12-14 2021-04-21 Nxp B.V. Network message authentication and verification
CN112119651B (zh) * 2018-05-22 2022-05-17 华为技术有限公司 接入技术不可知的服务网络认证方法和装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10268766A (ja) * 1997-01-24 1998-10-09 Nec Corp 暗号鍵処理システム及び暗号鍵処理システムを実現するコンピュータプログラムを格納した記憶媒体
JP2000216769A (ja) * 1999-01-25 2000-08-04 Murata Mach Ltd 秘密鍵生成方法,暗号化方法及び暗号通信方法
JP2009153111A (ja) * 2007-11-06 2009-07-09 Intel Corp トラフィック可視性をもつエンドツーエンドのネットワーク・セキュリティ
JP2016512005A (ja) * 2013-02-28 2016-04-21 コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. 共有鍵を導出するよう構成されたネットワークデバイス

Also Published As

Publication number Publication date
CN110383755B (zh) 2022-04-19
JP7059282B2 (ja) 2022-04-25
EP3566386B1 (en) 2020-07-29
EP3566386A1 (en) 2019-11-13
US11265154B2 (en) 2022-03-01
WO2018127479A1 (en) 2018-07-12
CN110383755A (zh) 2019-10-25
US20190349189A1 (en) 2019-11-14
JP7059282B6 (ja) 2022-06-03

Similar Documents

Publication Publication Date Title
US11323276B2 (en) Mutual authentication of confidential communication
US11108565B2 (en) Secure communications providing forward secrecy
CN110050437B (zh) 分布式证书注册的装置和方法
US7774594B2 (en) Method and system for providing strong security in insecure networks
US20130251152A1 (en) Key transport protocol
JP2019514269A (ja) 身元情報ベース鍵素材及び証明書の配布のためのシステム及び方法
EP3476078B1 (en) Systems and methods for authenticating communications using a single message exchange and symmetric key
US9165148B2 (en) Generating secure device secret key
JP7059282B6 (ja) ネットワークデバイス及び信頼できるサードパーティデバイス
WO2017167771A1 (en) Handshake protocols for identity-based key material and certificates
US20210165914A1 (en) Cryptographic method for verifying data
CN114342315B (zh) 网络中多个实体之间的对称密钥生成、认证和通信
CN117203940A (zh) 密文验证

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201228

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201228

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211125

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211206

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220301

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220315

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220413

R150 Certificate of patent or registration of utility model

Ref document number: 7059282

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150