KR101454736B1 - 제 1 디바이스를 제 2 디바이스와 연합시키기 위한 방법 및 디바이스 - Google Patents

제 1 디바이스를 제 2 디바이스와 연합시키기 위한 방법 및 디바이스 Download PDF

Info

Publication number
KR101454736B1
KR101454736B1 KR1020097010309A KR20097010309A KR101454736B1 KR 101454736 B1 KR101454736 B1 KR 101454736B1 KR 1020097010309 A KR1020097010309 A KR 1020097010309A KR 20097010309 A KR20097010309 A KR 20097010309A KR 101454736 B1 KR101454736 B1 KR 101454736B1
Authority
KR
South Korea
Prior art keywords
login
knows
password
responding
reachable
Prior art date
Application number
KR1020097010309A
Other languages
English (en)
Other versions
KR20090095567A (ko
Inventor
크리스토프 빈센트
올리비어 쿠르테이
Original Assignee
톰슨 라이센싱
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 톰슨 라이센싱 filed Critical 톰슨 라이센싱
Publication of KR20090095567A publication Critical patent/KR20090095567A/ko
Application granted granted Critical
Publication of KR101454736B1 publication Critical patent/KR101454736B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/06Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
    • H04W4/08User group management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/16Interfaces between hierarchically similar devices
    • H04W92/18Interfaces between hierarchically similar devices between terminal devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

디바이스 연합을 위한 방법 및 디바이스. 사용자(150)는, 도달 가능한 디바이스들(120, 130)을 검색하는(210) 제 1 디바이스(110) 상에서 로그인과 패스워드를 입력한다(200). 상기 제 1 디바이스(110)는, 바람직하게 상기 로그인의 솔트된 해시를 송신함으로써, 상기 도달 가능한 디바이스들(120, 130)에게 그 디바이스들이 상기 로그인을 알고 있는지를 물어본다(220). 상기 로그인을 알고 있는 디바이스들은 긍정적으로 응답하며 상기 제 1 디바이스(110)는, 응답한 디바이스들을 목록에 기입한다. 상기 제 1 디바이스는 그러면 상기 목록 상의 각각의 디바이스들과 연속적으로 보안 원격 인증을, 하나의 인증이 성공할 때까지 또는 상기 목록 상에 더 이상의 디바이스들이 존재하지 않을 때까지, 수행한다. 상기 SRP 인증은, 상기 제 1 디바이스(110)가 상기 로그인을 알고 있으며 상대 디바이스가 패스워드 검증자를 알고 있다는 것을, 도청자(eavesdropper)에 의한 이러한 정보의 회복(recuperation)을 허용하는 임의의 지식을 송신하지 않으면서, 확인한다. 인증된 디바이스는 그 후, 공동체 비밀 키가 전송되는(280) 보안 채널을 수립하며(260), 상기 제 1 디바이스는 또한 상기 패스워드 검증자를 계산하고 저장한다(270).

Description

제 1 디바이스를 제 2 디바이스와 연합시키기 위한 방법 및 디바이스{METHODS AND A DEVICE FOR ASSOCIATING A FIRST DEVICE WITH A SECOND DEVICE}
본 발명은 일반적으로 무선 네트워크와 관련이 있으며, 특히 그러한 네트워크 내에서의 디바이스들의 연합(association)과 관련이 있다.
본 명세서의 이 부분은 독자에게 관련 기술의 다양한 양상들을 소개하기 위해 의도되었으며, 이는 아래에서 설명되거나 및/또는 청구되는 본 발명의 다양한 양상들과 관련이 있을 수도 있다. 이러한 논의는 독자에게 본 발명의 다양한 양상들을 이해하는 것을 돕기 위한 배경 정보를 제공할 것이라 믿는다. 따라서, 이러한 진술들은 그러한 관점에서 읽혀져야 한다는 것이 이해되어야 하며, 종래 기술의 용인으로서 이해되어서는 안 된다.
컴퓨터 네트워크가 갖는 한 중요한 보안 문제는 사람들이 관련된다는 것이다. 그러한 네트워크를 관리하는 것은 특정 지식을 요구하며, 평균적인 사용자는 그러한 지식을 거의 가지고 있지 않다. 이러한 이유로, 복잡한 사용자 인터페이스(user interface)에 직면한 사용자는 종종 가장 낮은 수준의 보안을 선택하게 되며, 때로는 보안을 완전히 제거하기까지도 한다. 그러므로, 특히, 본래, 해킹과 같은 목적을 위해 의도되지 않은 그러한 네트워크 내에서 송신되는 정보를 도청하고 이용하기에 용이한, 무선 네트워크에서, 보안을 허용 가능한 수준으로 유지하면서, 사용자가 그러한 작업을 하는 것을 최대한 도와줄 쉬운 방법이 필요하다는 것이 명확하게 이해될 수 있다.
많은 수의 현존하는 해결책들은, 사용자가, 연합시키고자 하는 디바이스 양쪽 모두에 대한 액세스(access)를 가지고 있을 것을 요구한다. 사용자는, 예컨대, 각각의 디바이스가 오직 상대방의 디바이스하고만 연합하도록 명령할 수도 있다. 예컨대, 유럽 특허 출원 EP 1411674 A1은, 중앙 지점(central point)이, 간단한 하나의 버튼의 클릭으로, 그 중앙 지점이 송신하는 전파(radio wave)의 커버리지(coverage)를 제한하는 한 해결책을 제공한다. 그러면, 사용자는 한 디바이스를 중앙 지점의 네트워크로 삽입하기 위해, 감소된 커버리지 영역 내에서 상기 디바이스 상의 한 기능을 작동시킨다. 이러한 해결책이 갖는 한 불리함은, 예컨대 잘 알려진 중간자 공격(man-in-the-middle attack)과 같은 다양한 종류의 공격에 상당히 취약하다는 점이다. 당업자는 또한, 만일 중앙 지점이 물리적으로 도달할 수 없을 경우와 같은 경우에는, 사용자가 두 디바이스 모두를 액세스하는 것이 항상 가능하지는 않다는 것을 이해할 것이다.
다른 해결책들은 사용자가, 그 디바이스의 식별(identity) 또는 비밀 네트워크 키(secret network key) 등과 같은, 연합될 디바이스의 비밀(secret)을 알고 있을 것을 요구한다. 그러한 지식은 종종 기억하기 어려우므로 - 특히 만일, 특히 홈 네트워크(home network)에서의 경우, 그러한 연합이 종종 보통 그러하듯이, 수행되지 않는다면 - 사용자는 시스템 내에 보안상의 취약점(hole)들을 남겨두도록 유혹 받을 수도 있다. 만일 사용자가 그러한 정보를 적어두거나, 매우 단순한 네트워크 키를 선택하거나, 또는 단순히 디바이스와 함께 전달된 키를 그대로 둔다면, 그러한 보안상의 취약점들이 나타날 수 있으며, 상기 세 번째 경우에 그 네트워크의 키는 '0'이며 따라서 실제로 그 어떤 아무런 보호도 제공하지 않는다는 것을 의미한다.
본 발명은, 사용자가, 단순한 사용자 인터페이스를 갖추고 있을 수도 있으며 적어도 일부의 디바이스들은 물리적으로 도달할 수 없을 수도 있는, 디바이스들의 보안 공동체(secure community)를 생성하는 것을 가능하게 하는 한편, 종래 기술과 연결된 적어도 일부 관심사를 개선시킬 것을 시도한다.
제 1 양상에서, 본 발명은, 사용자의 로그인(login) 및 패스워드 검증자(password verifier)의 지식을 갖는 적어도 하나의 디바이스로 이루어진 공동체로 제 1 디바이스를 삽입하는 방법에 관한 것이다. 제 1 디바이스는 사용자의 로그인 및 패스워드를 수신하며, 도달 가능한 디바이스들을 검색하고, 적어도 하나의 도달 가능한 디바이스에게 그 디바이스가 상기 사용자의 로그인을 알고 있는지 물어보며, 적어도 하나의 응답을 수신한다. 응답이 긍정적인 경우, 제 1 디바이스는, 응답한 디바이스와의 보안 원격 패스워드(SRP: Secure Remote Password) 인증(authentication)을 수행하며, 상기 SRP 인증은, 제 1 디바이스가 사용자의 패스워드를 알고 있다는 것을 상기 응답한 디바이스에게 증명하며, 상기 응답한 디바이스가 상기 사용자의 패스워드 검증자를 알고 있다는 것을 제 1 디바이스에게 증명한다. 만일 인증이 성공하면, 제 1 디바이스는 상기 사용자의 패스워드 검증자를 계산하고 저장하며; 비밀 공동체 키를 수신하고 저장한다.
한 선호되는 실시예에서, 제 1 디바이스는, 상기 SRP 인증을 수행하는 단계와 상기 사용자의 패스워드 검증자를 계산하고 저장하는 단계 사이에서, 상기 응답한 디바이스와의 보안 채널을 더 수립한다.
다른 선호되는 실시예에서, 적어도 하나의 SRP 인증이 성공할 때까지, 제 1 디바이스는, 긍정적인 응답을 제공한 각각의 디바이스와 차례대로 SRP 인증을 수행한다.
또 다른 선호되는 실시예에서, 상기 물어보는 단계는, 상기 사용자의 로그인의 보안 솔트 해시(secure salt hash)를 포함하는 메시지를 송신하는 단계를 포함한다.
더 다른 선호되는 실시예에서, 메시지를 브로드캐스팅(broadcasting) 함으로써 상기 물어보는 단계가 수행된다.
제 2 양상에서, 본 발명은, 사용자의 로그인과 패스워드 검증자의 지식을 가지고 있는 적어도 하나의 디바이스로 이루어진 공동체로 삽입되도록 적응되는, 제 1 디바이스에 관한 것이다. 제 1 디바이스는 사용자의 로그인과 패스워드를 수신하도록 적응되는 사용자 인터페이스; 도달 가능한 디바이스들을 검색하고, 적어도 하나의 도달 가능한 디바이스에게 그 디바이스가 상기 사용자의 로그인을 알고 있는지 물어보고, 적어도 하나의 응답을 수신하도록 적응되는 통신 유닛을 포함한다. 제 1 디바이스는, 프로세서로서: 수신된 응답이 긍정적인 경우에, 통신 유닛을 통해, 제 1 디바이스가 사용자의 패스워드를 알고 있다는 것을, 응답한 디바이스에게 증명하며, 상기 응답한 디바이스가 사용자의 패스워드 검증자를 알고 있다는 것을 제 1 디바이스에 증명하는, 보안 원격 패스워드(SRP) 인증을 상기 응답한 디바이스와 수행하도록; 그리고 상기 사용자의 패스워드 검증자를 계산하고 저장하도록 적응되는 프로세서를 더 포함한다. 상기 통신 유닛은 상기 응답한 디바이스로부터 비밀 공동체 키를 수신하도록 더 적응된다.
한 선호되는 실시예에서, 상기 프로세서는 사용자의 로그인의 보안 솔트 해시를 계산하도록 더 적응되며, 상기 통신 유닛은 적어도 하나의 도달 가능한 디바이스에게 그 디바이스가 상기 사용자의 로그인을 알고 있는지 물어보기 위해 상기 보안 솔트 해시를 이용하도록 적응된다.
다른 선호되는 실시예에서, 상기 프로세서는, 적어도 하나의 SRP 인증이 성공할 때까지, 긍정적인 응답을 제공한 각각의 디바이스에 대해 SRP 인증을 반복하도록 더 적응된다.
본 발명의 다양한 특징들과 이점들 및 본 발명의 선호되는 실시예들이 이제, 예시를 위해 의도되었으며 본 발명의 범위를 제한하지 않도록 의도된, 첨부 도면을 참조하여 설명될 것이다.
도 1은 본 발명이 이용되는 한 예시적 환경을 도시하는 도면.
도 2는 본 발명의 일반적인 개념의 순서도.
도 1은 본 발명이 이용될 수도 있는 한 예시적인 환경(100)을 도시한다. 상기 환경(100)은 세 개의 디바이스, 즉, 디바이스 A(110), 디바이스 B(120), 그리고 디바이스 C(130)를 포함한다. 명확함을 위해 오직 디바이스 A(110)에 대해서만 설명되었더라도, 각각의 디바이스는 바람직하게, 계산, 검증을 위한, 그리고 상기 디바이스들을 제어하기 위한 프로세서(111), 데이터를 저장하기 위한 메모리(112), 다른 디바이스들과의 상호작용을 위한 통신 유닛(113), 그리고 사용자 인터페이스(114)를 포함한다. 상기 통신 유닛(113)은 바람직하게 통신을 위한 무선 기술을 이용하며, 그러나, 예컨대, 적외선 또는 유선 통신과 같은 다른 통신 수단이 이용될 수도 있다.
예시를 위해, 디바이스 B(120)는 공동체(140)(점선으로 지시됨)의 일원인 것으로 가정되며, 한편 디바이스 C(130)는 그렇지 않은 것으로 가정된다. 또한, 여전히 예시를 위해, 디바이스 C(130)는 사용자(150)에 관한 지식을 가지고 있지 않는 것으로 가정된다. 이후의 예시에서, 사용자(150)는 디바이스 A(110)를 상기 공동체(140)에 삽입하기를 희망한다.
도 2는 본 발명의 일반적인 개념의 순서도를 도시한다. 사용자(150)는, 사용자 인터페이스(114)를 통해 그 사용자의 로그인과 패스워드를 입력하기 위해, 디바이스 A(110)의 프로세서(111) 상에서 실행되는 응용프로그램을 이용한다. 디바이스 A(110)는, 예컨대, 유니버설 플러그 앤 플레이(UPnP: Universal Plug and Play)에 의해 이용되는 것과 같은, 임의의 표준 기술을 이용하여 도달 가능한(reachable) 디바이스들을 검색하며(210), 상기 도달 가능한 디바이스들의 목록을 그 디바이스 의 메모리(112) 내에 저장한다. 본 예시에서 디바이스 B(120)와 디바이스 C(130) 모두가 도달 가능하므로, 상기 목록은 이러한 두 디바이스를 포함한다.
디바이스 A(110)는 그러면 상기 목록 상의 각각의 디바이스, 즉 디바이스 B(120)와 디바이스 C(130)에게, 그 디바이스들이 상기 사용자(150)를 아는지, 더욱 정확하게, 그 디바이스들이 상기 사용자(150)와 결합된 로그인을 아는지를 물어본다(220). 상기 로그인은 솔트 보안 해시로서 송신되며, 이는 상기 로그인을 안전하게 유지시킨다. 상기 로그인의 솔트 보안 해시는 한 난수(random number){솔트(salt)로 알려짐}를 이용하여 상기 로그인을 수정함으로써(modifying), 예컨대, 이전의 것을 이후의 것에 추가하고 그 후 상기 수정된 로그인을 해시 함으로써, 얻어지며; 상기 해시된 수정된 로그인은 그 후 솔트와 함께, 디바이스 B와 디바이스 C로 송신된다.
디바이스 A(110)는 디바이스 B(120)로 수하(challenge)를 송신한다. 디바이스 B(120)가 그러한 수하를 수신할 때, 그 디바이스는 이러한 수하에 대한 응답을 계산하며 그 응답을 디바이스 A(110)로 송신한다. 그러면, 디바이스 A(110)는 인증이 성공했는지 또는 그렇지 않은지를 확인하기 위해 상기 응답을 확인한다. 보안 상호 인증 부분(secure mutual authentication part)의 끝에서, 디바이스 A(110)는 디바이스 B(120)가 패스워드 검증자를 알고 있다는 것을 검증했으며, 디바이스 B(120)는 디바이스 A(110)가 패스워드 검증자를 알고 있다는 것을 검증했다. 디바이스 B가 공격자라고 할지라도, 그 어떤 교환된 데이터도 패스워드에 대한 임의의 종류의 정보를 검색하는 것을 허용하지 않는다.
한 선호되는 실시예에서, SRP -RFC2945에서 정의됨- 가 이용된다. 디바이스 B(120)와 디바이스 C(130)는, 그 디바이스들이 상기 저장된 로그인을 가지고 있는지를 검증하며, 만일 그 디바이스들이 상기 저장된 로그인을 가지고 있다면 디바이스 A로 응답을 송신하고; 이러한 경우, 오직 디바이스 B(120)만이 사용자(150)를 알고 있으며 따라서 오직 디바이스 B만이 응답을 송신한다. 디바이스 A(110)는 상기 사용자를 알고 있는 디바이스들로 구성된, 즉 디바이스 B(120)로 구성된 목록을 저장한다(230).
디바이스 A(110)는 그 후, 상기 패스워드와 상기 패스워드의 해시 x를 소유하고 있는 각각의 디바이스와의 보안 상호 인증을, 바람직하게 보안 원격 패스워드(SRP)를 기초로 하여, 수행하기를 시도한다(240). 디바이스 B는 상기 패스워드 검증자인, v=gx(mod m)를 소유하고 있으며; m은 큰 안전한 소수(prime)(2q+1, q는 소수)이며, g는 원시근(primitive root) mod m이다. 디바이스 A는 하나의 난수를 생성하며, 그 디바이스가 디바이스 B로 송신하는 A=ga(mod m)를 계산한다. 디바이스 B는 그러면 난수 b, u를 생성하고, 디바이스 A로 u와 함께 송신되는 B=v+gb(mod m)을 계산한다. 디바이스 A는 그러면 K=(B-gx)a+ux(mod m)를 계산하고 디바이스 B는 K=(Avu)b(mod m)을 계산한다. 각각의 디바이스는 그러면 상대방에게 그 디바이스가 K를 알고 있다는 것을 증명할 것이며 각각의 디바이스는 그러면 상대 디바이스가 실제로 K를 알고 있는지를 검증할 것이다.
K를 알고 있는지를 상호 증명하는 한 방법은 디바이스 A가 디바이스 B에게 솔트된 로그인(salted login)의 해시 M, A, B, 그리고 K를 송신하며; 디바이스 B는 A, M, 그리고 K의 해시로 응답하는 것이다.
만일 디바이스 A(110)가 목록 상의 한 단일 디바이스의 인증에 성공하지 못하면, 공동체로의 삽입은 실패하며 디바이스 A(110)는 사용자(150)에게 경고한다(250).
그러나, 만일 디바이스 A(110)가, 본 예시에서는 디바이스 B(120)인, 한 디바이스의 인증에 성공하면, 디바이스 A(110)와 디바이스 B(120)는, SRP 보안 상호 인증에 의해 제공되는 비밀 키를 이용하여, 보안 채널을 수립한다(260).
디바이스 A(110)는 그러면 상기 사용자(150)에 대한 패스워드 검증자를 계산하고 저장한다(270). 상기 패스워드 검증자는 상기 사용자의 패스워드의 검증을 허용하는 정보이며, 바람직하게 솔트 보안 해시이다.
디바이스 B(120)는 그러면 디바이스 A(110)에게 공동체(140)의 비밀 키를 제공하며(280), 이는 메모리(112)에 저장된다. 이 지점에서, 디바이스 A(110)는 상기 사용자의 패스워드 검증자와 상기 공동체 비밀 키를 알게 되고, 상기 공동체(140)에 속하게 된다.
그러므로 본 발명은, 오직 로그인과 패스워드만을 이용하여, 디바이스들을 연합시키는 안전한 방법을 제공함으로써 종래 기술을 개선시킨다는 것이 이해될 수 있다.
위의 명세서, 예시들 그리고 도면들은 본 발명의 구성의 제조(manufacture) 및 사용(use)의 완전한 설명을 제공한다. 본 발명의 사상 및 범위로부터 벗어나지 않으면서 본 발명의 많은 실시예들이 이루어질 수 있으므로, 본 발명은 이하에 첨부되는 청구항들에 귀속된다.
명세서와 (적절한 경우에) 청구항들과 도면들에서 개시된 각각의 특징은 독립적으로 제공되거나 또는 임의의 적합한 조합으로 제공될 수도 있다. 특징들은, 적절한 경우에 하드웨어, 소프트웨어, 또는 상기 둘의 조합으로 구현될 수도 있다. 연결은, 적용 가능한 경우에, 무선 연결 또는, 반드시 직접 또는 전용일 필요는 없는, 유선 연결로서 구현될 수도 있다.
청구항들에 나타나는 참조 번호들은 오직 실례를 위한 것이며 청구항들의 범위를 제한하는 효과를 갖지 않는다.
본 발명은 일반적으로 무선 네트워크에 이용 가능하며, 특히 그러한 네트워크 내에서의 디바이스들의 연합(association)에 이용 가능하다.

Claims (8)

  1. 로그인(login)과 패스워드 검증자의 지식을 가지고 있는 적어도 하나의 디바이스로 이루어진 공동체(140)로 제 1 디바이스(110)를 삽입하는 방법으로서, 상기 방법은 제 1 디바이스에서:
    로그인과 패스워드를 수신하는 단계(200);
    도달 가능한 디바이스들을 검색하는 단계(210);
    각각의 도달 가능한 디바이스(120, 130)에게 그 각각의 도달 가능한 디바이스가 로그인을 알고 있는지를 물어보는 단계(220);
    단지 적어도 하나의 응답하는 디바이스(120)로부터, 응답하는 디바이스(120)가 로그인을 알고 있다는 것을 지시하는 하나의 응답을 수신하는 단계;
    제 1 디바이스(110)가 패스워드를 알고 있다는 것을, 응답하는 디바이스(120)에게 증명하며, 응답하는 디바이스(120)가 패스워드 검증자를 알고 있다는 것을 제 1 디바이스(110)에게 증명하는, 보안 원격 패스워드(SRP) 인증을, 로그인을 알고 있는 응답하는 디바이스(120)를 통하여 각각 수행하는 단계(240); 그리고, 한 응답하는 디바이스가 성공적으로 인증되었을 때:
    패스워드 검증자를 계산하고 저장하는 단계(270); 그리고
    비밀 공동체 키를 수신하고 저장하는 단계(280)
    를 포함하는, 제 1 디바이스를 공동체로 삽입하는 방법.
  2. 제1항에 있어서, SRP 인증을 수행하는 단계(240)와 패스워드 검증자를 계산하고 저장하는 단계(270) 사이에, 응답하는 디바이스와의 보안 채널을 수립하는 단계(260)를 더 포함하는, 제 1 디바이스를 공동체로 삽입하는 방법.
  3. 제1항에 있어서, 물어보는 단계(220)는, 로그인의 보안 솔트 해시를 포함하는 메시지를 송신하는 단계를 포함하는, 제 1 디바이스를 공동체로 삽입하는 방법.
  4. 제1항에 있어서, 물어보는 단계(220)는, 메시지를 브로드캐스팅(broadcasting) 함으로써 수행되는, 제 1 디바이스를 공동체로 삽입하는 방법.
  5. 로그인(login)과 패스워드 검증자의 지식을 가지고 있는 적어도 하나의 디바이스로 이루어진 공동체(140)로 삽입되도록 적응되는 제 1 디바이스(110)로서, 제 1 디바이스는:
    로그인과 패스워드를 수신하도록 적응되는 사용자 인터페이스(114);
    통신 유닛(113)으로서:
    도달 가능한 디바이스들을 검색하며;
    각각의 도달 가능한 디바이스에게, 그 각각의 도달 가능한 디바이스가 로그인을 알고 있는지를 물어보며; 그리고
    단지 적어도 하나의 응답하는 디바이스(120)로부터, 응답하는 디바이스(120)가 로그인을 알고 있다는 것을 지시하는 하나의 응답을 수신하도록
    적응되는 통신 유닛(113); 그리고,
    프로세서(111)로서:
    제 1 디바이스가 패스워드를 알고 있다는 것을, 응답하는 디바이스에게 증명하며, 응답하는 디바이스가 패스워드 검증자를 알고 있다는 것을 제 1 디바이스에게 증명하는, 보안 원격 패스워드(SRP) 인증을, 응답하는 디바이스와, 통신 유닛(113)을 통하여 각각 수행하며; 그리고 한 응답하는 디바이스가 성공적으로 인증되었을 때
    패스워드 검증자를 계산하고 저장하도록
    적응되는 프로세서(111)를 포함하며; 그리고
    통신 유닛은 응답하는 디바이스로부터 비밀 공동체 키를 수신하도록 더 적응되는, 공동체로 삽입되도록 적응되는 제 1 디바이스.
  6. 제5항에 있어서, 프로세서(111)는 로그인의 보안 솔트 해시를 계산하도록 더 적응되며, 통신 유닛(113)은, 각각의 도달 가능한 디바이스가 로그인을 알고 있는지를 각각의 도달 가능한 디바이스에게 물어보기 위해, 보안 솔트 해시를 이용하도록 적응되는, 공동체로 삽입되도록 적응되는 제 1 디바이스.
  7. 제5항에 있어서, 프로세서(111)는, 적어도 하나의 SRP 인증이 성공할 때까지, 응답하는 디바이스에 대해 SRP 인증을 각각 반복하도록 더 적응되는, 공동체로 삽입되도록 적응되는 제 1 디바이스.
  8. 삭제
KR1020097010309A 2006-11-21 2007-10-11 제 1 디바이스를 제 2 디바이스와 연합시키기 위한 방법 및 디바이스 KR101454736B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP06301160A EP1926279A1 (en) 2006-11-21 2006-11-21 Method and a first device for associating the first device with a second device
EP06301160.5 2006-11-21
PCT/EP2007/060845 WO2008061848A2 (en) 2006-11-21 2007-10-11 Method and a first device for associating the first device with a second device

Publications (2)

Publication Number Publication Date
KR20090095567A KR20090095567A (ko) 2009-09-09
KR101454736B1 true KR101454736B1 (ko) 2014-10-27

Family

ID=38219026

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020097010309A KR101454736B1 (ko) 2006-11-21 2007-10-11 제 1 디바이스를 제 2 디바이스와 연합시키기 위한 방법 및 디바이스

Country Status (6)

Country Link
US (1) US8219812B2 (ko)
EP (2) EP1926279A1 (ko)
JP (1) JP5171837B2 (ko)
KR (1) KR101454736B1 (ko)
CN (1) CN101554029B (ko)
WO (1) WO2008061848A2 (ko)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8959350B2 (en) 2009-03-25 2015-02-17 Pacid Technologies, Llc Token for securing communication
US8934625B2 (en) 2009-03-25 2015-01-13 Pacid Technologies, Llc Method and system for securing communication
WO2010111448A1 (en) 2009-03-25 2010-09-30 Pacid Technologies, Llc Method and system for securing communication
TW201103298A (en) 2009-03-25 2011-01-16 Pacid Technologies Llc Method and system for securing communication
WO2010111438A2 (en) 2009-03-25 2010-09-30 Pacid Technologies, Llc System and method for protecting a secrets file
US8479021B2 (en) 2011-09-29 2013-07-02 Pacid Technologies, Llc Secure island computing system and method
US9820134B2 (en) 2013-01-25 2017-11-14 Koninklijke Kpn N.V. Proximity discovery, authentication and link establishment between mobile devices in 3GPP LTE

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6539479B1 (en) 1997-07-15 2003-03-25 The Board Of Trustees Of The Leland Stanford Junior University System and method for securely logging onto a remotely located computer
JP2004140655A (ja) 2002-10-18 2004-05-13 Oki Electric Ind Co Ltd 無線通信端末装置及び無線通信システム
JP2004153438A (ja) 2002-10-29 2004-05-27 Fujitsu Ltd 通信装置、その情報処理方法及び情報処理プログラム

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5948064A (en) * 1997-07-07 1999-09-07 International Business Machines Corporation Discovery of authentication server domains in a computer network
US6788938B1 (en) * 1999-05-31 2004-09-07 Sony Corporation Construction method of radio network system and radio transmission device
EP1102430A1 (en) * 1999-10-27 2001-05-23 Telefonaktiebolaget Lm Ericsson Method and arrangement in an ad hoc communication network
US7047408B1 (en) * 2000-03-17 2006-05-16 Lucent Technologies Inc. Secure mutual network authentication and key exchange protocol
DK1411674T3 (da) * 2002-10-18 2006-04-18 Buffalo Inc System og fremgangsmåde til indstilling af krypteringsnögler, adgangspunkt, og system til indstilling af en autentificeringskode
US7640324B2 (en) * 2003-04-15 2009-12-29 Microsoft Corporation Small-scale secured computer network group without centralized management
KR100581590B1 (ko) * 2003-06-27 2006-05-22 주식회사 케이티 이중 요소 인증된 키 교환 방법 및 이를 이용한 인증방법과 그 방법을 포함하는 프로그램이 저장된 기록매체
CN1599316A (zh) * 2004-09-17 2005-03-23 叶润国 一种非对称认证方案及远程接入安全协议
US20060293028A1 (en) * 2005-06-27 2006-12-28 Gadamsetty Uma M Techniques to manage network authentication

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6539479B1 (en) 1997-07-15 2003-03-25 The Board Of Trustees Of The Leland Stanford Junior University System and method for securely logging onto a remotely located computer
JP2004140655A (ja) 2002-10-18 2004-05-13 Oki Electric Ind Co Ltd 無線通信端末装置及び無線通信システム
JP2004153438A (ja) 2002-10-29 2004-05-27 Fujitsu Ltd 通信装置、その情報処理方法及び情報処理プログラム

Also Published As

Publication number Publication date
US20100058452A1 (en) 2010-03-04
US8219812B2 (en) 2012-07-10
CN101554029A (zh) 2009-10-07
EP2084880B1 (en) 2019-09-04
KR20090095567A (ko) 2009-09-09
JP5171837B2 (ja) 2013-03-27
EP1926279A1 (en) 2008-05-28
EP2084880A2 (en) 2009-08-05
CN101554029B (zh) 2013-08-14
WO2008061848B1 (en) 2008-09-18
JP2010510702A (ja) 2010-04-02
WO2008061848A3 (en) 2008-07-24
WO2008061848A2 (en) 2008-05-29

Similar Documents

Publication Publication Date Title
Dodson et al. Secure, consumer-friendly web authentication and payments with a phone
KR101454736B1 (ko) 제 1 디바이스를 제 2 디바이스와 연합시키기 위한 방법 및 디바이스
Liu et al. A physically secure, lightweight three-factor and anonymous user authentication protocol for IoT
CN107360571B (zh) 在移动网络中的匿名相互认证和密钥协商协议的方法
CN105577384B (zh) 用于保护网络的方法
Jeong et al. Integrated OTP-based user authentication scheme using smart cards in home networks
CN112989426B (zh) 授权认证方法及装置、资源访问令牌的获取方法
CN109639426B (zh) 一种基于标识密码的双向自认证方法
WO2001082037A2 (en) Security link management in dynamic networks
US20110179478A1 (en) Method for secure transmission of sensitive data utilizing network communications and for one time passcode and multi-factor authentication
TW201019683A (en) Access control system and method based on hierarchical key, and authentication key exchange thereof
Lei et al. Privacy protection for telecare medicine information systems with multiple servers using a biometric-based authenticated key agreement scheme
WO2016188053A1 (zh) 一种无线网络接入方法、装置及计算机存储介质
Qiu et al. An improved lightweight two-factor authentication and key agreement protocol with dynamic identity based on elliptic curve cryptography
JP2006303751A (ja) 通信システム,通信方法および通信端末
Krishnasrija et al. A lightweight mutual and transitive authentication mechanism for IoT network
KR102278808B1 (ko) Tcp 패킷을 이용한 단일 패킷 인증 시스템 및 그 방법
Kumar et al. A secure and efficient computation based multifactor authentication scheme for Intelligent IoT-enabled WSNs
Suomalainen et al. Standards for security associations in personal networks: a comparative analysis
He et al. A novel authentication protocol for iot-enabled devices
Jegadeesan et al. Physically Secure and Privacy Preserving Blockchain Based Authentication Scheme for IoT Enabled Farms
KR100901279B1 (ko) 챕 챌린지 메시지를 이용한 네트워크 액세스 인증 방법 및시스템.
Li et al. A simple and robust anonymous two‐factor authenticated key exchange protocol
Rasheed et al. Bluetooth Text Messages Integrity Security (BTMIS) based on blockchain
Guo et al. Deeper insight into why authentication schemes in IoT environments fail to achieve the desired security

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170919

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180918

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20191010

Year of fee payment: 6