JP7041162B6 - 相互認証システム - Google Patents

相互認証システム Download PDF

Info

Publication number
JP7041162B6
JP7041162B6 JP2019551651A JP2019551651A JP7041162B6 JP 7041162 B6 JP7041162 B6 JP 7041162B6 JP 2019551651 A JP2019551651 A JP 2019551651A JP 2019551651 A JP2019551651 A JP 2019551651A JP 7041162 B6 JP7041162 B6 JP 7041162B6
Authority
JP
Japan
Prior art keywords
responder
initiator
authentication
mutual
public key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019551651A
Other languages
English (en)
Other versions
JP2020516118A5 (ja
JP2020516118A (ja
JP7041162B2 (ja
Inventor
ヨハネス アーノルダス コーネリス バーンセン
デ ラール フランシスカス アントニウス マリア ヴァン
ロナルド フェリックス アルベルトゥス リンデルス
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Koninklijke Philips NV
Original Assignee
Koninklijke Philips NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Koninklijke Philips NV filed Critical Koninklijke Philips NV
Publication of JP2020516118A publication Critical patent/JP2020516118A/ja
Publication of JP2020516118A5 publication Critical patent/JP2020516118A5/ja
Publication of JP7041162B2 publication Critical patent/JP7041162B2/ja
Application granted granted Critical
Publication of JP7041162B6 publication Critical patent/JP7041162B6/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3215Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Description

本発明は、通信プロトコルに従うワイヤレス通信のために構成されたイニシエータデバイス及びレスポンダデバイス、並びに、そのようなデバイスにおいて使用するための方法及びコンピュータプログラム製品に関する。通信プロトコルは、
- イニシエータデバイスによるレスポンダデバイスの片側認証、並びに
- イニシエータデバイスによるレスポンダデバイスの及びレスポンダデバイスによるイニシエータデバイスの相互認証
のうちの1つである認証を適応させるための認証プロトコルを含む。レスポンダデバイスは、通信プロトコルに従うワイヤレス通信のために構成されたレスポンダトランシーバと、通信プロトコルを処理するために構成されたレスポンダプロセッサとを備える。イニシエータデバイスは、通信プロトコルに従うワイヤレス通信のために構成されたイニシエータトランシーバと、通信プロトコルを処理するために構成されたイニシエータプロセッサとを備える。
本発明は、短距離ワイヤレス通信システム、たとえば屋内通信システムの分野に関し、より詳細には、レスポンダデバイス及び/又はイニシエータデバイスを認証することに基づいてワイヤレス接続をセキュアにセットアップするための様々なデバイス及び方法を提供する。Wi-Fi(登録商標)(参考文献[1]参照)は、ワイヤレスデバイス接続を確立するための通信プロトコル及び機構の一例を与える。
ワイヤレス通信においてデバイスを識別し、認証するための手段として、公開鍵が使用される。公開鍵に関連付けられたプライベート鍵は、各デバイス内で生成され、暴露から保護されるべきである。デバイスはピアデバイスを認証するために公開鍵暗号技術を使用し、ここで、デバイスは、それらの公開鍵に対応するプライベート鍵の所有を証明し、さらなるセキュアな通信のために共有鍵を確立しなければならない。このセキュリティアーキテクチャは、デバイス間のセキュアな接続性の確立を簡略化し、デバイスをプロビジョニング及び接続する際のユーザビリティの改善のための基礎を与える。
認証プロトコルを開始するデバイスは、イニシエータの役割を果たす。イニシエータ要求に応答するデバイスは、レスポンダの役割を果たす。認証プロトコルは、イニシエータにレスポンダの認証を与え、随意に、レスポンダにイニシエータの認証を与える。これは、イニシエータが単方向認証を実行するためにレスポンダのブートストラッピング鍵を取得し、両方の当事者が随意に相互認証を実行するために互いのブートストラッピング鍵を取得したと仮定する。
Diffie-Hellman(参考文献[6]参照)は、2つの当事者間の秘密鍵を確立するためのよく知られている技術であり、ここで、当事者間の通信は、確立された秘密鍵に関するいかなる情報も第三者に明らかにしない。2つの当事者は各々、それら自体の公開/プライベート鍵ペアを使用し、公開鍵を互いと交換する。各当事者は、それ自体のプライベート鍵と、他方の当事者の公開鍵と、場合によっては何らかの他の情報、たとえば各当事者からのナンス(乱数)とを使用して秘密鍵を計算することが可能である。各当事者は、それがDiffie-Hellmanを実行するか、又はそれがより古い鍵ペアを再使用するたびに、新たに鍵ペアを生成する。
ネットワークを介してDiffie-Hellmanを実行するとき、Diffie-Hellmanを実行するための公開鍵を受信したデバイスは、この公開鍵がどのデバイスからのものであるかを知らない。これは、いわゆる中間者攻撃において攻撃者によって利用される。攻撃者Eは、デバイスAが接続することを希望する現実のデバイスBになりすます。攻撃者Eは、デバイスAとのDiffie-Hellmanを実行し、デバイスAとの秘密鍵Kaeを確立する。同様に、攻撃者は、デバイスBに対してデバイスAになりすまし、デバイスBとの秘密鍵Kbeを確立する。デバイスA又はデバイスBの一方からメッセージが来たとき、攻撃者は、一方の秘密鍵を用いてメッセージを解読し、他方の秘密鍵を用いてそれを暗号化し、それを他方のデバイスにフォワーディングする。このようにして、デバイスAとデバイスBとは、いくらかの余分な遅延を除いて、それらの通信における妙な点に気づかない。しかし、攻撃者は、それらが何を通信するかに関する完全な知識を有する。
ワイヤレス通信のセキュリティを高めるために、プロトコルが、通信プロトコルに従うセキュアなワイヤレス通信に参加しているデバイスのうちの1つ又は複数の認証のために使用される。そのような認証プロトコルは第1の参加しているデバイスによって開始され、第1の参加しているデバイスは、通常、第2の参加しているデバイスと通信しているイニシエータデバイスと呼ばれ、第2の参加しているデバイスは、通常、レスポンダデバイスと呼ばれる。現在のコンテキストでは、イニシエータデバイスは、ワイヤレス通信を使用して接続をセットアップするための能力を有する任意の電子デバイスである。イニシエータデバイスは、PC、アクセスポイント、ワイヤレスドッキングステーション、ワイヤレスUSBハブ、或いはワイヤレスビデオ又はAVモニターのような固定デバイスであるが、ラップトップ又はモバイルフォンのようなポータブルデバイスでもある。レスポンダデバイスは、同様に、ワイヤレス通信を使用して接続をセットアップするための能力を有する任意のタイプの電子デバイスである。
したがって、通信プロトコルは、レスポンダ及び/又はイニシエータの認証を適応させるための認証プロトコルを含む。認証は、イニシエータデバイスによるレスポンダデバイスの片側認証である。また、認証は、イニシエータデバイスによるレスポンダデバイスの認証とレスポンダデバイスによるイニシエータデバイスの認証とを伴う、相互認証である。
そのような認証プロトコルにおいて、たとえばDiffie-Hellmanを使用するときの中間者攻撃を防ぐために、通信の他のやり方、すなわち、通常、帯域内通信と呼ばれる、ワイヤレス通信プロトコルに従って使用されるワイヤレス通信チャネル以外のやり方が、公開鍵又は公開鍵のハッシュを交換するために使用される。通信の他のやり方は、一般に帯域外(OOB)通信と呼ばれ、それは、たとえば、バーコードのような視覚マーカーを使用するか、又はユーザにコードを入力させる。
その上、通信プロトコルは、一般に、メッセージのワイヤレス交換の雑音及び妨害に対処するための機構を有する。たとえば、返答が所定のタイムアウト期間内に受信されなかったとき、メッセージは再び送信される。所定の数の再試行の後に、通信プロトコルはアボートされる。
本発明の目的は、認証中の過度に長いタイムアウト期間を回避しながら、イニシエータデバイスとレスポンダデバイスとの間の接続を確実にセットアップするためのセキュアなワイヤレス通信システムを与えることである。
この目的で、添付の特許請求の範囲において定義されているデバイス及び方法が提供される。
本発明の一態様によれば、イニシエータデバイスが、通信プロトコルに従うレスポンダデバイスとのワイヤレス通信のために構成され、
通信プロトコルが、
- イニシエータデバイスによるレスポンダデバイスの片側認証、並びに
- イニシエータデバイスによるレスポンダデバイスの及びレスポンダデバイスによるイニシエータデバイスの相互認証
のうちの1つである認証を適応させるための認証プロトコルを含み、
レスポンダデバイスが、
- 通信プロトコルに従うワイヤレス通信のために構成されたレスポンダトランシーバと、
- 通信プロトコルを処理するために構成されたレスポンダプロセッサとを備え、
イニシエータデバイスが、
- 通信プロトコルに従うワイヤレス通信のために構成されたイニシエータトランシーバと、
- 通信プロトコルを処理するために構成されたイニシエータプロセッサとを備え、イニシエータプロセッサが、
- レスポンダデバイスに送られることになるメッセージを作成することと、認証プロトコルに従ってレスポンダデバイスから受信されたメッセージを分解することとを行うためのイニシエータメッセージユニットと、
- ユーザ対話とレスポンダデバイスから受信されたメッセージとに応じて認証プロトコルに従ってイニシエータ状態を与えるためのイニシエータステートマシンと
を備え、イニシエータ状態は、
イニシエータ帯域外アクションを介してレスポンダデバイスからレスポンダ公開鍵を取得することによるブートストラッピングのための初期状態と、
ブートストラッピングがレスポンダ公開鍵を取得することによって正常に実行されたことを示すブートストラップ済み状態(bootstrapped state)と、
認証が正常に実行されたことを示す認証済み状態(authenticated state)と
を含み、
イニシエータメッセージユニットは、
- ブートストラップ済み状態で送られることになり、イニシエータ公開鍵を検証するためのイニシエータベリファイアとレスポンダ公開鍵を検証するためのレスポンダベリファイアとを含む認証要求
を含むメッセージを作成するように構成され、
- レスポンダ公開鍵に対応するレスポンダプライベート鍵に基づくレスポンダ片側認証データと、レスポンダデバイスがレスポンダ帯域外アクションを介してイニシエータデバイスからイニシエータ公開鍵を取得することを可能にするための相互認証が進行中であることを示す相互進行ステータス(mutual progress status)とを含む認証応答
を含むメッセージを分解するように構成され、
- 相互認証の確認を示す相互確認ステータスと、レスポンダ公開鍵とイニシエータ公開鍵に対応するイニシエータプライベート鍵とに基づく相互イニシエータ認証データとを含む相互認証確認
を作成するように構成される。
本発明のさらなる態様によれば、片側認証方法に加えて、又はその代替として、イニシエータデバイスによるレスポンダデバイスの及びレスポンダデバイスによるイニシエータデバイスの相互認証が実行され得る。この態様によれば、イニシエータステートマシンは、待機中相互認証(awaiting mutual authentication)のために、相互進行ステータスを受信するとつくことになる(engage)、相互認証中状態(authenticating state)を与えるように構成され、
イニシエータメッセージユニットが、
- イニシエータ公開鍵とレスポンダプライベート鍵とに基づく相互レスポンダ認証データを含む相互認証応答
を分解するように構成され、
イニシエータステートマシンは、相互認証応答を受信し、イニシエータプロセッサがレスポンダ公開鍵とイニシエータ公開鍵に対応するイニシエータプライベート鍵とに基づく相互レスポンダ認証データを正常に処理すると、認証済み状態につくように構成される。
本発明のさらなる態様によれば、レスポンダデバイスが、通信プロトコルに従うイニシエータデバイスとのワイヤレス通信のために構成され、
通信プロトコルが、
- イニシエータデバイスによるレスポンダデバイスの片側認証、並びに
- イニシエータデバイスによるレスポンダデバイスの及びレスポンダデバイスによるイニシエータデバイスの相互認証
のうちの1つである認証を適応させるための認証プロトコルを含み、
イニシエータデバイスが、
- 通信プロトコルに従うワイヤレス通信のために構成されたイニシエータトランシーバと、
- 通信プロトコルを処理するために構成されたイニシエータプロセッサとを備え、
レスポンダデバイスが、
- 通信プロトコルに従うワイヤレス通信のために構成されたレスポンダトランシーバと、
- 通信プロトコルを処理するために構成されたレスポンダプロセッサとを備え、レスポンダプロセッサが、
- イニシエータデバイスに送られることになるメッセージを作成することと、認証プロトコルに従ってイニシエータデバイスから受信されたメッセージを分解することとを行うためのレスポンダメッセージユニットと、
- ユーザ対話とイニシエータデバイスから受信されたメッセージとに応じて認証プロトコルに従ってレスポンダ状態を与えるためのレスポンダステートマシンとを備え、レスポンダ状態は、
イニシエータデバイスからメッセージを受信するための待機中状態(awaiting state)と、
認証が正常に実行されたことを示すレスポンダ認証済み状態と
を含み、
レスポンダメッセージユニットは、
- レスポンダ公開鍵に対応するレスポンダプライベート鍵に基づく片側レスポンダ認証データと、相互認証が進行中であることを示す相互進行ステータスとを含む認証応答
を含むメッセージを作成するように構成され、
- イニシエータ公開鍵を検証するためのイニシエータベリファイアとレスポンダ公開鍵を検証するためのレスポンダベリファイアとを含む認証要求
を含むメッセージを分解するように構成される。
本発明のさらなる態様によれば、片側認証方法に加えて、又はその代替として、イニシエータデバイスによるレスポンダデバイスの及びレスポンダデバイスによるイニシエータデバイスの相互認証が実行され得る。この態様によれば、レスポンダステートマシンは、
- レスポンダデバイスがレスポンダ帯域外アクションを介してイニシエータデバイスからイニシエータ公開鍵を取得することを可能にするための相互レスポンダ認証中状態を与えるように構成され、
レスポンダメッセージユニットが、
- 相互レスポンダ認証中状態で送られることになり、イニシエータ公開鍵とレスポンダ公開鍵に対応するレスポンダプライベート鍵とに基づく相互レスポンダ認証データを含む相互認証応答
を作成するように構成され、
- 相互認証の確認を示す相互確認ステータスと、レスポンダ公開鍵とイニシエータ公開鍵に対応するイニシエータプライベート鍵とに基づく相互イニシエータ認証データとを含む相互認証確認
を分解するように構成され、
レスポンダステートマシンは、レスポンダプロセッサがイニシエータ公開鍵とレスポンダプライベート鍵とに基づくイニシエータ認証データを正常に処理すると、レスポンダ認証済み状態につくように構成される。
本発明のさらなる態様によれば、通信プロトコルに従うレスポンダデバイスとのワイヤレス通信のためにイニシエータデバイスにおいて使用するためのイニシエータ方法が提供され、
通信プロトコルが、
- イニシエータデバイスによるレスポンダデバイスの片側認証、並びに
- イニシエータデバイスによるレスポンダデバイスの及びレスポンダデバイスによるイニシエータデバイスの相互認証
のうちの1つである認証を適応させるための認証プロトコルを含み、
イニシエータ方法は、
- ユーザ対話とレスポンダデバイスから受信されたメッセージとに応じて認証プロトコルに従ってイニシエータ状態を与えるステップであって、イニシエータ状態が、
イニシエータ帯域外アクションを介してレスポンダデバイスからレスポンダ公開鍵を取得することによるブートストラッピングのための初期状態と、
ブートストラッピングがレスポンダ公開鍵を取得することによって正常に実行されたことを示すブートストラップ済み状態と、
認証が正常に実行されたことを示す認証済み状態と
を含む、与えるステップと、
- ブートストラップ済み状態で送られることになり、イニシエータ公開鍵を検証するためのイニシエータベリファイアとレスポンダ公開鍵を検証するためのレスポンダベリファイアとを含む認証要求を作成するステップと、
- レスポンダ公開鍵に対応するレスポンダプライベート鍵に基づく片側レスポンダ認証データと、レスポンダデバイスがレスポンダ帯域外アクションを介してイニシエータデバイスからイニシエータ公開鍵を取得することを可能にするための相互認証が進行中であることを示す相互進行ステータスとを含む認証応答を分解するステップと、
- 待機中相互認証のために、相互進行ステータスを受信するとつくことになる、相互認証中状態を与えるステップと、
- イニシエータ公開鍵とレスポンダプライベート鍵とに基づく相互レスポンダ認証データを含む相互認証応答を分解するステップと、
- 相互認証の確認を示す相互確認ステータスと、レスポンダ公開鍵とイニシエータ公開鍵に対応するイニシエータプライベート鍵とに基づく相互イニシエータ認証データとを含む相互認証確認を作成するステップと、
- 相互認証応答を受信し、レスポンダ公開鍵とイニシエータ公開鍵に対応するイニシエータプライベート鍵とに基づく相互レスポンダ認証データを正常に処理すると、認証済み状態につくステップと
を有する。
本発明のさらなる態様によれば、通信プロトコルに従うイニシエータデバイスとのワイヤレス通信のためにレスポンダデバイスにおいて使用するためのレスポンダ方法が提供され、
通信プロトコルが、
- イニシエータデバイスによるレスポンダデバイスの片側認証、並びに
- イニシエータデバイスによるレスポンダデバイスの及びレスポンダデバイスによるイニシエータデバイスの相互認証
のうちの1つである認証を適応させるための認証プロトコルを含み、
レスポンダ方法は、
- ユーザ対話とイニシエータデバイスから受信されたメッセージとに応じて認証プロトコルに従ってレスポンダ状態を与えるステップであって、レスポンダ状態が、
イニシエータデバイスからメッセージを受信するための待機中状態と、
認証が正常に実行されたことを示すレスポンダ認証済み状態と
を含む、与えるステップと、
- レスポンダ公開鍵に対応するレスポンダプライベート鍵に基づく片側レスポンダ認証データと、相互認証が進行中であることを示す相互進行ステータスとを含む認証応答を作成するステップと、
- イニシエータ公開鍵を検証するためのイニシエータベリファイアとレスポンダ公開鍵を検証するためのレスポンダベリファイアとを含む認証要求を分解するステップと、
- 認証要求を正常に処理すると、レスポンダ認証中状態につくステップと、
- レスポンダデバイスがレスポンダ帯域外アクションを介してイニシエータデバイスからイニシエータ公開鍵を取得することを可能にするための相互レスポンダ認証中状態を与えるステップと、
- 相互レスポンダ認証中状態で送られることになり、イニシエータ公開鍵とレスポンダ公開鍵に対応するレスポンダプライベート鍵とに基づく相互レスポンダ認証データを含む相互認証応答を作成するステップと、
- 相互認証の確認を示す相互確認ステータスと、レスポンダ公開鍵とイニシエータ公開鍵に対応するイニシエータプライベート鍵とに基づく相互イニシエータ認証データとを含む相互認証確認を分解するステップと、
- イニシエータ公開鍵とレスポンダプライベート鍵とに基づく相互イニシエータ認証データを正常に処理すると、レスポンダ認証済み状態につくステップと
を有する。
本発明のさらなる態様によれば、ネットワークからダウンロード可能な、並びに/或いはコンピュータ可読媒体及び/又はマイクロプロセッサ実行可能媒体に記憶されたコンピュータプログラム製品が提供され、コンピュータプログラム製品は、コンピュータ上で実行されたときに上記の方法を実施するためのプログラムコード命令を含む。
上記の特徴は、認証プロトコルが片側認証と相互通信の両方をサポートするという効果を有する。プロトコルは様々なメッセージを交換することによって実行され、メッセージは、それぞれイニシエータメッセージユニット及びレスポンダメッセージユニットによって作成され、分解される。さらに、メッセージを交換することとメッセージ中の要素を処理することとのシーケンスは、それぞれイニシエータステートマシン及びレスポンダステートマシンを介して制御され、イニシエータステートマシンとレスポンダステートマシンとは、認証プロトコルを実行する間のイニシエータデバイス及びレスポンダデバイスの状態を決定する。
さらに、認証プロトコルは、レスポンダデバイスからレスポンダ公開鍵を取得するために帯域外(OOB)通信を使用することを可能にする。イニシエータ側における帯域外アクションは、レスポンダ公開鍵自体、或いは、さらなる通信アクションを介して受信された、たとえば、帯域内メッセージを受信したか又は以前の通信セッションにおいて記憶されたレスポンダ公開鍵を検証するための符号化されたレスポンダ公開鍵データを受信することを伴う。鍵材料の初期量を取得するプロセスは、ブートストラッピングと呼ばれる。ブートストラッピングが成功した後に、イニシエータは、レスポンダデバイスの認証を実行するために認証中状態につく。
しかしながら、相互認証の場合、レスポンダデバイスは、レスポンダ帯域外アクションを介してイニシエータデバイスからイニシエータ公開鍵を取得しなければならない。たとえばユーザ対話を伴う場合、イニシエータデバイス上のコードを読み取り、それをレスポンダデバイスに入力するか、或いはイニシエータデバイス上のバーコード又はQRコード(登録商標)などの機械可読コードの写真を撮ることなど、OOB通信を介してコードを交換することは、長い時間を要する(数十秒程度)。そのような時間は、ワイヤレス通信を介してメッセージを交換する時間(通常、数ミリ秒以下)と比較して長い。イニシエータデバイスは、認証要求を送った後に、認証応答を待ち続ける。相互認証を可能にするために、完全な認証応答は、イニシエータ公開鍵にも基づいてレスポンダ認証データを与えることを必要とする。発明者は、完全な認証応答が、レスポンダOOBアクションに十分な比較的長い時間の後にのみ送信されることがわかった。したがって、旧来の相互認証プロトコルでは長いタイムアウト期間が必要とされる。不利なことに、たとえば雑音により認証要求が受信されなかった場合、再送信は、長いタイムアウト期間の後にのみ行われる。
また、認証要求が受信されなかった場合、又は、認証応答が誤ったデータを含んでおり、それにより認証が失敗した場合、ユーザは、イニシエータデバイスがユーザに認証が失敗したことを知らせるまで長い時間待たなければならない。そのような長いタイムアウト期間を回避するために、レスポンダ公開鍵に対応するレスポンダプライベート鍵に基づくレスポンダ認証データを含んでいる認証応答が与えられており、それには、いかなるイニシエータ鍵をも伴わない。有利なことに、そのような認証応答は、認証要求を処理した直後に送信され、認証要求を送ったときのイニシエータデバイスにおける短いタイムアウトを可能にする。したがって、雑音の場合、再送信は短いタイムアウトに基づいて行われることになり、ユーザは、認証試みがいつ失敗したかをはるかに迅速に知ることになる。
その上、発明者は、そのような認証応答が片側認証のための応答と同様であることがわかった。しかしながら、相互認証が実行されることになる。したがって、さらに、上記の拡張された認証応答は、相互認証が進行中であることを示す相互進行ステータスをさらに含んでいる。また、イニシエータステートマシンは、待機中相互認証のために、相互進行ステータスを受信するとつくことになる、相互認証中状態を与えるように構成される。有利なことに、相互認証中状態では、イニシエータデバイスは相互認証に気づいており、それは、イニシエータ公開鍵とレスポンダプライベート鍵とに基づく相互レスポンダ認証データを含む相互認証応答を後で受信することを可能にする。その後、受信された相互レスポンダ認証データの処理が成功した場合、イニシエータは、相互認証の確認を示す相互確認ステータスと、レスポンダ公開鍵とイニシエータ公開鍵に対応するイニシエータプライベート鍵とに基づくイニシエータ認証データとを含む相互認証確認を送信する。
したがって、第1の認証応答メッセージ中で追加の相互認証状態及び相互進行ステータスを与えることによって、相互認証は、長いタイムアウト期間を必要とすることなしに実行され、同じ認証プロトコルにおいて、片側認証をも可能にする。有利なことに、ワイヤレス通信のための条件が悪い場合、必要とされるメッセージの再送信は、短いタイムアウト期間により、比較的高速である。
本発明による方法は、コンピュータ上でコンピュータ実施方法として、又は専用ハードウェアで、又はその両方の組合せで実施される。本発明による方法のための実行可能コードが、コンピュータプログラム製品に記憶される。コンピュータプログラム製品の例は、メモリスティックなどのメモリデバイス、光ディスクなどの光記憶デバイス、集積回路、サーバ、オンラインソフトウェアなどを含む。コンピュータプログラム製品は、コンピュータプログラム製品がコンピュータ上で実行されるとき、本発明による方法を実行するためのコンピュータ可読媒体に記憶された非一時的プログラムコード手段を含む。一実施形態では、コンピュータプログラムは、コンピュータプログラムがコンピュータ上で実行されるとき、本発明による方法のすべてのステップ又は段階を実行するように適応されたコンピュータプログラムコード手段を含む。好ましくは、コンピュータプログラムは、コンピュータ可読媒体上で具現される。ネットワークからダウンロード可能な、並びに/或いはコンピュータ可読媒体及び/又はマイクロプロセッサ実行可能媒体に記憶されたコンピュータプログラム製品が提供され、コンピュータプログラム製品は、コンピュータ上で実行されたときに上記で説明された方法を実施するためのプログラムコード命令を含む。
本発明の別の態様は、コンピュータプログラムをダウンロードのために利用可能にする、たとえばアプリケーションに含まれるようにする方法を提供する。この態様は、コンピュータプログラムが、たとえば、AppleのApp Store、GoogleのPlay Store、又はMicrosoftのWindows Storeにアップロードされるとき、及びコンピュータプログラムが、そのようなストアからダウンロードするために利用可能であるとき、使用される。
本発明によるデバイス及び方法のさらなる好ましい実施形態が添付の特許請求の範囲において与えられ、それの開示は参照により本明細書に組み込まれる。
本発明のこれら及び他の態様は、以下の説明において例として及び添付の図面を参照しながら説明される実施形態から明らかになり、さらにそれらを参照して解明されよう。
ワイヤレス通信及び認証のためのデバイスを示す図である。 認証プロトコルの概略図である。 イニシエータステートマシンの一例を示す図である。 レスポンダステートマシンの一例を示す図である。 イニシエータのための方法を示す図である。 レスポンダのための方法を示す図である。 コンピュータ可読媒体を示す図である。 プロセッサシステムの概略表現を示す図である。
図は、単に概略であり、一定の縮尺で描かれていない。図において、すでに説明された要素に対応する要素は同じ参照番号を有する。
以下の略語が使用される。
状態:
IST 初期状態
BST ブートストラップ済み
AG1 認証中(イニシエータ、片方向)
AG2 相互認証中(イニシエータ、相互)
ATD 認証済み(イニシエータ)

AWG 待機中(Awaiting)(レスポンダ)
AR1 認証中(レスポンダ、片方向)
AR2 相互認証中(レスポンダ、相互)
ARD 認証済み(レスポンダ)

メッセージ:
ARQ 認証要求
ARP 認証応答
ACF1 認証確認(片方向)
ACF2 相互認証確認
ARP1 認証応答(片方向)
ARP2 相互認証応答

イベント/アクション/ステータス:
OOB 帯域外(通信アクション)
OOB_I 帯域外(イニシエータによる通信アクション)
OOB_R 帯域外(レスポンダによる通信アクション)
BA 不正な認証(Bad Authentication)(イベント)
BTG ブートストラッピング(イベント)
NP ピアなし(No Peer)(イベント)
TO タイムアウト(イベント)
TR トリガ(イベント)
MPS 相互進行ステータス
MAS 相互待機中ステータス
MCS 相互確認ステータス

鍵:
イニシエータの公開ブートストラッピング鍵
レスポンダの公開ブートストラッピング鍵
イニシエータの公開鍵
レスポンダの公開鍵
に対応するイニシエータプライベート鍵
に対応するレスポンダプライベート鍵
図1は、ワイヤレス通信及び認証のためのデバイスを示す。ワイヤレス通信のためのシステム100は、イニシエータデバイス110とレスポンダデバイス120とを備え、それらのデバイスは物理的に離れている。イニシエータデバイスは、通信プロトコルに従うワイヤレス通信のために構成されたイニシエータトランシーバ111と、通信プロトコルを処理するために構成されたイニシエータプロセッサ112とを備える。同様に、レスポンダデバイスは、通信プロトコルに従うワイヤレス通信のために構成されたレスポンダトランシーバ121と、通信プロトコルを処理するために構成されたレスポンダプロセッサ122とを備える。それらのデバイスは、トランシーバ111とトランシーバ121とを接続する形状130及び矢印によって概略的に示されているように、ワイヤレス通信のために装備される。イニシエータデバイスはユーザインターフェース113を備え、ユーザインターフェース113は、1つ又は複数のボタン115、キーボード、ディスプレイ、タッチスクリーンなど、よく知られている要素を含む。レスポンダデバイスも、ユーザインターフェース123を備える。レスポンダユーザインターフェースは、イニシエータデバイスからイニシエータ公開鍵を取得するためにレスポンダ帯域外アクションを実行するためにユーザ対話を適応させるために構成される。
それらのデバイスは、イニシエータデバイスとレスポンダデバイスとの間の通信プロトコルに従うワイヤレス通信のために構成される。それらのデバイスは、イニシエータデバイスによるレスポンダデバイスの片側認証、並びに、イニシエータデバイスによるレスポンダデバイスの及びレスポンダデバイスによるイニシエータデバイスの相互認証のうちの1つである認証を適応させるための認証プロトコルを実行するために構成され、一例について図2を参照しながら以下で詳述する。通信プロトコルは認証プロトコルを含む。例では、通信プロトコルは、IEEE802.11に従うWi-Fi(登録商標)である[参考文献1]が、以下で解明されるようなシステムに基づく適切な認証プロトコルを与えられたとき、Bluetooth(登録商標)など、他のワイヤレスプロトコルも使用される。
イニシエータプロセッサ112は、レスポンダデバイスに送られることになるメッセージを作成することと、認証プロトコルに従ってレスポンダデバイスから受信されたメッセージを分解することとを行うためのイニシエータメッセージユニット116を備える。イニシエータプロセッサは、ユーザ対話とレスポンダデバイスから受信されたメッセージとに応じて認証プロトコルに従ってイニシエータ状態を与えるためのイニシエータステートマシン117をも備え、一例について図3を参照しながら以下で詳述する。
レスポンダプロセッサ122は、イニシエータデバイスに送られることになるメッセージを作成することと、認証プロトコルに従ってイニシエータデバイスから受信されたメッセージを分解することとを行うためのレスポンダメッセージユニット126を備える。レスポンダプロセッサは、ユーザ対話とイニシエータデバイスから受信されたメッセージとに応じて認証プロトコルに従ってレスポンダ状態を与えるためのレスポンダステートマシン127をも備える。
それぞれのメッセージユニット及びステートマシンを使用して、それぞれのメッセージ並びにそれぞれのイニシエータ状態及びレスポンダ状態に基づいて認証プロトコルを適応させるためのイニシエータプロセッサ及びレスポンダプロセッサの機能は、図2、図3及び図4を参照しながら以下で解明される。
認証のために、提案するシステムは、RSA、[7]参照、又は楕円曲線暗号(ECC)、[8]参照、など、任意の形態の公開鍵暗号法を使用する。
図2は、認証プロトコルの概略図を示す。認証プロトコル200に従って、第1のデバイスINIT_DEVは、下方向で時間の進行を表す2つの垂直タイムライン間の矢印によって示されているように、メッセージを第2のデバイスRESP_DEVと交換する。第1のデバイスは、ISTにおいて開始するイニシエータデバイスであり、第2のデバイスは、AWGにおいて開始するレスポンダデバイスであるが、そのような役割は逆転される。メッセージは、送信側におけるメッセージユニットによって作成され、受信側におけるメッセージユニットによって分解される。
本明細書では、Bはイニシエータの公開ブートストラッピング鍵を示し、bは対応するプライベート鍵を示す。同様に、Bはレスポンダの公開ブートストラッピング鍵を示し、bは対応するプライベート鍵を示す。Hはハッシュ関数を示し、たとえば、そのようなものとして知られている適切なハッシュ片方向アルゴリズムに基づく。ハッシュ関数の好適な例は、参考文献[4]において見つけられ得る。
イニシエータ公開鍵のハッシュ値は、H(B)によって示される。ハッシュ値は、ハッシュ保護値(hash-protected value)に対応することが容易に検証され得るが、同じハッシュを維持しながらそのような値を操作することはほぼ不可能である。認証データは、1つ又は複数の鍵、すなわち、それぞれの公開鍵及びプライベート鍵に基づいて算出され、たとえば{auth1}k1によって示され、{auth1}k1は、鍵k1によって暗号化されたauth1の値を意味し、{auth1}はauth1の値を意味する。たとえば前述のDiffie-Hellman暗号化システムから、そのような鍵は生成され、そのようによく知られているように、符号化及び復号すること、シグネチャ又は制御値を生成すること、並びにそのような値を検証することのために使用される。
最初に、イニシエータデバイスは、イニシエータ帯域外アクションを介してレスポンダデバイスからレスポンダ公開鍵を取得することによるブートストラッピングを実行する。OOBアクションは、OOBアクションとマークされた破線矢印によって示されている(対応して図1において矢印140によって示されている)。OOBアクションの様々な例は、参考文献[2]、第10章に記載されている。他の例は、ユーザが、イニシエータデバイス上のコードを読み取り、それをレスポンダデバイスに入力すること、ユーザが、イニシエータデバイスのカメラを用いて、レスポンダデバイスにプリントされた又はレスポンダデバイスによって表示されたバーコード又はQRコード(登録商標)などの機械可読コードの写真を撮ることである。
その後、イニシエータメッセージユニットは、ブートストラップ済み状態で送られることになる認証要求ARQを作成する。認証要求は、イニシエータ公開鍵を検証するためのイニシエータベリファイアH(B)とレスポンダ公開鍵を検証するためのレスポンダベリファイアH(B)とを含んでいる。ARQは、イニシエータ公開鍵Pと、イニシエータナンスI-nonce及びイニシエータ能力データI-capabilitiesのようなさらなるイニシエータデータとをさらに含んでおり、さらなるイニシエータデータは第1の鍵Kを使用して符号化され、{I-nonce|I-capabilities}K1によって示される。第1の鍵Kは、レスポンダ公開鍵Bとイニシエータ公開鍵Pに対応するイニシエータプライベート鍵pとから、Diffie-Hellman様式でイニシエータによって導出される。第1の鍵Kは、イニシエータ公開鍵Pとレスポンダ公開鍵Bに対応するレスポンダプライベート鍵bとから、Diffie-Hellman様式でレスポンダによって導出される。対応して、レスポンダメッセージユニットは、認証要求ARQを分解するように構成される。
タイムアウトTOの後に、応答が受信されなかったとき、ARQは、たとえば3回まで再び送信される。応答ARP1が時間内に受信されると仮定される。
レスポンダメッセージユニットは、認証応答ARP1を作成するように構成され、認証応答ARP1は、片側レスポンダ認証データ{R-auth1}k1を含んでいる。ARP1は、レスポンダ公開鍵Pと、レスポンダナンスR-nonceのようなさらなるレスポンダデータとをさらに含んでいる。第1の中間鍵kは、イニシエータ公開鍵Pに基づき、(PがARP1中に存在していた場合)レスポンダ公開鍵(P)に対応するレスポンダプライベート鍵(p)に基づき、レスポンダ公開鍵(B)に対応するレスポンダプライベート鍵(b)に基づく。第1の中間鍵は、レスポンダデバイスの片側認証に適している。R-auth1の値は、イニシエータナンスI-nonce、レスポンダナンスR-nonce、及び/又はP、B及びPなどの使用される公開鍵など、認証プロトコルにおいて使用される値のうちの任意の選ばれた値の連結(のハッシュ)である。ナンスのランダム性により、R-auth1の値はプロトコルが実行されるたびに異なり、それにより、リプレイアタックから保護する。相互認証の場合、ARP1は、レスポンダデバイスがレスポンダ帯域外アクションを介してイニシエータデバイスからイニシエータ公開鍵を取得することを可能にするための、相互認証が進行中であることを示す相互進行ステータスをも含む。対応して、イニシエータメッセージユニットは、認証応答ARP1を分解するように構成される。
随意に、イニシエータメッセージユニットは、認証中状態で相互進行ステータスを受信すると、相互待機中ステータスを含んでいる待機中認証確認ACF1を作成するように構成される。ACF1は、レスポンダ公開鍵(B)とイニシエータ公開鍵Pに対応するイニシエータプライベート鍵(p)とに基づく片側イニシエータ認証データ{I-auth1}k1を含んでいる。{I-auth1}の値は、同じ入力を使用して{R-auth1}と同様の様式で計算される。しかしながら、リプレイアタックから守るために、{I-auth1}の値は{R-auth1}の値とは異なるべきである。したがって、ハッシュを計算するときの入力の順序は別様に選択されるべきであり、及び/又は、{R-auth1}についてのハッシュの計算におけるものとは異なる一定値がハッシュに含まれるべきである。対応して、レスポンダメッセージユニットは、待機中認証確認ACF1を分解するように構成される。
その後、レスポンダデバイスは、レスポンダ帯域外アクションを介してイニシエータデバイスからイニシエータ公開鍵を取得することを実行するか、又は、それをすでに実行している。OOBアクションは、OOBアクションとマークされた破線矢印によって示されている(対応して図1において矢印140によって示されている)。取得することを完了すると、レスポンダステートマシンは、相互認証応答ARP2を送るために、以下で解明されるように進む。
レスポンダメッセージユニットは、相互レスポンダ認証データ{R-auth2}k2を含む相互認証応答ARP2を作成するように構成される。ARP2は、レスポンダ公開鍵Pと、レスポンダナンスR-nonceのようなさらなるレスポンダデータとをさらに含んでいる。第2の中間鍵kは、イニシエータ公開鍵(B)とレスポンダ公開鍵(B)に対応するレスポンダプライベート鍵(b)とに基づく。第2の中間鍵は、レスポンダデバイスとイニシエータデバイスとの相互認証に適している。第2の中間鍵は、レスポンダにおける{b、p、B及びP}、又はイニシエータにおける{p、b、B及びP}を使用して決定される。R-auth2の値は、イニシエータナンスI-nonce、レスポンダナンスR-nonce、及びB、B、P及びPなどの使用される公開鍵など、認証プロトコルにおいて使用される値の連結のハッシュである。ナンスのランダム性により、{R-auth2}の値はプロトコルが実行されるたびに異なり、それにより、リプレイアタックから保護する。対応して、イニシエータメッセージユニットは、認証応答ARP2を分解するように構成される。正常に処理することは、イニシエータプロセッサがレスポンダと同じkについての値に達することと、イニシエータが、R-auth2自体を計算することによって、及びメッセージARP2中で受信された値{R-auth2}k2の鍵kを用いた解読によって、{R-auth2}についての同じ値を見つけることとを意味する。
イニシエータメッセージユニットは、相互認証の確認を示す相互確認ステータスと、レスポンダ公開鍵(B)とイニシエータ公開鍵(B)に対応するイニシエータプライベート鍵(b)とに基づく相互イニシエータ認証データ{I-auth2}k2とを含む相互認証確認ACF2を作成するように構成される。第2の中間鍵kは、イニシエータにおける{p、b、B及びP}を使用して決定され得る。{I-auth2}の値は、同じ入力を使用して{R-auth2}と同様の様式で計算される。しかしながら、リプレイアタックから守るために、{I-auth2}の値は{R-auth2}の値とは異なるべきである。したがって、ハッシュを計算するときの入力の順序は別様に選択されるべきであり、及び/又は、{R-auth2}についてのハッシュの計算におけるものとは異なる一定値がハッシュに含まれるべきである。対応して、レスポンダメッセージユニットは、相互認証確認ACF2を分解するように構成される。レスポンダが、同じ中間鍵kに達し、I-auth2自体を計算することによって、及び鍵k2を用いた受信された{I-auth2}k2の解読によって、データI-auth2についての同じ値を取得した場合、レスポンダはBを認証し、相互イニシエータ認証データ{I-auth2}k2の処理は成功した。
図3は、イニシエータステートマシンの一例を示す。イニシエータステートマシン300は、ユーザ対話とレスポンダデバイスから受信されたメッセージとに応じて認証プロトコルに従ってイニシエータ状態を与える。イニシエータ状態は、
- イニシエータ帯域外アクションを介してレスポンダデバイスからレスポンダ公開鍵を取得することによるブートストラッピングのための初期状態ISTと、
- ブートストラッピングがレスポンダ公開鍵を取得することによって正常に実行されたことを示すブートストラップ済み状態BSTと、
- 認証を実行するための認証中状態AG1と、
- 相互認証を実行するための相互認証中状態AG2と、
- 認証が正常に実行されたことを示す認証済み状態ATDと
を含む。
最初に、ステートマシンは、開始状態ISTにおいて開始する。矢印は、状態遷移を示し、状態遷移に対応するメッセージ又はイベントを示す頭字語によってマークされる。イニシエータステートマシンは、レスポンダ公開鍵を取得することによってブートストラッピングBTGを正常に実行すると、ブートストラップ済み状態BSTにつくように構成される。
イニシエータステートマシンは、ARQを送ると、及び/或いはユーザ又は別のイベントによるトリガイベントTRを介して、或いは成功したブートストラッピングの直後に、認証中状態AG1にその後関与するように構成される。タイムアウトTOの後に、認証中状態AG1は、試行回数を計数しながら、ARQを再送信した後に再関与され、所定の数の試行を超えた後に、ブートストラップ済み状態BSTに、又は初期状態ISTにフォールバックする。状態BST及びAG1はまた、組み合わせられる。
イニシエータステートマシンは、待機中相互認証のために、ARP1中で相互進行ステータスを受信すると、相互認証中状態AG2につくように構成される。随意に、相互待機中ステータスを含んでいる待機中認証確認ACF1が送られる。
イニシエータステートマシンは、相互認証応答ARP2を受信し、イニシエータプロセッサがレスポンダ公開鍵とイニシエータ公開鍵(B)に対応するイニシエータプライベート鍵(b)とに基づく相互レスポンダ認証データ{R-auth2}k2を正常に処理すると、認証済み状態ATDにつくように構成される。次いで、相互確認ステータスを含む相互認証確認ACF2も送られる。
随意に、イニシエータステートマシンは、認証中状態AG1で相互認証応答ARP2を受信し、イニシエータプロセッサが相互レスポンダ認証データ{R-auth2}k2を正常に処理すると、認証済み状態につくように構成される。次いで、相互確認ステータスを含む相互認証確認ACF2も送られる。非常に効果的に、相互認証中状態はスキップされる。
随意に、イニシエータメッセージユニットは、片側認証の場合、レスポンダ公開鍵Bに対応するレスポンダプライベート鍵bに基づく片側レスポンダ認証データ{R-auth1}k1と、片側認証を示す片側ステータスとを含む片側認証応答(ARP1)を分解するように構成される。また、イニシエータステートマシンは、イニシエータプロセッサがレスポンダ公開鍵とイニシエータ公開鍵Bに対応するイニシエータプライベート鍵bとに基づく片側レスポンダ認証データ{R-auth1}k1を正常に処理すると、認証済み状態につくように構成される。正常に処理することは、イニシエータプロセッサがレスポンダと同じkについての値に達することと、イニシエータが、R-auth1自体を計算することによって、及びメッセージARP1中で受信された値{R-auth1}k1の鍵kを用いた解読によって、{R-auth1}についての同じ値を見つけることとを意味する。
随意に、イニシエータステートマシンは、認証応答ARP1を受信し、イニシエータプロセッサが片側レスポンダ認証データ{R-auth1}k1を正常に処理しないと、ブートストラップ済み状態又は初期状態につくように構成される。正常に処理しないことは、いわゆる不正な認証BAによるか、又は、ピアデバイスが見つけられないときNPである。そのような場合、イニシエータステートマシンは、ブートストラップ済み状態BSTに、又は初期状態ISTにフォールバックするように構成され、それは、検出されたイベントにさらに依存する。
随意に、イニシエータステートマシンは、相互認証応答ARP2を受信し、イニシエータプロセッサが相互レスポンダ認証データ{R-auth2}k2を正常に処理しないと、ブートストラップ済み状態又は初期状態につくように構成される。正常に処理しないことは、いわゆる不正な認証BAによるか、又は、ピアデバイスが見つけられないときNPである。そのような場合、イニシエータステートマシンは、ブートストラップ済み状態BSTに、又は初期状態IST(図示せず)にフォールバックするように構成され、それは、検出されたイベントにさらに依存する。
図4は、レスポンダステートマシンの一例を示す。レスポンダステートマシン400は、ユーザ対話とレスポンダデバイスから受信されたメッセージとに応じて認証プロトコルに従ってレスポンダ状態を与える。レスポンダ状態は、
- イニシエータデバイスからメッセージを受信するための待機中状態(AWG)と、
- 認証を実行するためのレスポンダ認証中状態(AR1)と、
- レスポンダデバイスがレスポンダ帯域外アクションを介してイニシエータデバイスからイニシエータ公開鍵を取得することを可能にするための相互レスポンダ認証中状態(AR2)と、
- 認証が正常に実行されたことを示すレスポンダ認証済み状態(ARD)と
を含む。
最初に、レスポンダステートマシンは、待機中状態AWGにおいて開始する。待機中状態AWGは、ユーザ対話、又は、レスポンダデバイスをオンに切り替えることなど、任意の他のイベント時に、関与される。矢印は、状態遷移を示し、状態遷移に対応するメッセージ又はイベントを示す頭字語によってマークされる。
レスポンダステートマシンは、認証要求ARQを受信し、正常に処理すると、レスポンダ認証中状態AR1につくように構成される。状態AWG及びAR1はまた、単一の状態に組み合わせられる。
ARQを正常に処理しないことは、レスポンダが、受信されたARQ中のレスポンダベリファイアH(B)がその公開鍵Bのハッシュでないこと、又は、受信されたARQ中の{I-nonce|I-capabilities}K1を解読することがエラーにつながることを決定したことを意味する。間違った鍵が解読のために使用されていること、又は、暗号化されたデータが暗号化の後に変更されたことを解読中に検出することが可能である暗号化/解読アルゴリズムの一例は、AES-SIV、[3]参照、である。ARQを正常に処理すると、相互認証が進行中であることを示す相互進行ステータスを含んでいる認証応答ARP1がイニシエータに送信される。
レスポンダステートマシンは、レスポンダデバイスがレスポンダ帯域外アクションを介してイニシエータデバイスからイニシエータ公開鍵を取得すると、相互レスポンダ認証中状態AR2を与え、それにつく。取得すると、相互認証応答ARP2もイニシエータに送られる。
随意に、レスポンダステートマシンは、相互待機中ステータスを含む待機中相互認証確認ACF1を受信し、処理するように構成される。
レスポンダステートマシンは、次いで、相互待機中ステータスを受信すると、及びレスポンダOOBアクション時にのみ、相互レスポンダ認証中状態AR2につくように構成される。ACF1が所定のタイムアウトTO内に受信されなかった場合、状態は、レスポンダ認証中状態AR1のままであり、ARP1は、所定の数の再試行まで再び送信される。
レスポンダステートマシンは、相互認証確認ACF2を受信すると、及びレスポンダプロセッサがイニシエータ公開鍵Bとレスポンダプライベート鍵bとに基づく相互イニシエータ認証データ{I-auth2}k2を正常に処理すると、レスポンダ認証済み状態ARDにつくように構成される。
随意に、レスポンダステートマシンは、レスポンダ認証中状態AR1で相互認証確認ACF2を受信すると、及びレスポンダプロセッサが相互イニシエータ認証データ{I-auth2}k2を正常に処理すると、レスポンダ認証済み状態ARDにつくように構成される。ACF2を受信することは、たとえばレスポンダが以前のセッションからのイニシエータ公開鍵をすでに所有していることに基づいて、レスポンダが直接、ARQの受信時に、相互認証応答ARP2をイニシエータに送ると行われる。
随意に、メッセージユニットが、片側認証の場合、レスポンダ公開鍵Bに対応するレスポンダプライベート鍵bに基づく片側レスポンダ認証データ{R-auth1}k1と、片側認証が完了したことを示す片側ステータスとを含む片側認証応答ARP1を作成するように構成される。また、レスポンダステートマシンは、片側認証の場合、片側認証確認ACF1を受信し、レスポンダプロセッサが片側イニシエータ認証データ{I-auth1}k1を正常に処理すると、レスポンダ認証済み状態につくように構成される。正常に処理することは、レスポンダプロセッサがイニシエータと同じkについての値に達することと、レスポンダデバイスが、I-auth1自体を計算することによって、及びメッセージACF1中で受信された値{I-auth1}k1の鍵kを用いた解読によって、I-auth1についての同じ値を見つけることとを意味する。
随意に、レスポンダステートマシンは、相互認証確認ACF2を受信し、レスポンダプロセッサが相互イニシエータ認証データ{I-auth2}k2を正常に処理せず、不正な認証イベントBAが生じると、待機中状態につくように構成される。
随意に、レスポンダメッセージユニットは、片側イニシエータ認証データ{I-auth1}k1を含み、相互待機中ステータスを含む待機中認証確認ACF1をさらに分解するように構成される。また、レスポンダステートマシンは、レスポンダプロセッサが片側イニシエータ認証データを正常に処理せず、不正な認証イベントBAが生じると、待機中状態につくように構成される。
概して、相互認証は、片方向認証をも指定する認証プロトコルにおいて適応され得る。片方向認証では、レスポンダ(のユーザ)は、それがどのデバイスから認証要求を受信したかを確かめることを望まない。レスポンダは、帯域外でイニシエータの公開鍵Bをキャプチャせず、したがって、認証応答メッセージ中でイニシエータにBのハッシュを送ることができず、それを送らない。レスポンダが、イニシエータが帯域外でキャプチャした公開鍵Bに対応するプライベート鍵bの所有をイニシエータに証明したとき、片側認証のみが行われる。たとえば、イニシエータへのメッセージを暗号化するための鍵を作るために、Diffie-Hellman様式(参考文献[6]参照)でbを使用することによって。そのようなプロトコルは、各当事者のための2つ又はそれ以上の鍵ペアを使用し、たとえば、1つの鍵ペアは、互いに対する信頼をブートストラップするための鍵ペアであり、さらなる鍵ペアは、さらなる動作のために公開鍵がそこから認証される鍵ペアである。
ユーザが、Wi-Fi(登録商標)を介した要求及び応答並びにメッセージのさらなる交換を伴って、プロトコルの実行をトリガするアクションを実行するとき、ユーザは、すべてのメッセージの交換を伴うこのアクションが終了するまで長く待っているのを好まない。しかしながら、いくつかの理由で、たとえばメッセージがRF干渉によって破損した場合に、他方の当事者はメッセージの各々を受信することに失敗することがある。したがって、デバイスがWi-Fi(登録商標)を介して要求を送るとき、デバイスは、応答を待つためのタイマーを設定する。応答がタイムアウト内に到着しなかった場合、デバイスは、再び要求を送ることを試みる。数回の試行の後に応答が受信されなかった場合、デバイスは断念し、これをユーザに報告する。待ち時間がより長く、許容される試行の数がより多いとき、成功の見込みは増加するが、ユーザはまた、プロトコルが成功しなかったという確認を得るまでより長く待たなければならない。
旧来の相互認証に関する問題は、レスポンダデバイスのユーザが最初に公開鍵Bをキャプチャしなければならないので、レスポンダが相互認証のために認証応答メッセージで応答するのに、片方向認証の場合よりも長い時間がかかることである。また、イニシエータデバイスは、レスポンダデバイスが相互認証を行うことを希望するか否かを知らない。したがって、イニシエータデバイスは、これに適応するように、イニシエータデバイスの待ち時間及び試行の数を高く設定しなければならない。これは、Wi-Fi(登録商標)問題、たとえば、あまりに多くの雑音、又はイニシエータとレスポンダとの間の不正なWi-Fi(登録商標)転送の何らかの他の理由がある場合、イニシエータデバイスが、断念し、これをそのユーザに報告するまで非常に長く待たなければならないことを意味する。
提案するシステムは、イニシエータの公開OOB鍵Bをキャプチャするために必要とされるユーザ対話があるとき、効果的である。そのようなレスポンダOOBアクションの例は、以下の通りである。
・ Bが機械可読コード(たとえばQRコード(登録商標)又はバーコード)として表示され、ユーザがBを読み取るために(カメラ又はレーザースキャナなどの)機械可読コードリーダーを使用しなければならないとき、
・ Bが、人間が読み取れる形式で表示され、ユーザが何らかの入力デバイス(キーボード、キー、キーボードがその上に表示されるタッチディスプレイ、マウス、及びスクリーン上に表示されるキーボードなど)を使用してレスポンダデバイスにコードを入力しなければならないとき、
・ ユーザがレスポンダデバイスのためのNFCリーダーと接触させなければならないNFCタグ(参考文献[5]参照)を使用してBが転送されるとき。ここで、BをもつNFCタグは、レスポンダデバイスにBを転送すると同時にイニシエータデバイスにBを転送するために使用され得ない。
上記の問題を解決するために、レスポンダが相互認証を行うことを希望する場合、レスポンダは、レスポンダが片方向認証を行うことを希望するかのように、最初に第1の認証応答を作る。レスポンダは、レスポンダが片方向認証を行うことを希望するかのように、すべての暗号化アクション及び他のアクションを実行する。ただし、レスポンダは、その応答中で、レスポンダが後で相互認証を行うことを希望することを指示する。この指示は特殊なステータスであり、たとえば「ステータスOK」の代わりに、レスポンダは、認証応答中でステータス「相互認証進行中」を送る。
そのようなARPを受信すると、イニシエータデバイスは、Wi-Fi(登録商標)問題がないとき、イニシエータデバイスの認証要求に対する迅速な応答を得る。イニシエータデバイスは、レスポンダデバイスに対する信頼を構築するためにレスポンダデバイスについての片方向認証検査を実行する。片方向認証検査を行うこと、たとえば、Diffie-Hellman鍵を使用して、返されたステータスに対して完全性検査を実行することはまた、攻撃者がステータスコード「相互認証進行中」又は認証応答メッセージの他の部分を変更することを防ぐ。
イニシエータデバイスは、受信された認証応答に対するすべての暗号化検査に関する問題がないとわかった後に、特殊なステータス「待機中相互認証応答」をもつ認証確認メッセージで応答する。
レスポンダデバイス(のユーザ)は、次いで、都合のよいときに公開鍵Bをキャプチャし、終わったとき、イニシエータの公開鍵Bのハッシュとさらなるステータス「ステータスOK」とを含んでいる相互認証応答で応答する。
次に、詳細な認証プロトコルが説明される。プロトコルは、公開鍵が帯域外(OOB)で使用されることを可能にし、それらの公開鍵は、完全に表示又は転送されるが、Wi-Fi(登録商標)を介してそのようなものとして使用されない。代わりに、Wi-Fi(登録商標)を介して、公開OOB鍵のハッシュ値が使用され、その結果、これらの公開鍵は、交換されたWi-Fi(登録商標)メッセージをリッスンしている他のものに知られないままである。これは、OOB鍵が静的である場合、有用である。静的なOOB鍵は、QRコード(登録商標)のためのディスプレイなど、OOBでデータを出力する手段を有しないデバイスによって使用される。プロトコルが、レスポンダに、帯域内で、したがってWi-Fi(登録商標)を介して公開鍵を受信するように要求したとき、イニシエータは、Wi-Fi(登録商標)を介してさらなる異なる公開鍵Pを送る。
公開鍵の転送のために、代替実施形態が可能である。Wi-Fi(登録商標)を介して公開鍵のハッシュを使用する代わりに、公開鍵の限られた数のビットのみを表示する/送ることなど、値を不明瞭にする他のやり方が使用される。また、完全な値の代わりに、公開鍵のハッシュがOOBで表示/転送される。これは、OOBで表示又は転送することになるビット数を少なくすることができ、したがって、より小さいQRコード(登録商標)又はより小さいNFCタグ(参考文献[5]参照)が使用され得ることを利点として有する。そのような場合、公開鍵の完全な値は、帯域内で、すなわちWi-Fi(登録商標)を介して送られなければならない。この場合、PとBとは同じである。それらの公開鍵は両方とも、OOBで使用して、及びWi-Fi(登録商標)を介して完全に表示/転送される。
今説明された例示的なプロトコルでは、OOB公開鍵は、QRコード(登録商標)として表示され、カメラによってキャプチャされるが、OOBチャネルについての他の実施形態も可能である。上記の例参照。
第1の段階において、イニシエータデバイスのユーザは、イニシエータデバイスと特定のレスポンダデバイスとの間のセキュアな接続をセットアップすることを希望する。ユーザは、イニシエータデバイス上で認証プロトコルを開始する。イニシエータデバイスは、公開鍵ペアB/b及びP/pを使用するか、又は、新しい鍵ペアB/b及びP/pを生成する。
いくつかの実施形態では、レスポンダデバイスは、レスポンダモードでアクティブに設定される。他の実施形態では、レスポンダデバイスは、第1の時間の間に又は工場出荷時の値へのリセットの後にそれがオンに切り替えられたとき、レスポンダモードで設定される。Rをレスポンダモードに設定することは、新しい公開鍵ペアB/bを生成することをトリガする。レスポンダデバイスは、プロトコルに参加するためにレスポンダモードでなければならない。レスポンダモードでは、レスポンダデバイスは、Diffie-Hellmanにおいて公開鍵又は公開鍵のうちの1つとして使用するための公開鍵Bを表示する。Bは静的であり、レスポンダデバイスに、又はそのマニュアルにプリントされる。Bに対応するプライベート鍵はbである。ペアB/bは、Diffie-Hellmanの新しい実行ごとに、又はx分の時間間隔ごとに、新たに生成される。Bの表示は、人間が読み取れる形式のもの、又は機械可読形式(QRコード(登録商標)、バーコード)のもの、或いはその両方であり得る。ここでは、カメラを用いて読み取ることができるコンピュータ可読コードを仮定する。
第2の段階において、イニシエータデバイスのユーザは、認証プロトコルを開始し、イニシエータデバイスのカメラをレスポンダデバイスの機械可読公開鍵Bに向け、イニシエータデバイスにそれをキャプチャさせる。これらのユーザアクションは、もちろん、ある程度の時間を要する。
第3の段階において、イニシエータデバイスは、イニシエータデバイスがMACアドレスを知っている場合は直接レスポンダデバイスをアドレス指定することによって、又は、Wi-Fi(登録商標)を介して認証要求をブロードキャストすることによって、Wi-Fi(登録商標)を介して認証要求をレスポンダデバイスに送る。認証要求は、イニシエータデバイスの公開鍵Bのハッシュ及びレスポンダデバイスの公開鍵Bのハッシュと、レスポンダによってDiffie-Hellman鍵を導出する際に使用されることになるイニシエータの公開鍵Pと、他のイニシエータ情報、たとえばイニシエータナンスとを含んでおり、それらは、Bとpとを使用してDiffie-Hellmanを使用して導出される鍵k1を用いて暗号化される。暗号化は、対称暗号を用いて行われ得る。ただし、その暗号化されたペイロードの完全性検査を行うことと、また、そのペイロードの他の暗号化されていない部分の完全性検査を行うこととをも採用する暗号、たとえばAES-SIV(参考文献[3]参照)が使用されるとき、レスポンダデバイスは、「他のイニシエータ情報」の解読中に、それが正しいDiffie-Hellman鍵を生成したかどうかと、ステータスコードなど、メッセージ中の暗号化されていない値が攻撃者によって変更されなかったかどうかとを検査することができる。AES-SIVがエラーなしで解読した場合、レスポンダデバイスは、イニシエータデバイスが、Pに対応するプライベート鍵を使用したことと、したがって、イニシエータデバイスが、Pに対応するプライベート鍵の所有をレスポンダデバイスに証明したこととを確実に知る。
次の段階において、レスポンダは、その公開鍵Bのハッシュを用いてWi-Fi(登録商標)メッセージを参照し、したがって、レスポンダは、Wi-Fi(登録商標)メッセージがレスポンダに向けられていることを知る。レスポンダはまた、特に認証プロトコルのこの実行の直前にBが新たに生成されたとき、このメッセージの送信側がBをキャプチャしたことをその表示から知る。しかしながら、レスポンダデバイスは、どのデバイスが送信側であるかの手がかりを有しない。したがって、レスポンダデバイス(のユーザ)は、さらなる認証を希望し、それに加えて、イニシエータデバイスの公開鍵Bを帯域外でキャプチャする。レスポンダデバイスのユーザは、相互認証を実行するようにユーザのデバイスをセットアップする。レスポンダは、次に、イニシエータデバイスに迅速なフィードバックを与え、したがって、イニシエータデバイスは、Wi-Fi(登録商標)リンクが動作しており、今のところ暗号学的にすべてがOKであることを知る。応答メッセージは、相互認証応答がレスポンダデバイスから来るが、この応答がある程度の時間(数秒~数十秒程度)を要することを示す。したがって、レスポンダは、ステータス「相互認証進行中」をもつイニシエータへの認証応答メッセージで直ちに返答し、メッセージ中のさらなるデータが、片方向認証応答の場合のように生成される。後者は、このメッセージの構成において、認証要求からの「他のイニシエータ情報」、たとえばイニシエータナンスが、P及びbを使用してレスポンダデバイスによって解読され、認証応答メッセージの構成において使用され、その結果、レスポンダが、正しい「他のイニシエータ情報」、たとえばイニシエータナンスを実際使用し、したがって、レスポンダOOB公開鍵Bに対応するプライベート鍵bの所有を証明したかどうかをイニシエータが検査することができることを意味する。
認証応答メッセージの構成において他のイニシエータ情報を使用する様々なやり方としては、以下がある。
・ 「他のイニシエータ情報」は、平文でメッセージ中に入れられ得る。
・ 「他のイニシエータ情報」は、たとえばAES-SIVとともにAAD(認証済み関連データ(Authenticated Associated Data)、又は認証済み追加データ(Authenticated Additional Data))として「他のイニシエータ情報」を使用することによって、Diffie-Hellmanを使用して導出される鍵によって完全性について保護されながら、平文でメッセージ中に入れられ得る。
・ 「他のイニシエータ情報」は、たとえば、最初にDiffie-Hellmanを使用して鍵を導出し、Diffie-Hellman鍵と「他のイニシエータ情報」とを鍵導出関数のための入力として使用することによって、さらなる鍵を導出するために使用され得る。そのように導出された鍵がAES-SIVとともに使用される場合、又は、そのように導出された鍵が、イニシエータに知られている何かを暗号化するために使用される場合、イニシエータは、レスポンダが正しい「他のイニシエータ情報」を知っているかどうかを検査することができる。
随意に、ステータスフィールドもAES-SIVのためのAADとして使用され、したがって、それは、イニシエータデバイスが知ることなしに改ざんされ得ない。
次の段階において、イニシエータは認証応答メッセージを受信する。イニシエータは、すべての暗号化検査を実行し、レスポンダデバイスが「他のイニシエータ情報」を正しく解読したかどうか、したがって、イニシエータデバイスがそのカメラを用いてレスポンダデバイスからキャプチャした公開OOB鍵Bに対応するプライベート鍵bをレスポンダデバイスが所有するかどうかを知ることができる。これらの検査が失敗した場合、イニシエータデバイスはプロトコルをアボートする。検査がOKであることが判明した場合、イニシエータデバイスはステータスフィールドを点検する。イニシエータデバイスは、「相互認証進行中」を参照する。ここで、イニシエータデバイスは、それがレスポンダデバイスからの第2の応答を数秒~数十秒待たなければならないことを知る。
随意に、イニシエータデバイスは、イニシエータが相互認証応答を待っていることを示すステータスをもつ待機中認証確認メッセージを伴う認証応答メッセージの正しい受信を確認する。そのメッセージは、片方向認証のために構成される。
次の段階において、レスポンダデバイスのユーザは、レスポンダデバイスのカメラをイニシエータデバイスによって表示された公開鍵Bに向ける。イニシエータデバイスからのそのようにキャプチャされた公開鍵のハッシュが、認証要求メッセージ中でWi-Fi(登録商標)を介して受信されたイニシエータデバイスの公開鍵のハッシュに一致するとき、レスポンダデバイスは、それがイニシエータデバイスとのDiffie-Hellmanを実行するために正しい公開鍵を使用しようとしていることを確信することができる。レスポンダデバイスは、プロトコルにおいて後で、イニシエータデバイスが、対応するプライベート鍵bの所有を証明したとき、レスポンダデバイスが、Bをそこからキャプチャしたデバイスと通信していることを確実に知ることになる。
次の段階において、公開鍵Bをキャプチャした後に、レスポンダデバイスは、相互認証応答として作成された、相互認証応答メッセージでイニシエータデバイスに応答する。メッセージは、ステータス「相互OK」、又は単に「OK」と、Bのハッシュと、他のレスポンダ情報とを含んでおり、これは、認証要求メッセージ中でWi-Fi(登録商標)を介して受信された公開鍵Pとイニシエータデバイスから帯域外で取得されたBとを使用してDiffie-Hellmanを使用して導出された鍵を用いて暗号化される。イニシエータデバイスによって送られた「他のイニシエータ情報」は、前に説明されたように、レスポンダデバイスによって、そのプライベート鍵bと受信された公開鍵Pとを使用して解読され、認証応答メッセージの構成において使用され、したがって、レスポンダデバイスは、bの所有をイニシエータデバイスに証明することができる。片方向認証応答とのいくつかの差は、レスポンダが、Diffie-Hellman鍵を導出するためにBをも使用すること、及び応答中のBのハッシュの存在である。
レスポンダデバイスがイニシエータからの2つの公開鍵B及びPを使用することができる異なるやり方がある。たとえば、レスポンダは、それ自体の1つ又は2つのプライベート鍵とともにこれらの2つの公開鍵の各々を使用して、k3及びk4とともに、2つのDiffie-Hellman鍵を導出する。
第1の実施形態では、レスポンダは、たとえば、P及びそのプライベート鍵b又は新しいプライベート鍵p或いはbとpとの和を使用してk3を導出することができる。レスポンダがpを使用する場合、レスポンダは、対応する公開鍵Pを、イニシエータがそれを取り出すことができるようなやり方で認証応答中に含めなければならない。それは、平文のP、又は、イニシエータが導出することが可能である鍵、たとえば上記の鍵k1を用いて暗号化されたPを送ることによって行われ得る。
第2の実施形態では、レスポンダは、たとえば、B及びそのプライベート鍵b又は新しいプライベート鍵p或いはbとpとの和を使用してk4を導出する。レスポンダがpを使用する場合、レスポンダは、対応する公開鍵Pを、イニシエータがそれを取り出すことができるようなやり方で認証応答中に含めなければならない。それは、平文のP、又は、イニシエータが導出することが可能である鍵、たとえば上記の鍵k1を用いて暗号化されたPを送ることによって行われ得る。2つのプライベート鍵の和がk3又はk4のいずれかのために使用される場合、他の鍵の導出は、pとbとの和ではなく、これらの鍵のうちのただ1つを使用するべきである。このようにして、レスポンダデバイスは、プライベート鍵bとpとの和だけではなく、プライベート鍵の所有を証明することが可能である。
さらなる実施形態では、レスポンダは、イニシエータが知っている異なる値、たとえばイニシエータナンスを各々暗号化するために鍵k3と鍵k4の両方を使用し、したがって、イニシエータは、レスポンダが使用したプライベート鍵をレスポンダデバイスが知っているかどうかを検査することができる。さらに、レスポンダは、認証確認メッセージを検査することが可能であるために、それ自体の「他のレスポンダ情報」、たとえばレスポンダナンスを暗号化する。
さらなる実施形態では、異なる値を暗号化するために鍵k3及びk4を使用する代わりに、それらのうちの一方、すなわち「第1の鍵」が、第1の値を暗号化するために使用され得、他方の鍵、すなわち「第2の鍵」が、別の値と暗号化された第1の値との連結を暗号化するために使用される。第2の鍵は、レスポンダがこの鍵を生成することができるようなものであるべきである。第2の鍵を用いて暗号化された値は、第1の鍵を生成するために必要とされる情報を含んでおり、したがって、信頼を構築するのを助ける。
次の段階において、イニシエータは、今やステータス「OK」をもつ認証応答メッセージを受信する。イニシエータデバイスは、その中のハッシュをその公開鍵Bのハッシュと比較する。それが一致するとき、イニシエータデバイスはまた、レスポンダデバイスがその公開鍵Bをキャプチャしたことをその表示から知る。イニシエータデバイスはすべての必要とされる鍵を生成し、そのためにイニシエータデバイスは、そのプライベート鍵b及びpを必要とし、イニシエータデバイスはすべての暗号化検査を実行する。これらの検査がすべてOKである場合、イニシエータデバイスは、それが、プライベート鍵bと、pも使用された場合、場合によってはpとを所有するデバイスと通信していたことと、レスポンダデバイスが正しいBを正常に取得したこととを知る。
次の段階において、前の段階における検査がすべてOKである場合、イニシエータデバイスは、ステータス「OK」をもつ確認応答メッセージをレスポンダデバイスに送り、ここで、特に、bからDiffie-Hellman様式で導出された鍵が使用され、その結果、イニシエータデバイスはbの所有をレスポンダデバイスに証明することができる。イニシエータデバイスは、「他のレスポンダ情報」、たとえばレスポンダナンスをも使用し、その結果、レスポンダは、イニシエータがこれらを解読することに成功したことがわかる。
上記のシステムは、ポータブルデバイス、ラップトップ、PC、Wi-Fi(登録商標)アクセスポイント、Wi-Fi(登録商標)ピアツーピアデバイス、Bluetooth(登録商標)デバイス、Zigbee(登録商標)デバイスにおいて実装される。Wi-Fi(登録商標)が使用される場合、本発明は、一般に、wpa_supplicantソフトウェア、たとえばhttps://en.wikipedia.org/wiki/wpa_supplicant参照、において実装される。
一実施形態では、第1のデバイスと第2のデバイスとの間の認証プロトコルは、追加の属性又は追加のメッセージを含み、追加の属性又は追加のメッセージは、たとえば、証明(たとえば公開鍵)、証明のハッシュ又は暗号化された証明を含んでいる、IEEE802.11(参考文献[1]参照)において定義されている認証プロトコルに追加される。第2のデバイスは、認証プロトコルのためのメッセージ交換の一部として、そのような証明、証明のハッシュ又は暗号化された証明を含まなければならない。対称であるために、第1のデバイスも、そのような証明、証明のハッシュ又は暗号化された証明を含まなければならない。認証プロトコルのメッセージ中に、証明、証明のハッシュ又は暗号化された証明を含んでいる好ましいフィールドは、そのメッセージの送信又は到着時間を測定するために、そのフィールドを転送する信号又は信号の少なくとも一部が使用されるフィールドであり、その結果、別のデバイスが、その証明、その証明のハッシュ、又はその暗号化された証明をメッセージ中に挿入することは、不可能ではないにしても極めて困難である。
一実施形態では、第1のメッセージプロセッサは、この証明、証明のハッシュ又は暗号化された証明を処理するように構成され、その証明が、第1のメッセージプロセッサが、Wi-Fi(登録商標)プロテクテッドセットアッププロトコル(Wi-Fi(登録商標) Protected Setup Protocol)、デバイスプロビジョニングプロトコル(Device Provisioning Protocol)、Diffie-Hellman鍵交換及び/又は4ウェイWPA2ハンドシェイク(4-way WPA2 handshake)を使用することなどによって、正常にデバイス認証を実行し、相互信頼を確立した、デバイスによって前に使用された証明に一致するかどうかを検証する(参考文献[1]参照)。一致が見つかった場合、第1のデバイスは、第2のデバイスを信頼し、信頼性が高いと見なすことができると仮定する。一致が見つからなかった場合、第1のデバイスは、第2のデバイスを信頼せず、信頼性を検証するために追加のステップを実行する。
代替実施形態では、第2のデバイスは、後の接続セットアップ中に使用される証明、証明のハッシュ又は暗号化された証明を含まなければならない。第1のメッセージプロセッサは、受信された証明、証明のハッシュ又は暗号化された証明を、その証明と接続する特定のデバイスとセキュアに相関するために、第2のデバイスの他のパラメータとともに処理し、記憶するように構成される。第1のデバイスと第2のデバイスとの間の接続をセットアップすると、第1のデバイスは、Wi-Fi(登録商標)プロテクテッドセットアッププロトコル、デバイスプロビジョニングプロトコル、Diffie-Hellman鍵交換を実行する間に及び/又は4ウェイWPA2ハンドシェイクを実行する間になど、デバイス認証を実行する間に、同じ証明又はそれの派生物が使用されるかどうかを検証する。そうすることによって、第1のデバイスは、それが接続しているデバイスが、以前の認証が行われたデバイスと同じデバイスであると決定することができる。特に、証明が公開鍵であった場合、及び第1のデバイスと第2のデバイスとの間の接続をセットアップすることが、第2のデバイスがその公開鍵に属するプライベート鍵の所有を証明として有することを第2のデバイスが第1のデバイスに正常に証明したことを含んでいた場合、第1のデバイスは、第2のデバイスが、そうであると主張するデバイスであり、偽造者(imposter)でないことを確信することができる。
図5は、イニシエータのための方法を示す。本方法は、通信プロトコルと、認証を適応させるための認証プロトコルとに従うレスポンダデバイスとのワイヤレス通信のためにイニシエータデバイスにおいて使用するための方法である。プロトコルは、ユーザ対話とレスポンダデバイスから受信されたメッセージとに応じて認証プロトコルに従うイニシエータ状態を必要とする。
本方法は、ノードSTART501において開始する。第1の段階において、本方法は、ブートストラッピングのための初期状態を設定する。
次のステップACRPK502において、本方法は、イニシエータ帯域外アクションを介してレスポンダデバイスからレスポンダ公開鍵Bを取得することにつく。Bを正常に取得すると、本方法は、ステップSARQ503において、ブートストラッピングがレスポンダ公開鍵を取得することによって正常に実行されたことを示すブートストラップ済み状態につく。次いで、本方法は、イニシエータ公開鍵を検証するためのイニシエータベリファイア(H(B))とレスポンダ公開鍵を検証するためのレスポンダベリファイア(H(B))とを含む認証要求ARQを作成することによって続く。メッセージARQは、ブートストラップ済み状態で送られる。次いで、本方法は、認証応答を受信することを待機する。所定の時間内に受信されなかった場合、本方法は、矢印513によって示されるように、ARQを再び送る。
次の段階RARP1 504において、認証を実行するための認証中状態につく。その後、本方法は、レスポンダ公開鍵Bに対応するレスポンダプライベート鍵bに基づく片側レスポンダ認証データ{R-auth1}k1を含む認証応答ARP1を受信し、分解する。ARP1は、レスポンダデバイスがレスポンダ帯域外アクションを介してイニシエータデバイスからイニシエータ公開鍵を取得することを可能にするための、相互認証が進行中であることを示す相互進行ステータスを含む。
次の段階AWMUT505において、待機中相互認証のために、相互進行ステータスを受信すると、相互認証中状態につく。次に、相互認証応答ARP2を受信し、分解する。ARP2は、イニシエータ公開鍵Bとレスポンダプライベート鍵bとに基づく相互レスポンダ認証データ{R-auth2}k2を含む。
次の段階MUTC506において、認証が正常に実行されたことを示す認証済み状態につく。これは、相互認証応答ARP2を受信することと、レスポンダ公開鍵とイニシエータ公開鍵(B)に対応するイニシエータプライベート鍵(b)とに基づく相互レスポンダ認証データ{R-auth2}k2を正常に処理することとを伴う。次いで、本方法は、相互認証の確認を示す相互確認ステータスを含む相互認証確認ACF2を作成することによって続く。ACF2は、レスポンダ公開鍵Bとイニシエータ公開鍵Bに対応するイニシエータプライベート鍵bとに基づく相互イニシエータ認証データ{I-auth2}k2をも含む。本方法は、次いで、ノードEND507において終了する。
図6は、レスポンダのための方法を示す。本方法は、通信プロトコルと、認証を適応させるための認証プロトコルとに従うイニシエータデバイスとのワイヤレス通信のためにレスポンダデバイスにおいて使用するための方法である。プロトコルは、ユーザ対話とイニシエータデバイスから受信されたメッセージとに応じて認証プロトコルに従うレスポンダ状態を必要とする。
本方法は、ノードSTART601において開始する。第1の段階RARQ602において、レスポンダは、イニシエータからメッセージを受信するための待機中状態につく。認証要求ARQを受信し、分解する。ARQは、イニシエータ公開鍵を検証するためのイニシエータベリファイアH(B)とレスポンダ公開鍵を検証するためのレスポンダベリファイアH(B)とを含む。
次の段階SARP1 603において、本方法は、認証を実行するためのレスポンダ認証中状態につく。認証要求を正常に処理すると、レスポンダ認証中状態につく。次いで、レスポンダ公開鍵Bに対応するレスポンダプライベート鍵bに基づく片側レスポンダ認証データ{R-auth1}k1と、相互認証が進行中であることを示す相互進行ステータスとを含む認証応答ARP1を作成する。
次の段階MUTA604において、相互レスポンダ認証中状態につく。次に、レスポンダ(のユーザ)は、レスポンダ帯域外アクションを介してイニシエータデバイスからイニシエータ公開鍵を取得することを可能にされる。これは、その状態に再び入る矢印614によって示されているように、ある程度の時間を要する。イニシエータ公開鍵を正常に取得した後に、相互認証応答ARP2を作成し、相互レスポンダ認証中状態で送る。ARP2は、イニシエータ公開鍵Bとレスポンダ公開鍵Bに対応するレスポンダプライベート鍵bとに基づく相互レスポンダ認証データ{R-auth2}k2を含む。
次の段階WMUC605において、認証が正常に実行されたことを示すレスポンダ認証済み状態につく。相互認証確認ACF2を受信し、分解する。ACF2は、相互認証の確認を示す相互確認ステータスと、レスポンダ公開鍵Bとイニシエータ公開鍵(B)に対応するイニシエータプライベート鍵bとに基づく相互イニシエータ認証データ{I-auth2}k2とを含む。イニシエータ公開鍵(B)とレスポンダプライベート鍵(b)とに基づく相互イニシエータ認証データを正常に処理すると、認証済み状態につく。本方法は、次に、ノードEND606において終了する。
以下でさらに解明されるように、ロケーション情報を保護するためにコンピュータ上で実行されたときに上記の方法を実施するためのプログラムコード命令を含む、ネットワークからダウンロード可能な、並びに/或いはコンピュータ可読媒体及び/又はマイクロプロセッサ実行可能媒体に記憶されたコンピュータプログラム製品が提供される。
上記のシステムは、たとえば、屋内及び屋外短距離ワイヤレス通信システムにおいて適用され、ここで、認証プロトコルを介して認証がサポートされる。たとえば、システムは、Wi-Fi(登録商標)、Wi-Fi(登録商標) Aware、又はWi-Fi(登録商標) Directをサポートするポータブルデバイス及び固定デバイスにおいて適用され得る。
一般に、対話するイニシエータデバイス及びレスポンダデバイスは、各々、デバイスにおいて記憶された適切なソフトウェアを実行するプロセッサを備え、たとえば、そのソフトウェアは、ダウンロードされ、及び/又は対応するメモリ、たとえば、RAMなどの揮発性メモリ又はフラッシュなどの不揮発性メモリ(図示せず)に記憶される。デバイス及びサーバは、たとえば、マイクロプロセッサ及びメモリ(図示せず)を装備する。代替的に、デバイス及びサーバは、全体的に又は部分的に、プログラマブル論理で、たとえば、フィールドプログラマブルゲートアレイ(FPGA)として実装される。デバイス及びサーバは、全体的に又は部分的に、いわゆる特定用途向け集積回路(ASIC)、すなわち、それらの特定の用途のためにカスタマイズされた集積回路(IC)として実装される。たとえば、回路は、たとえば、Verilog、VHDLなど、ハードウェア記述言語を使用して、CMOSにおいて実装される。
当業者に明らかであるように、方法を実行する多くの異なるやり方が可能である。たとえば、段階又はステップの順序が変動され得るか、又はいくつかの段階が並列に実行される。その上、ステップの中間に、他の方法ステップが挿入される。挿入されたステップは、本明細書で説明されるような方法の改良を表すか、又はそのような方法に関係しない。
本発明による方法は、ソフトウェアを使用して実行され、ソフトウェアは、プロセッサシステムに、それぞれの方法を実行させるための命令を含む。ソフトウェアは、システムの特定のサブエンティティによってとられるステップのみを含む。ソフトウェアは、ハードディスク、フロッピー、メモリなど、好適な記憶媒体に記憶される。ソフトウェアは、ワイヤに沿って、又はワイヤレス、或いはデータネットワーク、たとえば、インターネットを使用して、信号として送られる。ソフトウェアは、ダウンロードのために及び/又はサーバ上でのリモート使用のために利用可能にされる。本発明による方法は、方法を実行するためにプログラマブル論理、たとえば、フィールドプログラマブルゲートアレイ(FPGA)を設定するように構成された、ビットストリームを使用して実行される。ソフトウェアは、ソースコード、オブジェクトコード、コード中間ソース及び部分的にコンパイルされた形態などのオブジェクトコードの形態、又は本発明による方法の実装形態において使用するのに好適な任意の他の形態であることが諒解されよう。コンピュータプログラム製品に関係する実施形態は、記載された方法のうちの少なくとも1つの処理ステップの各々に対応するコンピュータ実行可能命令を含む。これらの命令は、サブルーチンに再分割され、及び/或いは静的に又は動的にリンクされる1つ又は複数のファイルに記憶される。コンピュータプログラム製品に関係する別の実施形態は、記載されたシステム及び/又は製品のうちの少なくとも1つの手段の各々に対応するコンピュータ実行可能命令を含む。
図7aは、コンピュータプログラム1020を備える書込み可能部分1010を備えるコンピュータ可読媒体1000を示し、コンピュータプログラム1020は、プロセッサシステムに、上記で説明されたシステムにおいて上記の方法のうちの1つ又は複数を実行させるための命令を含む。コンピュータプログラム1020は、物理的マークとして又はコンピュータ可読媒体1000の要素の磁化によって、非一時的コンピュータ可読媒体1000上で具現される。しかしながら、他の好適な実施形態が、同様に考えられる。さらに、コンピュータ可読媒体1000は、ここでは光ディスクとして示されているが、コンピュータ可読媒体1000は、ハードディスク、ソリッドステートメモリ、フラッシュメモリなど、任意の好適なコンピュータ可読媒体であり、記録不可能又は記録可能であることが諒解されよう。コンピュータプログラム1020は、プロセッサシステムに方法を実行させるための命令を含む。
図7bは、上記で説明されたデバイス又はサーバの一実施形態による、プロセッサシステム1100の概略表現を示す。プロセッサシステムは、回路1110、たとえば1つ又は複数の集積回路を備える。回路1110のアーキテクチャは、図に概略的に示されている。回路1110は、一実施形態による方法を実行し、及び/或いはそのモジュール又はユニットを実装するために、コンピュータプログラム構成要素を実行するための処理ユニット1120、たとえば、CPUを備える。回路1110は、プログラミングコード、データなどを記憶するためのメモリ1122を備える。メモリ1122の一部は、読取り専用である。回路1110は、通信要素1126、たとえば、アンテナ、コネクタ、又はその両方などを備える。回路1110は、方法において定義された処理の一部又は全部を実行するための専用集積回路1124を備える。プロセッサ1120、メモリ1122、専用IC1124及び通信要素1126は、相互接続1130、たとえばバスを介して、互いに接続される。プロセッサシステム1100は、それぞれ、アンテナ及び/又はコネクタを使用して、接触及び/又は非接触通信のために構成される。
要約すれば、ワイヤレス通信システムが、ワイヤレス通信のために構成されたイニシエータデバイス及びレスポンダデバイスを備える。ワイヤレス通信システムは、イニシエータデバイスによるレスポンダデバイスの片側認証と、両方のデバイスの相互認証とを可能にする。イニシエータの実施形態は、メッセージユニットとステートマシンとを備える。イニシエータは、帯域外アクションを介してレスポンダ公開鍵を取得することによって開始し、認証要求を送る。レスポンダは、レスポンダプライベート鍵に基づくレスポンダ認証データと、レスポンダデバイスがレスポンダ帯域外アクションを介してイニシエータ公開鍵を取得することを可能にするための相互認証が進行中であることを示す相互進行ステータスとを含む認証応答を送る。イニシエータステートマシンは、待機中相互認証のために、相互進行ステータスを受信するとつくことになる、相互認証中状態を与えるように構成される。それにより、ワイヤレス通信中の長いタイムアウト期間が回避され、また、イニシエータが短い時間内にユーザに通信エラーを報告することを可能にする。
明快のために、上記の説明では、異なる機能ユニット及びプロセッサに関して本発明の実施形態について説明したことが諒解されよう。しかしながら、本発明から逸脱することなく、異なる機能ユニット又はプロセッサ間の機能の任意の好適な分散が使用されることは明らかであろう。たとえば、別個のユニット、プロセッサ又はコントローラによって実行されるものとして示された機能は、同じプロセッサ又はコントローラによって実行される。したがって、特定の機能ユニットへの言及は、厳密な論理的又は物理的構造或いは編成を示すのではなく、説明された機能を提供するための好適な手段への言及としてのみ参照されるべきである。本発明は、ハードウェア、ソフトウェア、ファームウェア又はこれらの任意の組合せを含む任意の好適な形態で実装され得る。
本明細書では、「含む/備える/有する(comprising)」という単語は、記載されたもの以外の要素又はステップの存在を除外せず、要素に先行する「1つの(a)」又は「1つの(an)」という単語は、複数のそのような要素の存在を除外しないこと、いかなる参照符号も特許請求の範囲の範囲を限定しないこと、本発明は、ハードウェアとソフトウェアの両方によって実装されること、及びいくつかの「手段」又は「ユニット」は、ハードウェア又はソフトウェアの同じアイテムによって表され、プロセッサは、場合によってはハードウェア要素と協働して、1つ又は複数のユニットの機能を満たすことに留意されたい。さらに、本発明は実施形態に限定されず、本発明は、上記で説明された、又は相互に異なる従属請求項に記載の、あらゆる新規の特徴又は特徴の組合せにある。

参考文献:
[1] IEEE Computer Society,“IEEE Standard for Information Technology-Telecommunications and Information Exchange Between Systems-Local and Metropolitan Area Networks-Specific requirements Part 11:Wireless LAN Medium Access Control(MAC)and Physical Layer(PHY)Specifications,”(IEEE Std.802.11-2016),December 2016

[2] Wi-Fi Simple Configuration-Technical Specification-Version 2.0.5“Specification for easy,secure setup and introduction of devices into WPA2-enabled 802.11 networks”,Wi-Fi Alliance,2014.

[3] RFC 5297,Synthetic Initialization Vector(SIV)Authenticated Encryption Using the Advanced Encryption Standard(AES),October 2008,(https://datatracker.ietf.org/doc/rfc5297/)

[4] FIPS180-4,"Secure Hash Standard",United States of America,National Institute of Standards and Technology,Federal Information Processing Standard(FIPS)180-4

[5] NFC Forum Connection Handover Candidate Technical Specification,December 2015,(http://nfc-forum.org/product/nfc-forum-connection-handover-candidate-technical-specification-version-1-4/)

[6] Diffie,W.;Hellman,M.(1976),"New directions in cryptography",IEEE Transactions on Information Theory,22(6):644-654

[7] Rivest,R.;Shamir,A.;Adleman,L.(February 1978)."A Method for Obtaining Digital Signatures and Public-Key Cryptosystems",Communications of the ACM.21(2):120-126.

[8] Koblitz,N.(1987)."Elliptic curve cryptosystems".Mathematics of Computation.48(177):203-209.

Claims (18)

  1. 通信プロトコルに従うレスポンダデバイスとのワイヤレス通信のためのイニシエータデバイスであって、
    前記通信プロトコルが、
    前記イニシエータデバイスによる前記レスポンダデバイスの片側認証、並びに
    前記イニシエータデバイスによる前記レスポンダデバイスの及び前記レスポンダデバイスによる前記イニシエータデバイスの相互認証
    のうちの1つである認証を適応させるための認証プロトコルを含み、
    前記レスポンダデバイスが、
    前記通信プロトコルに従うワイヤレス通信のためのレスポンダトランシーバと、
    前記通信プロトコルを処理するためのレスポンダプロセッサとを備え、
    前記イニシエータデバイスが、
    前記通信プロトコルに従うワイヤレス通信のためのイニシエータトランシーバと、
    前記通信プロトコルを処理するためのイニシエータプロセッサとを備え
    前記イニシエータプロセッサが、
    前記レスポンダデバイスに送られることになるメッセージを作成することと、前記認証プロトコルに従って前記レスポンダデバイスから受信されたメッセージを分解することとを行うためのイニシエータメッセージユニットと、
    ユーザ対話と前記レスポンダデバイスから受信されたメッセージとに応じて前記認証プロトコルに従ってイニシエータ状態を与えるためのイニシエータステートマシンとを備え、前記イニシエータ状態は、
    イニシエータ帯域外アクションを介して前記レスポンダデバイスからレスポンダ公開鍵を取得することによるブートストラッピングのための初期状態(IST)と、
    前記ブートストラッピングが前記レスポンダ公開鍵を取得することによって正常に実行されたことを示すブートストラップ済み状態(BST)と、
    前記認証が正常に実行されたことを示す認証済み状態(ATD)と
    を含み、
    前記イニシエータメッセージユニットは、
    前記ブートストラップ済み状態で送られることになり、イニシエータ公開鍵を検証するためのイニシエータベリファイアと前記レスポンダ公開鍵を検証するためのレスポンダベリファイアとを含む認証要求
    を含むメッセージを作成し、
    前記レスポンダ公開鍵に対応するレスポンダプライベート鍵に基づくレスポンダ片側認証データと、前記レスポンダデバイスがレスポンダ帯域外アクションを介して前記イニシエータデバイスから前記イニシエータ公開鍵を取得することを可能にするための前記相互認証が進行中であることを示す相互進行ステータスとを含む認証応答
    を含むメッセージを分解し、
    前記イニシエータステートマシンが、待機中相互認証のために、前記相互進行ステータスを受信するとつくことになる、相互認証中状態を与え、
    前記イニシエータメッセージユニットが、
    前記イニシエータ公開鍵と前記レスポンダプライベート鍵とに基づく相互レスポンダ認証データを含む相互認証応答
    を分解し、
    前記相互認証の確認を示す相互確認ステータスと、前記レスポンダ公開鍵と前記イニシエータ公開鍵に対応するイニシエータプライベート鍵とに基づく相互イニシエータ認証データとを含む相互認証確認
    を作成する、イニシエータデバイス。
  2. 前記イニシエータステートマシンは、前記相互認証応答を受信し、前記イニシエータプロセッサが前記レスポンダ公開鍵と前記イニシエータ公開鍵に対応するイニシエータプライベート鍵とに基づく前記相互レスポンダ認証データを正常に処理すると、前記認証済み状態につく、請求項に記載のイニシエータデバイス。
  3. 前記イニシエータメッセージユニットが、前記片側認証の場合、前記レスポンダ公開鍵に対応するレスポンダプライベート鍵に基づく片側レスポンダ認証データと、前記片側認証を示す片側ステータスとを含む片側認証応答を分解し、
    前記イニシエータステートマシンは、前記イニシエータプロセッサが前記レスポンダ公開鍵とイニシエータ公開鍵に対応するイニシエータプライベート鍵とに基づく前記片側レスポンダ認証データを正常に処理すると、前記認証済み状態につく、
    請求項1に記載のイニシエータデバイス。
  4. 前記イニシエータステートマシンは、前記認証応答を受信し、前記イニシエータプロセッサが前記レスポンダ片側認証データを正常に処理しないと、前記ブートストラップ済み状態又は前記初期状態につく、
    請求項又はに記載のイニシエータデバイス。
  5. 前記イニシエータステートマシンは、前記相互認証応答を受信し、前記イニシエータプロセッサが前記相互レスポンダ認証データを正常に処理しないと、前記ブートストラップ済み状態又は前記初期状態につく、
    請求項に記載のイニシエータデバイス。
  6. 前記イニシエータメッセージユニットが、前記相互進行ステータスを受信すると、相互待機中ステータスを含む待機中認証確認を作成する、
    請求項2又は5に記載のイニシエータデバイス。
  7. 通信プロトコルに従うイニシエータデバイスとのワイヤレス通信のためのレスポンダデバイスであって、
    前記通信プロトコルが、
    前記イニシエータデバイスによる前記レスポンダデバイスの片側認証、並びに
    前記イニシエータデバイスによる前記レスポンダデバイスの及び前記レスポンダデバイスによる前記イニシエータデバイスの相互認証
    のうちの1つである認証を適応させるための認証プロトコルを含み、
    前記イニシエータデバイスが、
    前記通信プロトコルに従うワイヤレス通信のためのイニシエータトランシーバと、
    前記通信プロトコルを処理するためのイニシエータプロセッサとを備え、
    前記レスポンダデバイスが、
    前記通信プロトコルに従うワイヤレス通信のためのレスポンダトランシーバと、
    前記通信プロトコルを処理するためのレスポンダプロセッサとを備え、前記レスポンダプロセッサが、
    前記イニシエータデバイスに送られることになるメッセージを作成することと、前記認証プロトコルに従って前記イニシエータデバイスから受信されたメッセージを分解することとを行うためのレスポンダメッセージユニットと、
    ユーザ対話と前記イニシエータデバイスから受信されたメッセージとに応じて前記認証プロトコルに従ってレスポンダ状態を与えるためのレスポンダステートマシンとを備え、前記レスポンダ状態は、
    前記イニシエータデバイスからメッセージを受信するための待機中状態と、
    前記認証が正常に実行されたことを示すレスポンダ認証済み状態と
    を含み、
    前記レスポンダステートマシンは、前記レスポンダデバイスがレスポンダ帯域外アクションを介して前記イニシエータデバイスからイニシエータ公開鍵を取得することを可能にするための相互レスポンダ認証中状態を与え、
    前記レスポンダメッセージユニットは、
    レスポンダ公開鍵に対応するレスポンダプライベート鍵に基づく片側レスポンダ認証データと、前記相互認証が進行中であることを示す相互進行ステータスとを含む認証応答
    を含むメッセージを作成し、
    イニシエータ公開鍵を検証するためのイニシエータベリファイアと前記レスポンダ公開鍵を検証するためのレスポンダベリファイアとを含む認証要求
    を含むメッセージを分解し、
    前記レスポンダステートマシンは、前記レスポンダプロセッサが前記イニシエータ公開鍵と前記レスポンダプライベート鍵とに基づくイニシエータ認証データを正常に処理すると、前記レスポンダ認証済み状態につく、レスポンダデバイス。
  8. 前記レスポンダメッセージユニットが、
    前記相互レスポンダ認証中状態で送られるべき相互認証応答であって、前記イニシエータ公開鍵と前記レスポンダ公開鍵に対応するレスポンダプライベート鍵とに基づく相互レスポンダ認証データを含む相互認証応答
    を作成し、
    前記相互認証の確認を示す相互確認ステータスと、前記レスポンダ公開鍵と前記イニシエータ公開鍵に対応するイニシエータプライベート鍵とに基づく相互イニシエータ認証データとを含む相互認証確認
    を分解する、請求項に記載のレスポンダデバイス。
  9. 前記レスポンダメッセージユニットが、前記片側認証の場合、前記レスポンダ公開鍵に対応するレスポンダプライベート鍵に基づく片側レスポンダ認証データと、前記片側認証を示す片側ステータスとを含む片側認証応答を作成し、
    前記レスポンダステートマシンは、前記片側認証の場合、片側認証確認を受信し、前記レスポンダプロセッサが片側イニシエータ認証データを正常に処理すると、前記レスポンダ認証済み状態につく、
    請求項又はに記載のレスポンダデバイス。
  10. 前記レスポンダステートマシンは、前記相互認証確認を受信し、前記レスポンダプロセッサが前記相互イニシエータ認証データを正常に処理しないと、前記待機中状態につく、
    請求項に記載のレスポンダデバイス。
  11. 前記レスポンダメッセージユニットが、相互待機中ステータスを含む待機中相互認証確認を分解し、
    前記レスポンダステートマシンが、前記相互待機中ステータスを受信すると、前記相互レスポンダ認証中状態につく、
    請求項又は10に記載のレスポンダデバイス。
  12. 前記レスポンダメッセージユニットが、片側イニシエータ認証データを含む前記待機中相互認証確認をさらに分解し、
    前記レスポンダステートマシンは、前記レスポンダプロセッサが前記片側イニシエータ認証データを正常に処理しないと、前記待機中状態につく、
    請求項11に記載のレスポンダデバイス。
  13. 前記レスポンダデバイスが、
    前記イニシエータデバイスから前記イニシエータ公開鍵を取得するために前記レスポンダ帯域外アクションを実行するためにユーザ対話を適応させるスポンダユーザインターフェース
    を備える、請求項7から12のいずれか一項に記載のレスポンダデバイス。
  14. 請求項1から6のいずれか一項に記載のイニシエータデバイスと、請求項7から13のいずれか一項に記載のレスポンダデバイスとを備える、ワイヤレス通信システム。
  15. 通信プロトコルに従うレスポンダデバイスとのワイヤレス通信のためにイニシエータデバイスにおいて使用するためのイニシエータ方法であって、
    前記通信プロトコルが、
    前記イニシエータデバイスによる前記レスポンダデバイスの片側認証、並びに
    前記イニシエータデバイスによる前記レスポンダデバイスの及び前記レスポンダデバイスによる前記イニシエータデバイスの相互認証
    のうちの1つである認証を適応させるための認証プロトコルを含み、
    前記イニシエータ方法は、
    ユーザ対話と前記レスポンダデバイスから受信されたメッセージとに応じて前記認証プロトコルに従ってイニシエータ状態を与えるステップであって、前記イニシエータ状態が、
    イニシエータ帯域外アクションを介して前記レスポンダデバイスからレスポンダ公開鍵を取得することによるブートストラッピングのための初期状態と、
    前記ブートストラッピングが前記レスポンダ公開鍵を取得することによって正常に実行されたことを示すブートストラップ済み状態と、
    前記認証が正常に実行されたことを示す認証済み状態と
    を含む、与えるステップと、
    前記ブートストラップ済み状態で送られることになり、イニシエータ公開鍵を検証するためのイニシエータベリファイアと前記レスポンダ公開鍵を検証するためのレスポンダベリファイアとを含む認証要求を作成するステップと、
    前記レスポンダ公開鍵に対応するレスポンダプライベート鍵に基づく片側レスポンダ認証データと、前記レスポンダデバイスがレスポンダ帯域外アクションを介して前記イニシエータデバイスから前記イニシエータ公開鍵を取得することを可能にするための前記相互認証が進行中であることを示す相互進行ステータスとを含む認証応答を分解するステップと、
    待機中相互認証のために、前記相互進行ステータスを受信するとつくことになる、相互認証中状態を与えるステップと、
    前記イニシエータ公開鍵と前記レスポンダプライベート鍵とに基づく相互レスポンダ認証データを含む相互認証応答を分解するステップと、
    前記相互認証の確認を示す相互確認ステータスと、前記レスポンダ公開鍵と前記イニシエータ公開鍵に対応するイニシエータプライベート鍵とに基づく相互イニシエータ認証データとを含む相互認証確認を作成するステップと、
    前記相互認証応答を受信し、前記レスポンダ公開鍵と前記イニシエータ公開鍵に対応するイニシエータプライベート鍵とに基づく前記相互レスポンダ認証データを正常に処理すると、前記認証済み状態につくステップと
    を有する、イニシエータ方法。
  16. 通信プロトコルに従うイニシエータデバイスとのワイヤレス通信のためにレスポンダデバイスにおいて使用するためのレスポンダ方法であって、
    前記通信プロトコルが、
    前記イニシエータデバイスによる前記レスポンダデバイスの片側認証、並びに
    前記イニシエータデバイスによる前記レスポンダデバイスの及び前記レスポンダデバイスによる前記イニシエータデバイスの相互認証
    のうちの1つである認証を適応させるための認証プロトコルを含み、
    前記レスポンダ方法は、
    ユーザ対話と前記イニシエータデバイスから受信されたメッセージとに応じて前記認証プロトコルに従ってレスポンダ状態を与えるステップであって、前記レスポンダ状態が、
    前記イニシエータデバイスからメッセージを受信するための待機中状態と、
    前記認証が正常に実行されたことを示すレスポンダ認証済み状態と
    を含む、与えるステップと、
    レスポンダ公開鍵に対応するレスポンダプライベート鍵に基づく片側レスポンダ認証データと、前記相互認証が進行中であることを示す相互進行ステータスとを含む認証応答を作成するステップと、
    前記レスポンダデバイスがレスポンダ帯域外アクションを介して前記イニシエータデバイスからイニシエータ公開鍵を取得することを可能にするための相互レスポンダ認証中状態を与えるステップと、
    前記相互レスポンダ認証中状態で送られることになり、前記イニシエータ公開鍵と前記レスポンダ公開鍵に対応するレスポンダプライベート鍵とに基づく相互レスポンダ認証データを含む相互認証応答を作成するステップと、
    イニシエータ公開鍵を検証するためのイニシエータベリファイアと前記レスポンダ公開鍵を検証するためのレスポンダベリファイアとを含む認証要求を分解するステップと、
    前記認証要求を正常に処理すると、レスポンダ認証中状態につくステップと
    を有する、レスポンダ方法。
  17. 前記レスポンダ方法は
    前記相互認証の確認を示す相互確認ステータスと、前記レスポンダ公開鍵と前記イニシエータ公開鍵に対応するイニシエータプライベート鍵とに基づく相互イニシエータ認証データとを含む相互認証確認を分解するステップと、
    前記イニシエータ公開鍵と前記レスポンダプライベート鍵とに基づく前記相互イニシエータ認証データを正常に処理すると、前記レスポンダ認証済み状態につくステップと
    をさらに有する、請求項16に記載のレスポンダ方法。
  18. ネットワークからダウンロード可能な、並びに/或いはコンピュータ可読媒体及び/又はマイクロプロセッサ実行可能媒体に記憶されたコンピュータプログラムであって、前記コンピュータプログラムは、コンピュータ上で実行されたときに請求項15に記載のイニシエータ方法又は請求項16に記載のレスポンダ方法のいずれかを実施するためのプログラムコード命令を含む、コンピュータプログラム。
JP2019551651A 2017-03-20 2018-03-15 相互認証システム Active JP7041162B6 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP17161856.4A EP3379789A1 (en) 2017-03-20 2017-03-20 Mutual authentication system
EP17161856.4 2017-03-20
PCT/EP2018/056491 WO2018172171A1 (en) 2017-03-20 2018-03-15 Mutual authentication system

Publications (4)

Publication Number Publication Date
JP2020516118A JP2020516118A (ja) 2020-05-28
JP2020516118A5 JP2020516118A5 (ja) 2021-04-22
JP7041162B2 JP7041162B2 (ja) 2022-03-23
JP7041162B6 true JP7041162B6 (ja) 2022-05-31

Family

ID=58387749

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019551651A Active JP7041162B6 (ja) 2017-03-20 2018-03-15 相互認証システム

Country Status (9)

Country Link
US (3) US11190506B2 (ja)
EP (2) EP3379789A1 (ja)
JP (1) JP7041162B6 (ja)
CN (1) CN110476399B (ja)
BR (1) BR112019019327A2 (ja)
MX (1) MX2019011050A (ja)
RU (1) RU2766440C2 (ja)
TW (1) TWI759445B (ja)
WO (1) WO2018172171A1 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3379789A1 (en) * 2017-03-20 2018-09-26 Koninklijke Philips N.V. Mutual authentication system
JP7257744B2 (ja) * 2018-04-25 2023-04-14 キヤノン株式会社 通信装置、制御方法、及びプログラム
US10169587B1 (en) * 2018-04-27 2019-01-01 John A. Nix Hosted device provisioning protocol with servers and a networked initiator
US11184173B2 (en) 2018-08-24 2021-11-23 Powch, LLC Secure distributed information system
CN109309910A (zh) * 2018-10-30 2019-02-05 深圳市元征科技股份有限公司 通信数据传输方法、系统、设备及计算机可读存储介质
JP7121646B2 (ja) * 2018-11-29 2022-08-18 キヤノン株式会社 通信装置、通信装置の制御方法及びプログラム
TWI827906B (zh) * 2021-01-29 2024-01-01 銓安智慧科技股份有限公司 訊息傳輸系統以及應用其中之使用者裝置與資訊安全硬體模組
TWI828558B (zh) * 2021-01-29 2024-01-01 銓安智慧科技股份有限公司 訊息傳輸系統以及應用其中之使用者裝置與資訊安全硬體模組
CN113452704B (zh) * 2021-06-28 2022-08-09 湖南天河国云科技有限公司 基于分布式身份标识的异构工业设备可信互联方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005202364A (ja) 2003-12-16 2005-07-28 Ricoh Co Ltd 電子装置、画像形成装置、電子装置の制御方法、プログラム、記録媒体、画像形成装置管理システム、およびデジタル証明書を記憶した部材
US20100042838A1 (en) 2008-08-12 2010-02-18 Texas Instruments Incorporated Public Key Out-of-Band Transfer for Mutual Authentication
US20160242030A1 (en) 2013-10-28 2016-08-18 Huawei Device Co., Ltd. Key Configuration Method and Apparatus
US20170070881A1 (en) 2015-09-04 2017-03-09 Huawei Technologies Co., Ltd. Method and apparatus for authentication of wireless devices

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7607012B2 (en) * 2003-10-01 2009-10-20 Nokia Corporation Method for securing a communication
US8611536B2 (en) 2004-09-08 2013-12-17 Qualcomm Incorporated Bootstrapping authentication using distinguished random challenges
US8099598B1 (en) * 2005-01-03 2012-01-17 Gary Gang Liu Secure messaging system with automatic recipient enrollment
US8015409B2 (en) * 2006-09-29 2011-09-06 Rockwell Automation Technologies, Inc. Authentication for licensing in an embedded system
WO2010078492A2 (en) * 2008-12-31 2010-07-08 Interdigital Patent Holdings, Inc. Authentication method selection using a home enhanced node b profile
US9385862B2 (en) * 2010-06-16 2016-07-05 Qualcomm Incorporated Method and apparatus for binding subscriber authentication and device authentication in communication systems
CN102347870B (zh) * 2010-07-29 2015-09-09 中国电信股份有限公司 一种流量安全检测方法、设备和系统
US9288228B2 (en) * 2011-08-05 2016-03-15 Nokia Technologies Oy Method, apparatus, and computer program product for connection setup in device-to-device communication
KR102035480B1 (ko) * 2012-01-17 2019-10-23 아이피얼라이브 아베 전역 실시간 통신을 위한 장치, 소프트웨어 모듈, 시스템 또는 영업 방법
TW201427361A (zh) * 2012-08-15 2014-07-01 Interdigital Patent Holdings 增強致能快速安全性設置
KR102224559B1 (ko) * 2013-05-22 2021-03-08 콘비다 와이어리스, 엘엘씨 머신-투-머신 통신을 위한 네트워크 지원형 부트스트랩핑
US9774576B2 (en) * 2014-03-18 2017-09-26 Em Microelectronic-Marin S.A. Authentication by use of symmetric and asymmetric cryptography
US11070380B2 (en) * 2015-10-02 2021-07-20 Samsung Electronics Co., Ltd. Authentication apparatus based on public key cryptosystem, mobile device having the same and authentication method
US10735467B2 (en) * 2016-01-11 2020-08-04 Lg Electronics Inc. Method and apparatus for controlling a device using bluetooth technology
WO2017168228A1 (en) * 2016-03-08 2017-10-05 Marvell World Trade Ltd. Methods and apparatus for secure device authentication
EP3379789A1 (en) * 2017-03-20 2018-09-26 Koninklijke Philips N.V. Mutual authentication system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005202364A (ja) 2003-12-16 2005-07-28 Ricoh Co Ltd 電子装置、画像形成装置、電子装置の制御方法、プログラム、記録媒体、画像形成装置管理システム、およびデジタル証明書を記憶した部材
US20100042838A1 (en) 2008-08-12 2010-02-18 Texas Instruments Incorporated Public Key Out-of-Band Transfer for Mutual Authentication
US20160242030A1 (en) 2013-10-28 2016-08-18 Huawei Device Co., Ltd. Key Configuration Method and Apparatus
US20170070881A1 (en) 2015-09-04 2017-03-09 Huawei Technologies Co., Ltd. Method and apparatus for authentication of wireless devices

Also Published As

Publication number Publication date
TW201902177A (zh) 2019-01-01
US20220086146A1 (en) 2022-03-17
CN110476399B (zh) 2022-04-01
RU2019132954A3 (ja) 2021-08-03
EP3602997B1 (en) 2022-10-05
TWI759445B (zh) 2022-04-01
RU2766440C2 (ru) 2022-03-15
US20200099539A1 (en) 2020-03-26
EP3602997A1 (en) 2020-02-05
EP3379789A1 (en) 2018-09-26
CN110476399A (zh) 2019-11-19
JP2020516118A (ja) 2020-05-28
RU2019132954A (ru) 2021-04-21
US11757874B2 (en) 2023-09-12
BR112019019327A2 (pt) 2020-04-14
MX2019011050A (es) 2019-10-17
US20230379327A1 (en) 2023-11-23
JP7041162B2 (ja) 2022-03-23
WO2018172171A1 (en) 2018-09-27
US11190506B2 (en) 2021-11-30

Similar Documents

Publication Publication Date Title
JP7041162B6 (ja) 相互認証システム
US11765172B2 (en) Network system for secure communication
CN107409118B (zh) 可信执行环境与外围设备之间的信任建立
KR100978052B1 (ko) 일반 부트스트래핑 아키텍처(gba)의 인증 환경 설정관련 모바일 노드 아이디 제공 장치, 방법 및 컴퓨터프로그램 생성물
CN111050322B (zh) 基于gba的客户端注册和密钥共享方法、装置及系统
CN104661219B (zh) 一种无线设备的通讯方法、无线设备和服务器
WO2016026031A1 (en) Methods and systems for client-enhanced challenge-response authentication
US10637652B2 (en) Method and system for exchanging cryptographic keys with an unauthenticated device
EP2993933B1 (en) Wireless terminal configuration method, apparatus and wireless terminal
JP5829574B2 (ja) 認証システム、認証装置、認証方法、及びプログラム
KR20150135032A (ko) Puf를 이용한 비밀키 업데이트 시스템 및 방법
CN111654481B (zh) 一种身份认证方法、装置和存储介质
KR102026375B1 (ko) 웨어러블 디바이스 통신 지원 장치 및 방법
JP2012100206A (ja) 暗号通信中継システム、暗号通信中継方法および暗号通信中継用プログラム
WO2018126791A1 (zh) 一种认证方法及装置、计算机存储介质
Unger et al. Bridging the UI gap for authentication in smart environments
KR20200088595A (ko) 세션 키를 생성하는 방법 및 그 전자장치
US20230300633A1 (en) Loop prevention when reconfiguring devices

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210311

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210311

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220114

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220210

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220310

R150 Certificate of patent or registration of utility model

Ref document number: 7041162

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150