JP6517444B2 - セキュア通信のためのネットワークシステム - Google Patents
セキュア通信のためのネットワークシステム Download PDFInfo
- Publication number
- JP6517444B2 JP6517444B2 JP2018532365A JP2018532365A JP6517444B2 JP 6517444 B2 JP6517444 B2 JP 6517444B2 JP 2018532365 A JP2018532365 A JP 2018532365A JP 2018532365 A JP2018532365 A JP 2018532365A JP 6517444 B2 JP6517444 B2 JP 6517444B2
- Authority
- JP
- Japan
- Prior art keywords
- enrollee
- configurator
- key
- public key
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 152
- 238000000034 method Methods 0.000 claims description 74
- 238000012360 testing method Methods 0.000 claims description 48
- 238000004590 computer program Methods 0.000 claims description 22
- 238000013475 authorization Methods 0.000 description 22
- 239000003999 initiator Substances 0.000 description 10
- 230000008569 process Effects 0.000 description 6
- 230000004044 response Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 230000002093 peripheral effect Effects 0.000 description 5
- 239000000463 material Substances 0.000 description 4
- 238000007792 addition Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 238000009795 derivation Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000003860 storage Methods 0.000 description 2
- 241000501754 Astronotus ocellatus Species 0.000 description 1
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 241000790240 Mammalian orthoreovirus 4 Ndelle Species 0.000 description 1
- 206010000210 abortion Diseases 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000005672 electromagnetic field Effects 0.000 description 1
- 230000005674 electromagnetic induction Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000005415 magnetization Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/77—Graphical identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Description
− 無線通信用に構成されると共に、当該ネットワークへのアクセスを得るために前記セキュリティプロトコルに従ってエンローリとして動作し、第1エンローリ公開キー及び対応する第1エンローリ秘密キーを有し、且つ、第2エンローリ公開キー及び対応する第2エンローリ秘密キーを有するように構成された少なくとも1つのネットワーク装置と、
− コンフィギュレータとして動作するように構成されると共に、前記セキュリティプロトコルに従って前記エンローリのためのセキュア通信を可能にし、コンフィギュレータ公開キー及び対応するコンフィギュレータ秘密キーを有し、且つ、当該ネットワークシステムのためにネットワーク公開キー及び対応するネットワーク秘密キーを有するように構成されたネットワーク装置と、
を有し、
前記エンローリは、エンローリセンサ及び、
− 前記領域内で供給されると共に前記ネットワーク公開キーを表すデータパターンを、前記エンローリセンサにより帯域外チャンネルを介して取得し、
− 第1共有キーを、前記ネットワーク公開キー及び前記第1エンローリ秘密キーに基づいて導出し、
− 前記第2エンローリ公開キーを、前記第1共有キーを用いてコード化し、
− 前記コード化された第2エンローリ公開キー及び前記第1エンローリ公開キーを含むネットワークアクセス要求を前記セキュリティプロトコルに従って発生し、
− 前記ネットワークアクセス要求を、前記エンローリ無線通信ユニットを介して前記コンフィギュレータに伝送する、
ように構成されたエンローリプロセッサを有し、
前記コンフィギュレータは、
− 前記エンローリから、前記無線通信を介して前記ネットワークアクセス要求を受信し、
− 前記第1共有キーを、前記ネットワーク秘密キー及び前記第1エンローリ公開キーに基づいて導出し、
− 前記コード化された第2エンローリ公開キーを、前記第1共有キーを用いて復号し、
− 前記コード化された第2エンローリ公開キーが前記第1共有キーによりコード化されたものであるかを検証し、もしそうなら、
− セキュリティデータを、前記第2エンローリ公開キー及び前記コンフィギュレータ秘密キーを用いて発生し、
− 第2共有キーを、前記第1エンローリ公開キー、前記第2エンローリ公開キー及び前記ネットワーク秘密キーに基づいて導出し、
− 前記第2共有キーを用いて、前記セキュリティデータ及び前記コンフィギュレータ公開キーのうちの少なくとも一方を暗号的に保護し、
− 前記保護されたセキュリティデータ及び保護されたコンフィギュレータ公開キーのうちの少なくとも一方を含むネットワークアクセスメッセージを前記セキュリティプロトコルに従って発生する、
ように構成されたコンフィギュレータプロセッサを有し、
前記エンローリプロセッサは、更に、
− 前記コンフィギュレータから前記エンローリ無線通信を介して前記ネットワークアクセスメッセージを受信し、
− 前記第2共有キーを、前記第1エンローリ秘密キー、前記第2エンローリ秘密キー及び前記ネットワーク公開キーに基づいて導出し、
− 前記保護されたセキュリティデータ及び保護されたコンフィギュレータ公開キーのうちの少なくとも一方が前記第2共有キーにより暗号的に保護されたものであるかを検証し、もしそうなら、
− 前記セキュア通信を、前記第2エンローリ秘密キー及び前記セキュリティデータに基づいて行う、
ように構成される。
− 前記第1共有キーを、前記ネットワーク秘密キー及び前記第1エンローリ公開キーに基づいて導出し、
− 前記コード化された第2エンローリ公開キーを、前記第1共有キーを用いて復号し、
− 前記コード化された第2エンローリ公開キーが前記第1共有キーによりコード化されたものであるかを検証し、もしそうなら、
− 前記セキュリティデータを、前記第2エンローリ公開キー及び前記コンフィギュレータ秘密キーを用いて発生し、
− 前記第2共有キーを、前記第1エンローリ公開キー、前記第2エンローリ公開キー及び前記ネットワーク秘密キーに基づいて導出し、
− 前記第2共有キーを用いて、前記セキュリティデータ及び前記コンフィギュレータ公開キーのうちの少なくとも一方を暗号的に保護し、
− 前記ネットワークアクセスメッセージを前記セキュリティプロトコルに従って発生する、
ように構成される。
無線通信のために配設されるエンローリ無線通信ユニットと、
前記領域内で供給されると共に前記ネットワーク公開キーを表すデータパターンを、帯域外チャンネルを介して取得するように構成されたエンローリセンサと、
前記第1エンローリ公開キー及び対応する第1エンローリ秘密キーを有すると共に前記第2エンローリ公開キー及び対応する第2エンローリ秘密キーを有するように構成されたメモリを備えるエンローリプロセッサと、を有する。前記エンローリプロセッサは、
− 前記第1共有キーを、前記ネットワーク公開キー及び前記第1エンローリ秘密キーに基づいて導出し、
− 前記第2エンローリ公開キーを、前記第1共有キーを用いてコード化し、
− 前記コード化された第2エンローリ公開キー及び前記第1エンローリ公開キーを含む前記ネットワークアクセス要求を前記セキュリティプロトコルに従って発生し、
− 前記ネットワークアクセス要求を、前記エンローリ無線通信ユニットを介して前記コンフィギュレータ装置に伝送する、
ように構成される。該エンローリプロセッサは、更に、
− 前記コンフィギュレータから前記エンローリ無線通信ユニットを介して前記ネットワークアクセスメッセージを受信し、
− 前記第2共有キーを、前記第1エンローリ秘密キー、前記第2エンローリ秘密キー及び前記ネットワーク公開キーに基づいて導出し、
− 前記保護されたセキュリティデータ及び保護されたコンフィギュレータ公開キーのうちの少なくとも一方が前記第2共有キーにより暗号的に保護されたものであるかを検証し、もしそうなら、
− 前記セキュア通信を、前記第2エンローリ秘密キー及び前記セキュリティデータに基づいて行う、
ように構成される。
− 前記第1エンローリ公開キー及び対応する第1エンローリ秘密キー並びに前記第2エンローリ公開キー及び対応する第2エンローリ秘密キーを記憶するステップと、
− 前記領域内で供給されると共に前記ネットワーク公開キーを表すデータパターンを、帯域外チャンネルを介して取得するステップと、
− 前記第1共有キーを、前記ネットワーク公開キー及び前記第1エンローリ秘密キーに基づいて導出するステップと、
− 前記第2エンローリ公開キーを、前記第1共有キーを用いてコード化するステップと、
− 前記コード化された第2エンローリ公開キー及び前記第1エンローリ公開キーを含むネットワークアクセス要求を前記セキュリティプロトコルに従って発生するステップと、
− 前記ネットワークアクセス要求を、前記エンローリ無線通信ユニットを介して前記コンフィギュレータ装置に伝送するステップと、
を有する。
− 前記コンフィギュレータから前記ネットワークアクセスメッセージを受信するステップと、
− 前記第2共有キーを、前記第1エンローリ秘密キー、前記第2エンローリ秘密キー及び前記ネットワーク公開キーに基づいて導出するステップと、
− 前記保護されたセキュリティデータ及び保護されたコンフィギュレータ公開キーのうちの少なくとも一方が前記第2共有キーにより暗号的に保護されたものであるかを検証するステップと、もしそうなら、
− 前記セキュア通信を、前記第2エンローリ秘密キー及び前記セキュリティデータに基づいて行うステップと、
を有する。
− 前記コンフィギュレータ装置のために前記コンフィギュレータ公開キー及び対応するコンフィギュレータ秘密キーを、前記ネットワークシステムのために前記ネットワーク公開キー及び対応するネットワーク秘密キーを記憶するステップと、
− 前記エンローリ装置から、前記コード化された第2エンローリ公開キー及び第1エンローリ公開キーを含む前記ネットワークアクセス要求を前記セキュリティプロトコルに従って受信するステップと、
− 第1共有キーを、前記ネットワーク秘密キー及び前記第1エンローリ公開キーに基づいて導出するステップと、
− 前記コード化された第2エンローリ公開キーを、前記第1共有キーを用いて復号するステップと、
− 前記コード化された第2エンローリ公開キーが前記第1共有キーによりコード化されたものであるかを検証するステップと、もしそうなら、
− 前記セキュリティデータを、前記第2エンローリ公開キー及び前記コンフィギュレータ秘密キーを用いて発生するステップと、
− 前記第2共有キーを、前記第1エンローリ公開キー、前記第2エンローリ公開キー及び前記ネットワーク秘密キーに基づいて導出するステップと、
− 前記第2共有キーを用いて、前記セキュリティデータ及び前記コンフィギュレータ公開キーのうちの少なくとも一方を暗号的に保護するステップと、
− 前記ネットワークアクセスメッセージを前記セキュリティプロトコルに従って発生するステップと、
を有する。
当該メッセージにおけるH(CI)は、コンフィギュレータ公開キー等のコンフィギュレータIDデータに対するハッシュである;
{Information}kは、キーkで暗号化された情報を示す;
[Info]はオプションの情報を示す;
メッセージ内のEEは、第1エンローリ公開キーである;
第1メッセージ内のENは、第2エンローリ公開キーである;
E-Attributesは、必要とされるネットワークアクセスを定義するデータである;
K1は、ネットワーク公開キー及び第1エンローリ秘密キーに基づく第1共有キーである;
K2は、第1エンローリ公開キー、第2エンローリ公開キー及びネットワーク秘密キーに基づく第2共有キーである;
E-nonceは、エンローリにより供給されるノンスである;
C-nameは、コンフィギュレータにより供給される名前である;
C-sign-keyは、公開署名キーのコンフィギュレータ参照情報又はコンフィギュレータ公開署名キー自体である;
SecurityData(セキュリティデータ)は、エンローリの署名された公開キーEN、Wi-Fi(登録商標)パスフレーズ等であり得る。
− コンフィギュレータ(230);
− コンフィギュレータ公開暗号化情報(CI);
− コンフィギュレータ秘密暗号化情報(CIpr);
− 第1認可情報(C-testdata);
− 暗号化された第1認可情報({C-testdata});
− 第2認可情報(E-testdata);
− 暗号化された第2認可情報({E-testdata});
− 無線出力手段(240’);
− エンローリ(210);
− 入力手段(113);
− エンローリ公開ネットワークアクセス暗号化情報(EN);
− エンローリ秘密ネットワークアクセス暗号化情報(ENpr);
− 暗号化されたエンローリ公開ネットワークアクセス暗号化情報({EN});
− エンローリ公開一時暗号化情報(EE);
− エンローリ秘密一時暗号化情報(EEpr);
− 第2エンローリ(120);
− 第1の署名されたネットワークアクセス情報(セキュリティデータ:SecurityData);
− 第1共有キー(k1);
− 第2共有キー(k2);
− 第2の署名されたネットワークアクセス情報(セキュリティデータ2:SecurityData2);
− 無線通信(150,150’)。
・ エンローリ公開一時暗号化情報EE及び関連するエンローリ秘密一時暗号化情報EEprを発生し、
・ 第1共有キーk1を、少なくともコンフィギュレータ公開暗号化情報CI及びエンローリ秘密一時暗号化情報EEprを用いて計算し、
・ エンローリ公開ネットワークアクセス暗号化情報ENを第1共有キーk1で暗号化して、暗号化されたエンローリ公開ネットワークアクセス暗号化情報({EN})を形成し、
・ エンローリ公開一時暗号化情報EEを該暗号化されたエンローリ公開ネットワークアクセス暗号化情報({EN})と共に、無心通信を介してコンフィギュレータ230に送信する、
ように構成される。
・ コンフィギュレータ230から、無線通信を介して、暗号化された第1認可情報({C-testdata})を受信し、
・ 第2共有キーk2を、少なくともコンフィギュレータ公開暗号化情報CI、エンローリ秘密一時暗号化情報EEpr及びエンローリ秘密ネットワークアクセス暗号化情報ENprを用いて計算し、
・ コンフィギュレータ230からの暗号化された第1認可情報({C-testdata})を解読して、第1認可情報(C-testdata)を得、
・ 第1認可情報(C-testdata)を得る処理がエラーを検出した場合は、当該手続きを中止する、
ように構成することができる。
・ 第2認可情報(E-testdata)を発生し、
・ 第2認可情報(E-testdata)を第2共有キーk2で暗号化して、暗号化された第2認可情報({E-testdata})を形成し、
・ 暗号化された第2認可情報({E-testdata})を、無線通信を介してコンフィギュレータ230に送信する、
ように構成することができる。
・ 暗号化された必要とされる構成情報({E-attributes})を、無線通信を介してコンフィギュレータ230に送信する、
ように構成することができる。
・ コンフィギュレータ230から無線通信を介して第1の署名されたネットワークアクセス情報(SecurityData)を受信し、
・ 第1の署名されたネットワークアクセス情報(SecurityData)が正しく署名されていない場合は、当該手順を中止する、
ように構成することができる。
・ 第2の署名されたネットワークアクセス情報(SecurityData2)を第2エンローリ120から受信し、
・ 第2エンローリ120とのセキュア通信を、第1の署名されたネットワークアクセス情報(SecurityData)及び第2の署名されたネットワークアクセス情報(SecurityData2)並びに、恐らくは、自身の秘密ネットワークアクセス暗号化情報ENprを用いて設定するように構成することができる。
・ エンローリ210から無線通信を介して、エンローリ公開一時暗号化情報EEを暗号化されたエンローリ公開ネットワークアクセス暗号化情報({EN})と共に受信し、
・ 第1共有キーk1を、少なくともコンフィギュレータ秘密暗号化情報CIpr及びエンローリ公開一時暗号化情報EEを用いて計算し、
・ 暗号化されたエンローリ公開ネットワークアクセス暗号化情報({EN})を第1共有キーk1で解読して、エンローリ公開ネットワークアクセス暗号化情報ENを得、
・ エンローリ公開ネットワークアクセス暗号化情報ENを得る処理がエラーを検出したら、当該手順を中止し、
・ 第1認可情報(C-testdata)を発生し、
・ 第2共有キーk2を、少なくともコンフィギュレータ秘密暗号化情報CIpr、エンローリ公開一時暗号化情報EE及びエンローリ公開ネットワークアクセス暗号化情報ENを用いて計算し、
・ 第1認可情報(C-testdata)を暗号化して、暗号化された第1認可情報({C-testdata})を形成し、
・ 暗号化された第1認可情報({C-testdata})を、無線通信を介してエンローリ210に送信する、
ように構成される。
・ 暗号化された第2認可情報({E-testdata})を、無線通信を介してエンローリ210から受信し、
・ 暗号化された第2認可情報({E-testdata})を第2共有キーk2で解読して、第2認可情報(E-testdata)を得、
・ 第2認可情報(E-testdata)を得る処理がエラーを検出した場合は、当該手続きを中止する、
ように構成することができる。
・ エンローリ公開ネットワークアクセス暗号化情報ENにデジタル的に署名し、
・ デジタル的に署名されたエンローリ公開ネットワークアクセス暗号化情報ENを用いて、第1の署名されたネットワークアクセス情報(SecurityData)を形成し、
・ 第1の署名されたネットワークアクセス情報(SecurityData)を、無線通信を介してエンローリ210に送信する、
ように構成することができる。
最初の3つのメッセージは認証を提供し、第4及び第5メッセージはネットワークアクセス事前設定を行う。
として当該無線通信を介してエンローリから前記ネットワークアクセス要求を受信するステップを含む。次のステージD_D_K1 803においては、第1共有キーがネットワーク秘密キー及び第1エンローリ公開キーに基づいて導出される。また、前記コード化された第2エンローリ公開キーも第1共有キーを用いて復号される。次のステージV_K1 804においては、上記コード化された第2エンローリ公開キーが第1共有キーによりコード化されたものであるかが検証される。該保護が正しくない場合、当該方法は開始801に戻る。正しい場合は、次のステージGSD 805において、セキュリティデータが第2エンローリ公開キー及びコンフィギュレータ秘密キーを用いて発生される。次のステージD_P_K2 806においては、第2共有キーが第1エンローリ公開キー、第2エンローリ公開キー及びネットワーク秘密キーに基づいて導出される。また、セキュリティデータ及びコンフィギュレータ公開キーの少なくとも一方も、第2共有キーを用いて暗号的に保護される。次いで、次のステージG_MAN 807において、ネットワークアクセスメッセージが当該セキュリティプロトコルに従って発生される。該ネットワークアクセスメッセージは、保護されたセキュリティデータ及び保護されたコンフィギュレータ公開キーの少なくとも一方を含む。当該方法は、ノードEND 808で停止する。
Claims (21)
- 領域内のネットワーク装置間の無線通信のための且つセキュリティプロトコルによるセキュア通信のためのネットワークシステムにおいて使用するエンローリ装置であって、
前記ネットワークシステムは、
ネットワークへのアクセスを得るために前記セキュリティプロトコルに従って前記エンローリ装置として動作するネットワーク装置と、
前記エンローリ装置による前記ネットワークへのアクセスを可能にするために前記セキュリティプロトコルに従ってコンフィギュレータ装置として動作するネットワーク装置と、
を有し、
前記コンフィギュレータ装置は、
前記エンローリ装置から、コード化された第2エンローリ公開キー及び第1エンローリ公開キーを含むネットワークアクセス要求を、前記セキュリティプロトコルに従って受信するコンフィギュレータ通信ユニットと、
前記コンフィギュレータ装置のためにコンフィギュレータ公開キー及び対応するコンフィギュレータ秘密キーを有すると共に、前記ネットワークシステムのためにネットワーク公開キー及び対応するネットワーク秘密キーを有するメモリを備えた、コンフィギュレータプロセッサと、
を有し、
前記コンフィギュレータプロセッサは、
第1共有キーを、前記ネットワーク秘密キー及び前記第1エンローリ公開キーに基づいて導出し、
前記コード化された第2エンローリ公開キーを、前記第1共有キーを用いて復号し、
前記コード化された第2エンローリ公開キーが前記第1共有キーによりコード化されたものであるかを検証し、もしそうなら、
セキュリティデータを、前記第2エンローリ公開キー及び前記コンフィギュレータ秘密キーを用いて発生し、
第2共有キーを、前記第1エンローリ公開キー、前記第2エンローリ公開キー及び前記ネットワーク秘密キーに基づいて導出し、
前記第2共有キーを用いて、前記セキュリティデータ及び前記コンフィギュレータ公開キーのうちの少なくとも一方を暗号的に保護し、
保護された前記セキュリティデータ及び保護された前記コンフィギュレータ公開キーのうちの少なくとも一方を含むネットワークアクセスメッセージを前記セキュリティプロトコルに従って発生し、
前記エンローリ装置は、
無線通信のためのエンローリ無線通信ユニットと、
前記領域内で供給されると共に前記ネットワーク公開キーを表すデータパターンを、帯域外チャンネルを介して取得するエンローリセンサと、
前記第1エンローリ公開キー及び対応する第1エンローリ秘密キーを有すると共に、前記第2エンローリ公開キー及び対応する第2エンローリ秘密キーを有するメモリを備えた、エンローリプロセッサと、
を有し、
前記エンローリプロセッサは、
前記第1共有キーを、前記ネットワーク公開キー及び前記第1エンローリ秘密キーに基づいて導出し、
前記第2エンローリ公開キーを、前記第1共有キーを用いてコード化し、
前記コード化された第2エンローリ公開キー及び前記第1エンローリ公開キーを含むネットワークアクセス要求を前記セキュリティプロトコルに従って発生し、
前記ネットワークアクセス要求を、前記エンローリ無線通信ユニットを介して前記コンフィギュレータ装置に伝送し、
前記エンローリプロセッサは、更に、
前記コンフィギュレータ装置から前記エンローリ無線通信ユニットを介して前記ネットワークアクセスメッセージを受信し、
前記第2共有キーを、前記第1エンローリ秘密キー、前記第2エンローリ秘密キー及び前記ネットワーク公開キーに基づいて導出し、
前記保護されたセキュリティデータ及び保護されたコンフィギュレータ公開キーのうちの少なくとも一方が前記第2共有キーにより暗号的に保護されたものであるかを検証し、もしそうなら、
前記セキュア通信を、前記第2エンローリ秘密キー及び前記セキュリティデータに基づいて行う、
エンローリ装置。 - 前記エンローリプロセッサが、前記第1エンローリ公開キー及び前記対応する第1エンローリ秘密キーを構成する、一時エンローリ公開キー及び対応する一時エンローリ秘密キーを発生し、及び/又は
前記エンローリプロセッサが、前記第2エンローリ公開キー及び前記対応する第2エンローリ秘密キーを構成する、他の一時エンローリ公開キー及び対応する他の一時エンローリ秘密キーを発生する、
請求項1に記載のエンローリ装置。 - 前記コンフィギュレータプロセッサが、更に、
コンフィギュレータセッションキーを供給すると共に該コンフィギュレータセッションキーを前記エンローリ装置に伝送する、
ことにより前記セキュリティデータを発生し、
前記エンローリプロセッサが、更に、
前記コンフィギュレータセッションキーを受信し、
該コンフィギュレータセッションキーに基づいて前記セキュア通信を行う、
請求項1又は請求項2に記載のエンローリ装置。 - 前記コンフィギュレータプロセッサが、更に、
コンフィギュレータセッション公開キー及び対応するコンフィギュレータセッション秘密キーを発生し、
第3共有キーを、前記コンフィギュレータセッション秘密キー及び前記第2エンローリ公開キーに基づいて導出し、
前記コンフィギュレータセッション公開キーを前記エンローリ装置に伝送し、
前記エンローリプロセッサが、更に、
前記コンフィギュレータセッション公開キーを受信し、
前記第3共有キーを、前記第2エンローリ秘密キー及び前記コンフィギュレータセッション公開キーに基づいて導出し、
前記第3共有キーに基づいてセキュア通信を行う、
請求項1ないし3の何れか一項に記載のエンローリ装置。 - 前記ネットワークシステムは他のネットワーク装置を有し、該他のネットワーク装置は、
前記第2エンローリ公開キー及び前記セキュリティデータを受信し、
セッションネットワーク公開キー及び対応するセッションネットワーク秘密キーを供給し、
第5共有キーを前記セッションネットワーク秘密キー及び前記第2エンローリ公開キーに基づいて導出すると共に、前記セッションネットワーク公開キーを前記エンローリ装置に伝送し、
前記エンローリプロセッサは、更に、
前記セッションネットワーク公開キーを受信し、
第5共有キーを前記第2エンローリ秘密キー及び前記セッションネットワーク公開キーに基づいて導出し、
該第5共有キーに基づいて、前記他のネットワーク装置との通信を安全に行う、
請求項1ないし4の何れか一項に記載のエンローリ装置。 - 前記コンフィギュレータプロセッサが、更に、
前記第2エンローリ公開キーに前記コンフィギュレータ秘密キーでデジタル的に署名することにより、デジタル署名を有する前記セキュリティデータを発生し、
前記デジタル署名を第3装置及び/又は前記エンローリ装置に伝送して、該エンローリ装置と前記第3装置との間のセキュア通信を可能にし、
前記エンローリプロセッサが、更に、
前記デジタル署名を受信し、
該デジタル署名及び前記コンフィギュレータ公開キーに基づいて、前記第2エンローリ公開キーが正しく署名されたものであるかを検証し、もしそうなら、
前記第2エンローリ秘密キーに基づいて前記セキュア通信を行う、
請求項1ないし5の何れか一項に記載のエンローリ装置。 - 前記ネットワークシステムは他のネットワーク装置を有し、該他のネットワーク装置は、
前記コンフィギュレータ公開キーを取得し、
前記デジタル署名及び前記第2エンローリ公開キーを受信し、
前記デジタル署名及び前記コンフィギュレータ公開キーに基づいて、前記第2エンローリ公開キーが正しく署名されたものであるかを検証し、もしそうなら、
前記第2エンローリ公開キーに基づいて、前記エンローリ装置との前記セキュア通信を行う、
請求項6に記載のエンローリ装置。 - 前記コンフィギュレータプロセッサが、更に、他のネットワーク装置の他の公開キーに前記コンフィギュレータ秘密キーでデジタル的に署名することにより、他のデジタル署名を有する他のセキュリティデータを発生し、
前記エンローリプロセッサが、更に、
前記他の公開キー及び前記他のデジタル署名を受信し、
前記他のデジタル署名及び前記コンフィギュレータ公開キーに基づいて、前記他の公開キーが正しく署名されたものであるかを検証し、もしそうなら、
前記第2エンローリ秘密キー及び前記他の公開キーを用いて、前記他のネットワーク装置と安全に通信する、
ことにより前記他のセキュリティデータを使用する、
請求項1ないし7の何れか一項に記載のエンローリ装置。 - 前記コンフィギュレータプロセッサが、更に、
コード化されたエンローリテストデータを、前記第2共有キーを用いて復号し、
前記エンローリテストデータが、前記エンローリ装置において前記第2共有キーによりコード化されたものであるかを検証し、
前記エンローリプロセッサが、更に、
前記エンローリテストデータを発生し、
該エンローリテストデータを、前記第2共有キーを用いてコード化し、
該コード化されたエンローリテストデータを前記コンフィギュレータ装置に伝送する、
請求項1ないし8の何れか一項に記載のエンローリ装置。 - 前記コンフィギュレータプロセッサが、更に、
コンフィギュレータテストデータを発生し、
該コンフィギュレータテストデータを、前記第2共有キーを用いてコード化し、
該コード化されたコンフィギュレータテストデータを前記エンローリ装置に伝送し、
前記エンローリプロセッサが、更に、
前記コード化されたコンフィギュレータテストデータを、前記第2共有キーを用いて復号し、
該コンフィギュレータテストデータが前記コンフィギュレータ装置において前記第2共有キーによりコード化されたものであるかを検証する、
請求項1ないし9の何れか一項に記載のエンローリ装置。 - 領域内のネットワーク装置間の無線通信のための且つセキュリティプロトコルによるセキュア通信のためのネットワークシステムの作動方法であって、
前記ネットワークシステムは、
ネットワークへのアクセスを得るために前記セキュリティプロトコルに従ってエンローリ装置として動作するために当該エンローリ用方法を実行するネットワーク装置と、
前記エンローリ装置による前記ネットワークへのアクセスを可能にするために前記セキュリティプロトコルに従ってコンフィギュレータ装置として動作するネットワーク装置と、
を有し、
前記コンフィギュレータ装置は、
前記エンローリ装置から、コード化された第2エンローリ公開キー及び第1エンローリ公開キーを含むネットワークアクセス要求を、前記セキュリティプロトコルに従って受信するコンフィギュレータ通信ユニットと、
前記コンフィギュレータ装置のためにコンフィギュレータ公開キー及び対応するコンフィギュレータ秘密キーを有すると共に、前記ネットワークシステムのためにネットワーク公開キー及び対応するネットワーク秘密キーを有するメモリを備えた、コンフィギュレータプロセッサと、
を有し、
前記コンフィギュレータプロセッサは、
第1共有キーを、前記ネットワーク秘密キー及び前記第1エンローリ公開キーに基づいて導出し、
前記コード化された第2エンローリ公開キーを、前記第1共有キーを用いて復号し、
前記コード化された第2エンローリ公開キーが前記第1共有キーによりコード化されたものであるかを検証し、もしそうなら、
セキュリティデータを、前記第2エンローリ公開キー及び前記コンフィギュレータ秘密キーを用いて発生し、
第2共有キーを、前記第1エンローリ公開キー、前記第2エンローリ公開キー及び前記ネットワーク秘密キーに基づいて導出し、
前記第2共有キーを用いて、前記セキュリティデータ及び前記コンフィギュレータ公開キーのうちの少なくとも一方を暗号的に保護し、
保護された前記セキュリティデータ及び保護された前記コンフィギュレータ公開キーのうちの少なくとも一方を含むネットワークアクセスメッセージを前記セキュリティプロトコルに従って発生し、
前記ネットワークシステムの作動方法は、
前記エンローリ装置のエンローリプロセッサが、前記第1エンローリ公開キー及び対応する第1エンローリ秘密キー、並びに、前記第2エンローリ公開キー及び対応する第2エンローリ秘密キーを前記エンローリプロセッサのメモリに記憶するステップと、
前記エンローリ装置のエンローリセンサが、前記領域内で供給されると共に前記ネットワーク公開キーを表すデータパターンを、帯域外チャンネルを介して取得するステップと、
前記エンローリプロセッサが、前記第1共有キーを、前記ネットワーク公開キー及び前記第1エンローリ秘密キーに基づいて導出するステップと、
前記エンローリプロセッサが、前記第2エンローリ公開キーを、前記第1共有キーを用いてコード化するステップと、
前記エンローリプロセッサが、前記コード化された第2エンローリ公開キー及び前記第1エンローリ公開キーを含むネットワークアクセス要求を前記セキュリティプロトコルに従って発生するステップと、
前記エンローリプロセッサが、前記ネットワークアクセス要求を、前記エンローリ無線通信ユニットを介して前記コンフィギュレータ装置に伝送するステップと、
前記エンローリプロセッサが、前記コンフィギュレータ装置から前記ネットワークアクセスメッセージを受信するステップと、
前記エンローリプロセッサが、前記第2共有キーを、前記第1エンローリ秘密キー、前記第2エンローリ秘密キー及び前記ネットワーク公開キーに基づいて導出するステップと、
前記エンローリプロセッサが、前記保護されたセキュリティデータ及び前記保護されたコンフィギュレータ公開キーのうちの少なくとも一方が前記第2共有キーにより暗号的に保護されたものであるかを検証するステップと、もしそうなら、
前記エンローリプロセッサが、前記セキュア通信を、前記第2エンローリ秘密キー及び前記セキュリティデータに基づいて行うステップと、
を有する、ネットワークシステムの作動方法。 - 領域内のネットワーク装置間の無線通信のための且つセキュリティプロトコルによるセキュア通信のためのネットワークシステムの作動方法であって、
前記ネットワークシステムは、
ネットワークへのアクセスを得るために前記セキュリティプロトコルに従ってエンローリ装置として動作するネットワーク装置と、
前記エンローリ装置による前記ネットワークへのアクセスを可能にするために前記セキュリティプロトコルに従ってコンフィギュレータ装置として動作するために、当該コンフィギュレータ用方法を実行するネットワーク装置と、
を有し、
前記エンローリ装置は、
無線通信のためのエンローリ無線通信ユニットと、
前記領域内で供給されると共にネットワーク公開キーを表すデータパターンを、帯域外チャンネルを介して取得するエンローリセンサと、
第1エンローリ公開キー及び対応する第1エンローリ秘密キーを有すると共に、第2エンローリ公開キー及び対応する第2エンローリ秘密キーを有するメモリを備えた、エンローリプロセッサと、
を有し、
前記エンローリプロセッサは、
第1共有キーを、前記ネットワーク公開キー及び前記第1エンローリ秘密キーに基づいて導出し、
前記第2エンローリ公開キーを、前記第1共有キーを用いてコード化し、
前記コード化された第2エンローリ公開キー及び前記第1エンローリ公開キーを含むネットワークアクセス要求を前記セキュリティプロトコルに従って発生し、
前記ネットワークアクセス要求を、前記エンローリ無線通信ユニットを介して前記コンフィギュレータ装置に伝送し、
前記エンローリプロセッサは、更に、
前記コンフィギュレータ装置から前記エンローリ無線通信ユニットを介して、保護されたセキュリティデータ及び保護されたコンフィギュレータ公開キーのうちの少なくとも一方を含むネットワークアクセスメッセージを受信し、
第2共有キーを、前記第1エンローリ秘密キー、前記第2エンローリ秘密キー及び前記ネットワーク公開キーに基づいて導出し、
保護された前記セキュリティデータ及び保護された前記コンフィギュレータ公開キーのうちの少なくとも一方が前記第2共有キーにより暗号的に保護されたものであるかを検証し、もしそうなら、
前記セキュア通信を、前記第2エンローリ秘密キー及び前記セキュリティデータに基づいて行い、
前記ネットワークシステムの作動方法は、
前記コンフィギュレータ装置のコンフィギュレータプロセッサが、前記コンフィギュレータ装置のために前記コンフィギュレータ公開キー及び対応するコンフィギュレータ秘密キーを記憶すると共に、前記ネットワークシステムのために前記ネットワーク公開キー及び対応するネットワーク秘密キーを前記コンフィギュレータプロセッサのメモリに記憶するステップと、
前記コンフィギュレータ装置のコンフィギュレータ通信ユニットが、前記エンローリ装置から、前記コード化された第2エンローリ公開キー及び第1エンローリ公開キーを含む前記ネットワークアクセス要求を、前記セキュリティプロトコルに従って受信するステップと、
前記コンフィギュレータプロセッサが、第1共有キーを、前記ネットワーク秘密キー及び前記第1エンローリ公開キーに基づいて導出するステップと、
前記コンフィギュレータプロセッサが、前記コード化された第2エンローリ公開キーを、前記第1共有キーを用いて復号するステップと、
前記コンフィギュレータプロセッサが、前記コード化された第2エンローリ公開キーが前記第1共有キーによりコード化されたものであるかを検証するステップと、もしそうなら、
前記コンフィギュレータプロセッサが、前記セキュリティデータを、前記第2エンローリ公開キー及び前記コンフィギュレータ秘密キーを用いて発生するステップと、
前記コンフィギュレータプロセッサが、前記第2共有キーを、前記第1エンローリ公開キー、前記第2エンローリ公開キー及び前記ネットワーク秘密キーに基づいて導出するステップと、
前記コンフィギュレータプロセッサが、前記第2共有キーを用いて、前記セキュリティデータ及び前記コンフィギュレータ公開キーのうちの少なくとも一方を暗号的に保護するステップと、
前記コンフィギュレータプロセッサが、前記ネットワークアクセスメッセージを前記セキュリティプロトコルに従って発生するステップと、
を有する、ネットワークシステムの作動方法。 - 領域内のネットワーク装置間の無線通信のための且つセキュリティプロトコルによるセキュア通信のためのネットワークシステムにおいて使用するコンフィギュレータ装置であって、
前記ネットワークシステムは、
ネットワークへのアクセスを得るために前記セキュリティプロトコルに従ってエンローリ装置として動作するネットワーク装置と、
前記エンローリ装置による前記ネットワークへのアクセスを可能にするために前記セキュリティプロトコルに従ってコンフィギュレータ装置として動作するネットワーク装置と、
を有し、
前記エンローリ装置は、
無線通信のためのエンローリ無線通信ユニットと、
前記領域内で供給されると共にネットワーク公開キーを表すデータパターンを、帯域外チャンネルを介して取得するエンローリセンサと、
第1エンローリ公開キー及び対応する第1エンローリ秘密キーを有すると共に、第2エンローリ公開キー及び対応する第2エンローリ秘密キーを有するメモリを備えた、エンローリプロセッサと、
を有し、
前記エンローリプロセッサは、
第1共有キーを、前記ネットワーク公開キー及び前記第1エンローリ秘密キーに基づいて導出し、
前記第2エンローリ公開キーを、前記第1共有キーを用いてコード化し、
前記コード化された第2エンローリ公開キー及び前記第1エンローリ公開キーを含むネットワークアクセス要求を前記セキュリティプロトコルに従って発生し、
前記ネットワークアクセス要求を、前記エンローリ無線通信ユニットを介して前記コンフィギュレータ装置に伝送し、
前記エンローリプロセッサは、更に、
前記コンフィギュレータ装置から前記エンローリ無線通信ユニットを介して、保護されたセキュリティデータ及び保護されたコンフィギュレータ公開キーのうちの少なくとも一方を含むネットワークアクセスメッセージを受信し、
第2共有キーを、前記第1エンローリ秘密キー、前記第2エンローリ秘密キー及び前記ネットワーク公開キーに基づいて導出し、
保護された前記セキュリティデータ及び保護された前記コンフィギュレータ公開キーのうちの少なくとも一方が前記第2共有キーにより暗号的に保護されたものであるかを検証し、もしそうなら、
前記セキュア通信を、前記第2エンローリ秘密キー及び前記セキュリティデータに基づいて行い、
当該コンフィギュレータ装置は、
前記エンローリ装置から、前記コード化された第2エンローリ公開キー及び第1エンローリ公開キーを含む前記ネットワークアクセス要求を、前記セキュリティプロトコルに従って受信するコンフィギュレータ通信ユニットと、
前記コンフィギュレータ装置のために前記コンフィギュレータ公開キー及び対応するコンフィギュレータ秘密キーを有すると共に、前記ネットワークシステムのために前記ネットワーク公開キー及び対応するネットワーク秘密キーを有するメモリを備えた、コンフィギュレータプロセッサと、
を有し、
該コンフィギュレータプロセッサは、
前記第1共有キーを、前記ネットワーク秘密キー及び前記第1エンローリ公開キーに基づいて導出し、
前記コード化された第2エンローリ公開キーを、前記第1共有キーを用いて復号し、
前記コード化された第2エンローリ公開キーが前記第1共有キーによりコード化されたものであるかを検証し、もしそうなら、
前記セキュリティデータを、前記第2エンローリ公開キー及び前記コンフィギュレータ秘密キーを用いて発生し、
前記第2共有キーを、前記第1エンローリ公開キー、前記第2エンローリ公開キー及び前記ネットワーク秘密キーに基づいて導出し、
前記第2共有キーを用いて、前記セキュリティデータ及び前記コンフィギュレータ公開キーのうちの少なくとも一方を暗号的に保護し、
前記ネットワークアクセスメッセージを前記セキュリティプロトコルに従って発生する、
コンフィギュレータ装置。 - 前記コンフィギュレータプロセッサが、前記ネットワーク公開キー及び前記対応するネットワーク秘密キーを構成する、一時ネットワーク公開キー及び対応する一時ネットワーク秘密キーを発生する、請求項13に記載のコンフィギュレータ装置。
- 前記エンローリプロセッサが、更に、
コンフィギュレータセッション公開キーを受信し、
第3共有キーを、前記第2エンローリ秘密キー及び前記コンフィギュレータセッション公開キーに基づいて導出し、
前記第3共有キーに基づいてセキュア通信を行い、
前記コンフィギュレータプロセッサが、更に、
前記コンフィギュレータセッション公開キー及び対応するコンフィギュレータセッション秘密キーを発生し、
第3共有キーを、前記コンフィギュレータセッション秘密キー及び前記第2エンローリ公開キーに基づいて導出し、
前記コンフィギュレータセッション公開キーを前記エンローリ装置に伝送する、
請求項13又は請求項14に記載のコンフィギュレータ装置。 - 前記コンフィギュレータプロセッサが、更に、
前記第2エンローリ公開キーに前記コンフィギュレータ秘密キーでデジタル的に署名することにより、デジタル署名を有する前記セキュリティデータを発生し、
前記デジタル署名を第3装置及び/又は前記エンローリに伝送して、該エンローリ装置と前記第3装置との間のセキュア通信を可能にする、
請求項13ないし15の何れか一項に記載のコンフィギュレータ装置。 - 前記エンローリプロセッサが、更に、
他の公開キー及び他のデジタル署名を受信し、
前記他のデジタル署名及び前記コンフィギュレータ公開キーに基づいて、前記他の公開キーが正しく署名されたものであるかを検証し、もしそうなら、
前記第2エンローリ秘密キー及び前記他の公開キーを用いて、他のネットワーク装置と安全に通信する、
ことにより他のセキュリティデータを使用し、
前記コンフィギュレータプロセッサが、更に、前記他のネットワーク装置の前記他の公開キーに前記コンフィギュレータ秘密キーでデジタル的に署名することにより、前記他のデジタル署名を有する前記他のセキュリティデータを発生する、
請求項13ないし16の何れか一項に記載のコンフィギュレータ装置。 - 前記エンローリプロセッサが、更に、
エンローリテストデータを発生し、
該エンローリテストデータを、前記第2共有キーを用いてコード化し、
該コード化されたエンローリテストデータを前記コンフィギュレータ装置に伝送し、
前記コンフィギュレータプロセッサが、更に、
前記コード化されたエンローリテストデータを、前記第2共有キーを用いて復号し、
前記エンローリテストデータが、前記エンローリ装置において前記第2共有キーによりコード化されたものであるかを検証する、
請求項13ないし17の何れか一項に記載のコンフィギュレータ装置。 - 前記エンローリプロセッサが、更に、
コード化されたコンフィギュレータテストデータを、前記第2共有キーを用いて復号し、
該コンフィギュレータテストデータが前記コンフィギュレータ装置において前記第2共有キーによりコード化されたものであるかを検証し、
前記コンフィギュレータプロセッサが、更に、
前記コンフィギュレータテストデータを発生し、
該コンフィギュレータテストデータを、前記第2共有キーを用いてコード化し、
該コード化されたコンフィギュレータテストデータを前記エンローリ装置に伝送する、
請求項13ないし18の何れか一項に記載のコンフィギュレータ装置。 - ネットワークからダウンロード可能な、並びに/又はコンピュータ読取可能な媒体及び/若しくはマイクロプロセッサ実行可能な媒体に記憶されたコンピュータプログラムであって、前記エンローリ装置のコンピュータ上で実行された場合に請求項11に記載の方法を実施するプログラムコード命令を有する、コンピュータプログラム。
- ネットワークからダウンロード可能な、並びに/又はコンピュータ読取可能な媒体及び/若しくはマイクロプロセッサ実行可能な媒体に記憶されたコンピュータプログラムであって、前記コンフィギュレータ装置のコンピュータ上で実行された場合に請求項12に記載の方法を実施するプログラムコード命令を有する、コンピュータプログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP15201664 | 2015-12-21 | ||
EP15201664.8 | 2015-12-21 | ||
PCT/EP2016/080161 WO2017108412A1 (en) | 2015-12-21 | 2016-12-08 | Network system for secure communication |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018538758A JP2018538758A (ja) | 2018-12-27 |
JP6517444B2 true JP6517444B2 (ja) | 2019-05-22 |
Family
ID=54979519
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018532365A Active JP6517444B2 (ja) | 2015-12-21 | 2016-12-08 | セキュア通信のためのネットワークシステム |
Country Status (10)
Country | Link |
---|---|
US (3) | US10887310B2 (ja) |
EP (1) | EP3395034B1 (ja) |
JP (1) | JP6517444B2 (ja) |
KR (1) | KR20180098589A (ja) |
CN (1) | CN108476205B (ja) |
BR (1) | BR112018012417A2 (ja) |
MY (1) | MY190785A (ja) |
RU (1) | RU2738808C2 (ja) |
TW (1) | TWI735493B (ja) |
WO (1) | WO2017108412A1 (ja) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10887310B2 (en) * | 2015-12-21 | 2021-01-05 | Koninklijke Philips N.V. | Network system for secure communication |
JP6766645B2 (ja) * | 2016-12-28 | 2020-10-14 | ブラザー工業株式会社 | 通信装置 |
KR102348078B1 (ko) * | 2018-01-12 | 2022-01-10 | 삼성전자주식회사 | 사용자 단말 장치, 전자 장치, 이를 포함하는 시스템 및 제어 방법 |
US11496322B2 (en) * | 2018-05-21 | 2022-11-08 | Entrust, Inc. | Identity management for software components using one-time use credential and dynamically created identity credential |
KR20210119975A (ko) * | 2019-01-10 | 2021-10-06 | 엠에이치엠 마이크로테크니크 에스에이알엘 | 네트워크 연결 가능한 감지 장치 |
US11128451B2 (en) * | 2019-03-25 | 2021-09-21 | Micron Technology, Inc. | Remotely managing devices using blockchain and DICE-RIoT |
CN110177088B (zh) * | 2019-05-08 | 2021-09-21 | 矩阵元技术(深圳)有限公司 | 一种临时身份认证方法、装置及系统 |
JP7406893B2 (ja) | 2019-10-16 | 2023-12-28 | キヤノン株式会社 | 通信装置、制御方法およびプログラム |
WO2021099561A1 (de) * | 2019-11-21 | 2021-05-27 | Inventio Ag | Verfahren zum sicheren datenkommunikation in einem rechnernetzwerk |
WO2021127666A1 (en) * | 2019-12-17 | 2021-06-24 | Microchip Technology Incorporated | Mutual authentication protocol for systems with low-throughput communication links, and devices for performing the same |
US11652616B2 (en) * | 2020-02-26 | 2023-05-16 | International Business Machines Corporation | Initializing a local key manager for providing secure data transfer in a computing environment |
US11184160B2 (en) | 2020-02-26 | 2021-11-23 | International Business Machines Corporation | Channel key loading in a computing environment |
CN115516892A (zh) * | 2020-05-01 | 2022-12-23 | 皇家飞利浦有限公司 | 在重新配置期间安全地改变密码强度 |
CN116847341A (zh) * | 2020-08-31 | 2023-10-03 | Oppo广东移动通信有限公司 | 一种网络连接方法及终端、待配网设备、存储介质 |
EP4228306A1 (en) * | 2022-02-14 | 2023-08-16 | Koninklijke Philips N.V. | Early indication for changing cryptographic strength during configuration |
TWI802443B (zh) * | 2022-06-16 | 2023-05-11 | 英業達股份有限公司 | 智能自動化配對同步測試系統及其方法 |
Family Cites Families (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7506370B2 (en) * | 2003-05-02 | 2009-03-17 | Alcatel-Lucent Usa Inc. | Mobile security architecture |
JP2005268931A (ja) * | 2004-03-16 | 2005-09-29 | Matsushita Electric Ind Co Ltd | 情報セキュリティ装置及び情報セキュリティシステム |
EP1762114B1 (en) * | 2004-05-24 | 2015-11-04 | Google, Inc. | Location based access control in a wireless network |
US8146142B2 (en) * | 2004-09-03 | 2012-03-27 | Intel Corporation | Device introduction and access control framework |
CN1668136A (zh) * | 2005-01-18 | 2005-09-14 | 中国电子科技集团公司第三十研究所 | 一种实现移动自组网络节点间安全通信的方法 |
KR100739809B1 (ko) * | 2006-08-09 | 2007-07-13 | 삼성전자주식회사 | Wpa-psk 환경의 무선 네트워크에서 스테이션을관리하는 방법 및 이를 위한 장치 |
US7499547B2 (en) * | 2006-09-07 | 2009-03-03 | Motorola, Inc. | Security authentication and key management within an infrastructure based wireless multi-hop network |
US8463238B2 (en) * | 2007-06-28 | 2013-06-11 | Apple Inc. | Mobile device base station |
US8201226B2 (en) * | 2007-09-19 | 2012-06-12 | Cisco Technology, Inc. | Authorizing network access based on completed educational task |
WO2010023506A1 (en) * | 2008-08-26 | 2010-03-04 | Nokia Corporation | Methods, apparatuses, computer program products, and systems for providing secure pairing and association for wireless devices |
CN102036242B (zh) * | 2009-09-29 | 2014-11-05 | 中兴通讯股份有限公司 | 一种移动通讯网络中的接入认证方法和系统 |
US8830866B2 (en) * | 2009-09-30 | 2014-09-09 | Apple Inc. | Methods and apparatus for solicited activation for protected wireless networking |
US9084110B2 (en) * | 2010-04-15 | 2015-07-14 | Qualcomm Incorporated | Apparatus and method for transitioning enhanced security context from a UTRAN/GERAN-based serving network to an E-UTRAN-based serving network |
JP5795055B2 (ja) * | 2010-04-15 | 2015-10-14 | クアルコム,インコーポレイテッド | セッション暗号化および完全性キーのために拡張セキュリティコンテキストを通知するための装置および方法 |
JP5506650B2 (ja) | 2010-12-21 | 2014-05-28 | 日本電信電話株式会社 | 情報共有システム、方法、情報共有装置及びそのプログラム |
IL213662A0 (en) * | 2011-06-20 | 2011-11-30 | Eliphaz Hibshoosh | Key generation using multiple sets of secret shares |
US9143402B2 (en) * | 2012-02-24 | 2015-09-22 | Qualcomm Incorporated | Sensor based configuration and control of network devices |
KR101942797B1 (ko) * | 2012-04-13 | 2019-01-29 | 삼성전자 주식회사 | 휴대단말들 간의 무선 랜 링크 형성 방법 및 시스템 |
MX346828B (es) * | 2012-10-15 | 2017-04-03 | Koninklijke Philips Nv | Sistema de comunicacion inalambrico. |
US9350550B2 (en) * | 2013-09-10 | 2016-05-24 | M2M And Iot Technologies, Llc | Power management and security for wireless modules in “machine-to-machine” communications |
US20150229475A1 (en) * | 2014-02-10 | 2015-08-13 | Qualcomm Incorporated | Assisted device provisioning in a network |
US9667606B2 (en) * | 2015-07-01 | 2017-05-30 | Cyphermatrix, Inc. | Systems, methods and computer readable medium to implement secured computational infrastructure for cloud and data center environments |
US10887310B2 (en) * | 2015-12-21 | 2021-01-05 | Koninklijke Philips N.V. | Network system for secure communication |
US10575273B2 (en) * | 2016-03-31 | 2020-02-25 | Intel Corporation | Registration of devices in secure domain |
US10547448B2 (en) * | 2016-10-19 | 2020-01-28 | Qualcomm Incorporated | Configurator key package for device provisioning protocol (DPP) |
US20180109418A1 (en) * | 2016-10-19 | 2018-04-19 | Qualcomm Incorporated | Device provisioning protocol (dpp) using assisted bootstrapping |
US10237070B2 (en) * | 2016-12-31 | 2019-03-19 | Nok Nok Labs, Inc. | System and method for sharing keys across authenticators |
US10169587B1 (en) * | 2018-04-27 | 2019-01-01 | John A. Nix | Hosted device provisioning protocol with servers and a networked initiator |
US10958425B2 (en) * | 2018-05-17 | 2021-03-23 | lOT AND M2M TECHNOLOGIES, LLC | Hosted dynamic provisioning protocol with servers and a networked responder |
CN112566113B (zh) * | 2019-09-06 | 2023-04-07 | 阿里巴巴集团控股有限公司 | 密钥生成以及终端配网方法、装置、设备 |
-
2016
- 2016-12-08 US US16/062,192 patent/US10887310B2/en active Active
- 2016-12-08 MY MYPI2018000966A patent/MY190785A/en unknown
- 2016-12-08 EP EP16809765.7A patent/EP3395034B1/en active Active
- 2016-12-08 RU RU2018126780A patent/RU2738808C2/ru active
- 2016-12-08 BR BR112018012417-6A patent/BR112018012417A2/pt not_active IP Right Cessation
- 2016-12-08 CN CN201680075160.XA patent/CN108476205B/zh active Active
- 2016-12-08 JP JP2018532365A patent/JP6517444B2/ja active Active
- 2016-12-08 WO PCT/EP2016/080161 patent/WO2017108412A1/en active Application Filing
- 2016-12-08 KR KR1020187020968A patent/KR20180098589A/ko not_active Application Discontinuation
- 2016-12-19 TW TW105142001A patent/TWI735493B/zh not_active IP Right Cessation
-
2020
- 2020-11-12 US US17/096,052 patent/US11399027B2/en active Active
-
2022
- 2022-06-27 US US17/849,773 patent/US11765172B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
EP3395034A1 (en) | 2018-10-31 |
US20180375870A1 (en) | 2018-12-27 |
US20220329598A1 (en) | 2022-10-13 |
US10887310B2 (en) | 2021-01-05 |
JP2018538758A (ja) | 2018-12-27 |
WO2017108412A1 (en) | 2017-06-29 |
KR20180098589A (ko) | 2018-09-04 |
RU2738808C2 (ru) | 2020-12-17 |
RU2018126780A3 (ja) | 2020-05-26 |
RU2018126780A (ru) | 2020-01-23 |
MY190785A (en) | 2022-05-12 |
CN108476205B (zh) | 2019-12-03 |
TW201725921A (zh) | 2017-07-16 |
BR112018012417A2 (pt) | 2018-12-18 |
US11765172B2 (en) | 2023-09-19 |
CN108476205A (zh) | 2018-08-31 |
US11399027B2 (en) | 2022-07-26 |
US20210067514A1 (en) | 2021-03-04 |
EP3395034B1 (en) | 2019-10-30 |
TWI735493B (zh) | 2021-08-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6517444B2 (ja) | セキュア通信のためのネットワークシステム | |
EP3105904B1 (en) | Assisted device provisioning in a network | |
EP3119119B1 (en) | Method, device and system for establishing secure connection | |
EP2963959B1 (en) | Method, configuration device, and wireless device for establishing connection between devices | |
CN109479049B (zh) | 用于密钥供应委托的系统、设备和方法 | |
KR102062162B1 (ko) | 보안 인증 방법, 구성 방법 및 관련 기기 | |
KR101762013B1 (ko) | Two factor 통신 채널을 활용한 사물기기의 등록 및 비밀키 설정 방법 | |
EP1929745A1 (en) | Method for secure device discovery and introduction | |
WO2014176743A1 (zh) | 一种配置无线终端的方法、设备及系统 | |
WO2015100676A1 (zh) | 一种网络设备安全连接方法、相关装置及系统 | |
KR102026375B1 (ko) | 웨어러블 디바이스 통신 지원 장치 및 방법 | |
JP6501701B2 (ja) | システム、端末装置、制御方法、およびプログラム | |
WO2016112860A1 (zh) | 无线设备的通讯方法、无线设备和服务器 | |
WO2022109941A1 (zh) | 应用于WiFi的安全认证的方法和装置 | |
CN118018226A (zh) | 数据传输方法及相关产品 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180620 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20180620 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20181212 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190108 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190228 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190319 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190417 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6517444 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |