KR102651659B1 - 전자 디바이스의 인가를 검증하기 위한 방법 및 디바이스 - Google Patents
전자 디바이스의 인가를 검증하기 위한 방법 및 디바이스 Download PDFInfo
- Publication number
- KR102651659B1 KR102651659B1 KR1020207003118A KR20207003118A KR102651659B1 KR 102651659 B1 KR102651659 B1 KR 102651659B1 KR 1020207003118 A KR1020207003118 A KR 1020207003118A KR 20207003118 A KR20207003118 A KR 20207003118A KR 102651659 B1 KR102651659 B1 KR 102651659B1
- Authority
- KR
- South Korea
- Prior art keywords
- cryptographic key
- electronic device
- key
- data
- location information
- Prior art date
Links
- 238000013475 authorization Methods 0.000 title claims abstract description 115
- 238000000034 method Methods 0.000 title claims description 26
- 230000036962 time dependent Effects 0.000 claims description 24
- 238000004590 computer program Methods 0.000 claims description 14
- 238000004891 communication Methods 0.000 description 27
- 230000008569 process Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000004044 response Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 3
- 230000001010 compromised effect Effects 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
- H04L9/0836—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key using tree structure or hierarchical structure
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0847—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
대칭 키 암호화를 사용하여, 제 2 전자 디바이스 (2) 에 의해 제 1 전자 디바이스 (1) 와 연관된 인가를 검증하기 위해, 제 2 전자 디바이스 (2) 는 제 1 전자 디바이스 (1) 로부터 암호화된 데이터 (41) 및 키 공간 식별자 및 위치 정보를 갖는 메타데이터 (42) 를 수신하고, 키 공간 식별자는 크립토그래픽 키 계층 (6) 을 정의하고 위치 정보는 암호화된 데이터 (41) 를 생성하기 위해 사용되는 크립토그래픽 키 (11) 를 크립토그래픽 키 계층 (6) 에서 정의한다. 제 2 전자 디바이스 (2) 는 제 1 전자 디바이스 (1) 로부터 수신된 키 공간 식별자 및 위치 정보를 사용하여 제 2 전자 디바이스 (2) 에 저장된 크립토그래픽 키들 (21) 로부터 일방향 함수를 통해 크립토그래픽 키를 도출한다. 제 2 전자 디바이스 (2) 는 제 1 전자 디바이스 (1) 와 연관된 인가를 검증하기 위해, 도출된 크립토그래픽 키를 사용하여 암호화된 데이터 (41) 를 해독한다.
Description
본 발명은 전자 디바이스의 인가를 검증하기 위한 방법 및 디바이스에 관한 것이다. 구체적으로, 본 발명은 대칭 키 암호화를 사용하여 전자 디바이스와 연관된 인가를 검증하기 위한 방법 및 디바이스에 관한 것이다.
대칭 키 암호화에서, 통신 디바이스간에 교환되는 데이터의 암호화 및 암호 해독 양자 모두에 동일한 크립토그래픽 키가 사용된다. 따라서 크립토그래픽 키는 통신 디바이스간에 공유되는 비밀이다. 통신 디바이스들이 모두 비밀 크립토그래픽 키에 액세스해야한다는 사실은 대칭 키 암호화의 단점으로 간주된다 - 디바이스들 중 하나만 손상되면, 모든 각 디바이스 간의 통신이 더 이상 안전하지 않다.
EP 2424154 는 계층적 술어 암호화 체계를 구현하는 암호화 처리 시스템을 설명한다. EP 2424154 에 따르면, 키 생성 디바이스 (root) 는 마스터 비밀 키를 사용하여 하위 레벨 사용자의 디바이스에 대한 비밀 키를 생성한다. 비밀 키는 키 생성 디바이스에서 하위 레벨 사용자의 각 디바이스로 전송된다. 상위 레벨 디바이스에 의해 상위 레벨 키로부터 생성된 하위 레벨 키는 상위 레벨 키보다 더 제한된 능력들을 갖는다.
EP 2667538 은 트리 타입 계층 구조를 형성하는 셋업 디바이스 및 복수의 제 2 디바이스를 포함하는 계층적 아이덴티티 기반 암호화 시스템을 설명한다. 셋업 디바이스는 계층 구조의 루트를 형성하고 제 2 디바이스는 서로 다른 레벨의 계층을 형성한다. 셋업 디바이스 (200) 는 제 2 디바이스 각각에 의해 공통으로 사용되는 공개 키 및 루트 아래의 제 1 레벨 또는 제 2 레벨의 제 2 디바이스 각각에 대해 아이덴티티 기반 비밀 키를 생성한다. 제 2 디바이스는 공개 키와 그 자신의 비밀 키를 사용하여 암호화된 데이터를 해독한다. 제 2 디바이스는 그 자신의 비밀 키 및 자식 제 2 디바이스와 연관된 사용자 아이덴티티를 사용하여 그의 하위 (자식) 계층 레벨에서 추가의 제 2 디바이스에 대한 비밀 키를 추가로 생성한다. 계층적 비대칭 암호화 시스템은 조직에서의 상위 계층 레벨들이 조직에서의 그들 각각의 하위 계층 레벨들에서의 구성원의 디바이스에 대한 비밀 키를 생성하고 분배할 권리를 갖는 계층적 조직에서 적절하게 구현될 수 있다. 임의의 제 2 전자 디바이스의 비밀 키는 셋업 디바이스 또는 상위 레벨 제 2 전자 디바이스로부터 전송되어야 한다. 그러한 전송이 손상되면, 각각의 비밀 키 및 상기 각각의 비밀 키로부터 생성된 임의의 비밀 키가 손상된다.
US 8892865 는 인증 당사자와 인증자간에 공유되는 비밀 자격 증명으로부터 키를 생성하는, 인증을 위한 시스템 및 방법을 설명한다. 키의 생성은 키를 특수화하는 데 사용되는 파라미터의 형태의 특수 정보를 사용하는 것을 수반할 수 있다. 다수의 권한에 의해 보유된 키들로부터 도출된 키들 및/또는 정보는 그러한 키들 및/또는 정보를 요구하는 서명들이 키들에 대한 액세스없이 검증될 수 있도록 다른 키들을 생성하는데 사용될 수 있다. 키는 또한 데이터를 해독하는 키 홀더의 능력이 데이터를 암호화하는데 사용되는 키의 위치에 대한 계층에서의 키의 위치에 의존하도록 분배되는 키의 계층을 형성하도록 도출될 수도 있다. 키 계층은 또한 인가되지 않은 컨텐츠의 소스 또는 잠재적인 소스가 암호 해독된 컨텐츠로부터 식별가능하도록 디바이스가 컨텐츠를 암호 해독하는 것을 가능하게 하기 위해 컨텐츠 처리 디바이스에 키 세트를 분배하는데 사용될 수도 있다.
본 발명의 목적은 대칭 키 암호화를 사용하여 전자 디바이스와 연관된 인가를 검증하기 위한 방법 및 디바이스를 제공하는 것이다. 특히, 본 발명의 목적은 비밀 키를 전송할 필요성이 감소된 대칭 키 암호화를 사용하여 전자 디바이스의 인가를 검증하는 방법 및 디바이스를 제공하는 것이다.
본 발명에 따르면, 이들 목적들은 독립 청구항들의 특징들을 통해 달성된다. 그리고, 추가의 유리한 실시형태들은 종속 청구항들 및 상세한 설명으로부터 이해된다.
본 발명에 따르면, 전술한 목적은 특히 대칭 키 암호화를 사용하여 제 2 전자 디바이스에 의해 제 1 전자 디바이스와 연관된 인가를 검증하기 위해, 제 1 데이터 메시지가 제 1 전자 디바이스로부터 제 2 전자 디바이스에서 수신된다는 점에서 달성된다. 제 1 데이터 메시지는 제 1 암호화된 데이터 및 제 1 메타데이터를 포함한다. 제 1 메타데이터는 제 1 키 공간 식별자를 포함한다. 제 1 키 공간 식별자는 제 1 암호화된 데이터를 생성하는 데 사용되는 제 1 크립토그래픽 키를 포함하는 제 1 크립토그래픽 키 계층, 또는 제 1 크립토그래픽 키 계층의 서브 세트, 및 제 1 크립토그래픽 키 계층의 제 1 크립토그래픽 키의 위치 정보를 정의한다. 크립토그래픽 키 계층에서, 상위 레벨 크립토그래픽 키보다 크립토그래픽 키 계층에서 하위 레벨에 위치되는 하위 레벨 크립토그래픽 키는 상위 레벨 크립토그래픽 키 및 크립토그래픽 키 계층에서 하위 레벨 크립토그래픽 키의 위치를 정의하는 위치 정보로부터 일방향 함수를 통해 도출된다. 제 2 전자 디바이스의 회로는 제 1 전자 디바이스로부터 수신된 제 1 키 공간 식별자를 이용하여 제 2 전자 디바이스에 저장된 복수의 비밀 크립토그래픽 키들로부터 제 2 크립토그래픽 키를 선택한다. 제 2 전자 디바이스의 회로는 제 2 크립토그래픽 키 및 제 1 전자 디바이스로부터 수신된 위치 정보로부터 일방향 함수에 의해 제 1 크립토그래픽 키를 도출한다. 제 2 전자 디바이스의 회로는 제 1 전자 디바이스와 연관된 인가를 검증하기 위해 제 1 크립토그래픽 키를 사용하여 제 1 암호화된 데이터를 해독한다.
저장된 비밀 크립토그래픽 키 및 수신된 위치 정보를 사용하여, 제 2 전자 디바이스는 제 1 전자 디바이스가 대칭 키 암호화를 사용하는 보안 통신을 위해 사용하도록 요청하는 크립토그래픽 키를 도출하고 결정할 수 있게 된다. 각각의 전자 디바이스에 저장된 단 하나의 비밀 크립토그래픽 키에 의해, 복수의 전자 디바이스에 대해 계층 키 관리가 가능하게 되는데, 계층적으로 더 높은 전자 디바이스 (크립토그래픽 키 계층에서 더 높은 "조상” 크립토그래픽 키를 가짐) 는 대칭 키 암호화를 위해 그들의 계층적으로 더 낮은 전자 디바이스 (크립토그래픽 키 계층에서 더 낮은 각각의 "자식” 크립토그래픽 키를 가짐) 에 의해 사용되는 크립토그래픽 키를 동적이고 유연하게 도출할 수도 있다.
제 1 크립토그래픽 키가 제 2 크립토그래픽 키보다 크립토그래픽 키 계층에서 하나 이상의 레벨 더 낮으면, 제 2 전자 디바이스의 회로는 제 2 크립토그래픽 키로부터 제 1 크립토그래픽 키로의 크립토그래픽 키 계층에서의 직접 경로상의 임의의 중간 크립토그래픽 키를 도출한다. 다시 말해서, 제 2 전자 디바이스의 회로는 제 2 전자 디바이스에 저장된 제 2 크립토그래픽 키에 및 제 2 크립토그래픽 키로부터 제 1 크립토그래픽 키로의 크립토그래픽 키 계층에서의 직접 경로 상의 임의의 중간 크립토그래픽 키에 일방향 함수를 적용함으로써 제 1 크립토그래픽 키를 도출한다.
일 실시형태에서, 제 2 전자 디바이스는 제 1 전자 디바이스로부터 제 2 데이터 메시지를 수신한다. 제 2 데이터 메시지는 제 2 암호화된 데이터 및 제 2 메타데이터를 포함한다. 제 2 메타데이터는 제 2 키 공간 식별자를 포함한다. 제 2 키 공간 식별자는 제 2 암호화된 데이터를 생성하는 데 사용되는 제 3 크립토그래픽 키를 포함하는 제 2 크립토그래픽 키 계층, 또는 제 2 크립토그래픽 키 계층의 서브 세트, 및 제 2 크립토그래픽 키 계층의 제 3 크립토그래픽 키의 위치 정보를 정의한다. 제 2 전자 디바이스의 회로는 제 1 전자 디바이스로부터 수신된 제 2 키 공간 식별자를 이용하여 제 2 전자 디바이스에 저장된 복수의 비밀 크립토그래픽 키들로부터 제 4 크립토그래픽 키를 선택한다. 제 2 전자 디바이스의 회로는 제 4 크립토그래픽 키 및 제 2 데이터 메시지 내의 제 1 전자 디바이스로부터 수신된 위치 정보로부터 일방향 함수에 의해 제 3 크립토그래픽 키를 도출한다. 제 2 전자 디바이스의 회로는 제 2 데이터 메시지 내의 제 1 전자 디바이스로부터 수신된 위치 정보를 사용하여, 제 2 크립토그래픽 키로부터 일방향 함수에 의해 제 1 크립토그래픽 키를 도출한다. 제 2 전자 디바이스의 회로는 제 1 크립토그래픽 키를 사용하여 제 1 암호화된 데이터를 해독함으로써 제 1 인가 데이터를 생성한다. 제 2 전자 디바이스의 회로는 제 3 크립토그래픽 키를 사용하여 제 2 암호화된 데이터를 해독함으로써 제 2 인가 데이터를 생성한다. 제 2 전자 디바이스의 회로는 제 1 인가 데이터 및 제 2 인가 데이터를 이용하여 제 1 전자 디바이스와 연관된 인가를 검증한다.
별도의 데이터 메시지로 암호화된 제 1 및 제 2 인가 데이터를 전자 디바이스로 전송하는 것, 및 2 개의 데이터 메시지에서 암호화된 데이터를 해독하기 위한 크립토그래픽 키들이 제 2 데이터 메시지에서 수신된 동일한 위치 정보를 사용하여 상위 레벨 크립토그래픽 키들로부터 도출되는 것을 보장하는 것은 상이한 크립토그래픽 키 계층으로부터의 크립토그래픽 키를 사용하여, 상이한 시점에 그리고 가능하면 상이한 인가 엔티티에 의해 전자 디바이스에 분배될 수 있는 2 개의 상이한 세트의 인가 데이터에 전자 디바이스의 인가를 결부시키는 것을 가능하게 한다. 액세스 권한은 제 1 인증 데이터와 함께 한 번 (정적) 전송될 수 있지만, 이러한 액세스 권한을 부여하는 것은 조건적일 수 있고, 이후의 시점에서 후속적으로, 예를 들어 주기적으로 또는 필요에 따라, 예를 들어 브리치 (breach) 후에 전송되는 유효한 확인에 의존할 수 있다.
일 실시형태에서, 제 1 암호화된 데이터를 해독하는 것은 제 1 암호화된 데이터로 암호화된 액세스 권한을 생성하고; 제 2 암호화된 데이터를 해독하는 것은 제 2 암호화된 데이터로 암호화된 시간 의존적 데이터를 생성하고; 그리고 제 2 전자 디바이스의 회로는 액세스 권한 및 시간 의존적 데이터를 사용하여 제 1 전자 디바이스와 연관된 인가를 검증한다.
제 2 암호화된 데이터에서 제 2 인가 데이터로서 시간 의존적 데이터를 사용하는 것은 제 1 암호화된 데이터의 액세스 권한을 조건적으로 그리고 시간 경과에 의존적으로 만드는 것을 가능하게 한다. 적용 가능한 시간 의존적 데이터, 예를 들어 최신 타임 스탬프 또는 증분적 카운터의 올바른 값을 갖는 암호화된 제 2 인가 데이터를 포함하는 제 2 데이터 메시지가 없으면, 전자 디바이스의 인가는 검증될 수 없고, 제 1 데이터 메시지와 함께 이전에 전송된 액세스 권한은 부여되지 않을 것이다. 예를 들어, 다양한 상이한 세트들의 액세스 권한들을 복수의 액세스 제어 단말기에 반복적으로 분배/전송할 필요없이, 시간 의존적, 시간 제한적 및 임시의 액세스 권한이 효율적으로 구현 및 분배될 수 있다.
일 실시형태에서, 제 2 데이터 메시지에서 수신된 위치 정보가 제 1 데이터 메시지에서 수신된 위치 정보와 다른 경우, 제 1 암호화된 데이터는 제 2 데이터 메시지에서 수신된 위치 정보로 도출된 제 1 크립토그래픽 키를 이용하여 제 2 전자 디바이스에 의해 성공적으로 해독될 수 없고,
제 2 전자 디바이스는 제 1 전자 디바이스와 연관된 인가를 긍정적으로 검증하지 않는다.
제 1 데이터 메시지에 포함된 제 1 암호화된 데이터를 해독하는데 필요한 제 1 크립토그래픽 키를 도출하기 위해 제 2 데이터 메시지에서 수신된 위치 정보를 사용하는 것은 제 2 데이터 메시지에 포함된 위치 정보가 제 1 데이터 메시지에 포함된 위치 정보와 다른 경우 제 1 암호화된 데이터가 해독될 수 없는 것을 보장한다. 결과적으로, 새로운 액세스 권한은 시간 의존적 데이터로 제 2 인가 데이터를 암호화하기 위해 제 3 크립토그래픽 키를 도출하는데 사용된 위치 정보와 동일한 위치 정보로 도출된 제 1 크립토그래픽 키를 사용하여 인가된 전자 디바이스에 분배될 수 있다.
일 실시형태에서, 제 2 크립토그래픽 키 (및/또는 해당되는 경우, 제 4 크립토그래픽 키) 의 위치 정보는 제 2 전자 디바이스에 저장된다. 제 2 전자 디바이스의 회로는 제 2 전자 디바이스에 저장된 제 2 크립토그래픽 키 (또는 각각 제 4 크립토그래픽 키), 제 2 크립토그래픽 키 (또는 각각 제 4 크립토그래픽 키) 의 위치 정보, 및 제 1 전자 디바이스로부터 수신된 위치 정보로부터 일방향 함수를 통해 제 1 크립토그래픽 키 (및/또는 해당되는 경우 제 3 크립토그래픽 키) 를 도출한다. 일 실시형태에서, 제 1 전자 디바이스로부터 수신된 위치 정보는 크립토그래픽 키 계층에서 더 높은 레벨의 크립토그래픽 키에 대해, 예를 들어 제 2 암호화 키 (또는 각각 제 4 암호화 키) 의 위치에 대해 크립토그래픽 키 계층에서 제 1 크립토그래픽 키의 상대 위치를 표시한다.
일 실시형태에서, 제 1 전자 디바이스의 회로는 제 1 크립토그래픽 키를 사용하여 데이터를 암호화한다. 제 1 전자 디바이스는 암호화된 데이터 및 메타데이터를 포함하는 데이터 메시지를 제 2 전자 디바이스로 전달한다. 제 2 전자 디바이스의 회로는 그 데이터 메시지 내에 포함된 메타데이터를 사용하여, 제 2 전자 디바이스에 저장된 제 2 크립토그래픽 키로부터 일방향 함수에 의해 제 1 크립토그래픽 키를 도출한다. 제 2 전자 디바이스의 회로는 제 1 크립토그래픽 키를 사용하여 데이터 메시지에 포함된 암호화된 데이터를 해독한다.
추가의 실시형태에서, 제 1 전자 디바이스의 회로는 제 1 크립토그래픽 키를 사용하여 인증을 암호화한다. 제 1 전자 디바이스는 암호화된 인증 데이터 및 메타데이터를 포함하는 데이터 메시지를 제 2 전자 디바이스로 전달한다. 제 2 전자 디바이스의 회로는 그 데이터 메시지 내에 포함된 메타데이터를 사용하여, 제 2 전자 디바이스에 저장된 제 2 크립토그래픽 키로부터 일방향 함수에 의해 제 1 크립토그래픽 키를 도출한다. 제 2 전자 디바이스의 회로는 제 1 크립토그래픽 키를 사용하여 데이터 메시지에 포함된 암호화된 인증 데이터를 해독한다. 제 2 전자 디바이스의 회로는 제 1 크립토그래픽 키를 사용하여 인증 데이터를 암호화한다. 제 2 전자 디바이스에 의해 암호화 된 인증 데이터는 제 2 전자 디바이스에서 제 1 전자 디바이스로 전송된다. 제 1 전자 디바이스의 회로는 제 1 크립토그래픽 키를 사용하여 제 2 전자 디바이스로부터 수신된 암호화된 인증 데이터를 해독 및 검증한다.
일 실시형태에서, 크립토그래픽 키 계층은 트리 구조로 구성되고 위치 정보는 트리 구조에서 노드를 정의한다. 트리 구조의 각 노드는 크립토그래픽 키를 나타낸다. 트리 구조의 루트 노드는 마스터 크립토그래픽 키를 나타낸다. 루트 노드의 한 레벨 아래에 있는 트리 구조의 노드는 마스터 크립토그래픽 키로부터 일방향 함수를 통해 도출된 크립토그래픽 키를 나타낸다.
트리 구조에서 하위 레벨의 차일드 노드는 트리 구조에서의 차일드 노드의 각 부모 노드에 의해 표현되는 크립토그래픽 키로부터 일방향 함수를 통해 도출된 크립토그래픽 키를 나타낸다.
대칭 키 암호화를 사용하여 제 2 전자 디바이스에 의해 제 1 전자 디바이스와 연관된 인가를 검증하는 방법에 더하여, 본 발명은 또한 대칭적 암호화를 사용하여 다른 전자 디바이스와 안전하게 통신하기 위한 전자 디바이스에 관한 것이다. 전자 디바이스는 다른 전자 디바이스로 제 1 데이터 메시지를 전송하는 단계를 수행하도록 구성된 회로를 포함하며, 제 1 데이터 메시지는 제 1 암호화된 데이터 및 제 1 메타데이터를 포함하고, 제 1 메타데이터는 제 1 키 공간 식별자를 포함하며, 제 1 키 공간 식별자는 제 1 암호화된 데이터를 생성하기 위해 사용되는 제 1 크립토그래픽 키를 포함하는 제 1 크립토그래픽 키 계층 또는 제 1 크립토그래픽 키 계층의 서브 세트, 및 제 1 크립토그래픽 키 계층의 제 1 크립토그래픽 키의 위치 정보를 정의하고, 이것에 의해 크립토그래픽 키 계층에서, 상위 레벨 크립토그래픽 키보다 크립토그래픽 키 계층에서 하위 레벨에 위치한 하위 레벨 크립토그래픽 키는 상위 레벨 크립토그래픽 키와 크립토그래픽 키 계층에서의 하위 레벨 크립토그래픽 키의 위치를 정의하는 위치 정보로부터 일방향 함수를 통해 도출되고, 제 1 메타 데이터는 다른 전자 디바이스가 전자 디바이스로부터 수신된 제 1 키 공간 식별자를 사용하여 다른 전자 디바이스에 저장된 복수의 비밀 크립토그래픽 키들로부터 제 2 크립토그래픽 키를 선택하고, 제 2 크립토그래픽 키 및 메타데이터에 포함된 위치 정보로부터 일방향 함수를 통해 제 1 크립토그래픽 키를 도출하며, 전자 디바이스와 연관된 인가를 검증하기 위해, 제 1 크립토그래픽 키를 사용하여 제 1 암호화된 데이터를 해독하는 것을 가능하게 한다.
일 실시형태에서, 전자 디바이스의 회로는 또한 다른 전자 디바이스로 제 2 데이터 메시지를 전송하도록 구성되며, 제 2 데이터 메시지는 제 2 암호화된 데이터 및 제 2 메타데이터를 포함하고, 제 2 메타데이터는 제 2 키 공간 식별자를 포함하며, 제 2 키 공간 식별자는 제 2 암호화된 데이터를 생성하기 위해 사용되는 제 3 크립토그래픽 키를 포함하는 제 2 크립토그래픽 키 계층 또는 제 2 크립토그래픽 키 계층의 서브 세트, 및 제 2 크립토그래픽 키 계층의 제 3 크립토그래픽 키의 위치 정보를 정의하여, 다른 전자 디바이스가 전자 디바이스로부터 수신된 제 2 키 공간 식별자를 사용하여 다른 전자 디바이스에 저장된 복수의 비밀 크립토그래픽 키들로부터 제 4 크립토그래픽 키를 선택하고, 제 4 크립토그래픽 키 및 제 2 데이터 메시지에서 전자 디바이스로부터 수신된 위치 정보로부터 일방향 함수를 통해 제 3 크립토그래픽 키를 도출하며, 제 2 데이터 메시지에서 전자 디바이스로부터 수신된 위치 정보를 사용하여 제 2 크립토그래픽 키로부터 일방향 함수를 통해 제 1 크립토그래픽 키를 도출하고, 제 1 크립토그래픽 키를 사용하여 상기 제 1 암호화된 데이터를 해독함으로써 제 1 인가 데이터를 생성하고, 제 3 크립토그래픽 키를 사용하여 제 2 암호화된 데이터를 해독함으로써 제 2 인가 데이터를 생성하고, 제 1 인가 데이터 및 제 2 인가 데이터를 사용하여 전자 디바이스와 연관된 인가를 검증하는 것을 가능하게 한다.
일 실시형태에서, 제 1 암호화된 데이터를 해독하는 것은 제 1 암호화된 데이터로 암호화된 액세스 권한을 생성하고; 제 2 암호화된 데이터를 해독하는 것은 제 2 암호화된 데이터로 암호화된 시간 의존적 데이터를 생성하고; 그리고 다른 전자 디바이스는 액세스 권한 및 시간 의존적 데이터를 사용하여 전자 디바이스와 연관된 인가를 검증하는 것이 가능하게 된다.
일 실시형태에서, 제 2 데이터 메시지에서 전송된 위치 정보가 제 1 데이터 메시지에서 전송된 위치 정보와 다른 경우, 다른 전자 디바이스는 제 2 데이터 메시지에서 전송된 위치 정보로 도출된 제 1 크립토그래픽 키를 이용하여 제 1 암호화된 데이터를 성공적으로 해독하는 것이 불가능하게 되고, 다른 전자 디바이스는 전자 디바이스와 연관된 인가를 긍정적으로 검증하는 것이 불가능하게 된다.
다른 실시형태에서, 전자 디바이스의 회로는 또한 제 1 크립토그래픽 키를 사용하여 데이터를 암호화하고; 암호화된 데이터 및 메타데이터를 포함하는 데이터 메시지를 다른 전자 디바이스로 전송하여, 다른 전자 디바이스가 데이터 메시지에 포함된 메타데이터를 사용하여 제 1 크립토그래픽 키를 도출하는 것을 가능하게 하고, 제 1 크립토그래픽 키를 사용하여 데이터 메시지에 포함된 암호화된 데이터를 해독하도록 구성된다.
일 실시형태에서, 전자 디바이스의 회로는 또한 제 1 크립토그래픽 키를 사용하여 인증 데이터를 암호화하고; 암호화된 인증 데이터 및 메타데이터를 포함하는 데이터 메시지를 다른 전자 디바이스로 전송하여, 다른 전자 디바이스가 데이터 메시지에 포함된 메타데이터를 사용하여 제 1 크립토그래픽 키를 도출하는 것을 가능하게 하고, 제 1 크립토그래픽 키를 사용하여 데이터 메시지에 포함된 암호화된 인증 데이터를 해독하고; 다른 전자 디바이스로부터 암호화된 인증 데이터를 수신하고; 제 1 크립토그래픽 키를 사용하여 다른 전자 디바이스로부터 수신된 암호화된 인증 데이터를 검증하도록 구성된다.
제 2 전자 디바이스에 의해 제 1 전자 디바이스와 연관된 인가를 검증하는 방법 및 대칭 키 암호화를 사용하여 전자 디바이스들 사이에서 안전하게 통신하기 위한 전자 디바이스에 더하여,
본 발명은 또한 대칭 암호화를 사용하여 제 2 전자 디바이스와 안전하게 통신하기 위해 제 1 전자 디바이스의 회로를 제어하도록 구성된 컴퓨터 프로그램 코드를 저장한 비일시적 컴퓨터 판독가능 매체를 포함하는 컴퓨터 프로그램 제품에 관한 것으로서, 제 1 전자 디바이스는 제 2 전자 디바이스로 제 1 데이터 메시지를 전송하는 단계를 수행하며, 제 1 데이터 메시지는 제 1 암호화된 데이터 및 제 1 메타데이터를 포함하고, 제 1 메타데이터는 제 1 키 공간 식별자를 포함하며, 제 1 키 공간 식별자는 제 1 암호화된 데이터를 생성하기 위해 사용되는 제 1 크립토그래픽 키를 포함하는 제 1 크립토그래픽 키 계층 또는 제 1 크립토그래픽 키 계층의 서브 세트, 및 제 1 크립토그래픽 키 계층의 제 1 크립토그래픽 키의 위치 정보를 정의하고, 이것에 의해 크립토그래픽 키 계층에서, 상위 레벨 크립토그래픽 키보다 크립토그래픽 키 계층에서 하위 레벨에 위치한 하위 레벨 크립토그래픽 키는 상위 레벨 크립토그래픽 키와 크립토그래픽 키 계층에서의 하위 레벨 크립토그래픽 키의 위치를 정의하는 위치 정보로부터 일방향 함수를 통해 도출되고, 제 1 메타 데이터는 제 2 전자 디바이스가 제 1 전자 디바이스로부터 수신된 제 1 키 공간 식별자를 사용하여 제 2 전자 디바이스에 저장된 복수의 비밀 크립토그래픽 키들로부터 제 2 크립토그래픽 키를 선택하고, 제 2 크립토그래픽 키 및 메타데이터에 포함된 위치 정보로부터 일방향 함수를 통해 제 1 크립토그래픽 키를 도출하며, 전자 디바이스와 연관된 인가를 검증하기 위해, 제 1 크립토그래픽 키를 사용하여 제 1 암호화된 데이터를 해독하는 것을 가능하게 한다.
일 실시형태에서, 비 일시적 컴퓨터 판독 가능 매체는 제 1 전자 디바이스의 회로를 제어하도록 구성된 추가의 컴퓨터 프로그램 코드를 저장하고,
제 1 전자 디바이스는 다른 전자 디바이스로 제 2 데이터 메시지를 전송하는 단계를 수행하며, 제 2 데이터 메시지는 제 2 암호화된 데이터 및 제 2 메타데이터를 포함하고, 제 2 메타데이터는 제 2 키 공간 식별자를 포함하며, 제 2 키 공간 식별자는 제 2 암호화된 데이터를 생성하기 위해 사용되는 제 3 크립토그래픽 키를 포함하는 제 2 크립토그래픽 키 계층 또는 제 2 크립토그래픽 키 계층의 서브 세트, 및 제 2 크립토그래픽 키 계층의 제 3 크립토그래픽 키의 위치 정보를 정의하여, 제 2 전자 디바이스가 전자 디바이스로부터 수신된 제 2 키 공간 식별자를 사용하여 제 2 전자 디바이스에 저장된 복수의 비밀 크립토그래픽 키들로부터 제 4 크립토그래픽 키를 선택하고, 제 4 크립토그래픽 키 및 제 2 데이터 메시지에서 제 1 전자 디바이스로부터 수신된 위치 정보로부터 일방향 함수를 통해 제 3 크립토그래픽 키를 도출하며, 제 2 데이터 메시지에서 제 1 전자 디바이스로부터 수신된 위치 정보를 사용하여 제 2 크립토그래픽 키로부터 일방향 함수를 통해 제 1 크립토그래픽 키를 도출하고, 제 1 크립토그래픽 키를 사용하여 상기 제 1 암호화된 데이터를 해독함으로써 제 1 인가 데이터를 생성하고, 제 3 크립토그래픽 키를 사용하여 제 2 암호화된 데이터를 해독함으로써 제 2 인가 데이터를 생성하고, 제 1 인가 데이터 및 제 2 인가 데이터를 사용하여 제 1 전자 디바이스와 연관된 인가를 검증하는 것을 가능하게 한다.
제 2 전자 디바이스에 의해 제 1 전자 디바이스와 연관된 인가를 검증하는 방법, 및 대칭 암호화를 사용하여 전자 디바이스들 사이에 안전하게 통신하기 위한 전자 디바이스에 더하여, 본 발명은 또한 대칭 암호화를 사용하여 또 다른 전자 디바이스와 연관된 인가를 검증하기 위한 추가의 전자 디바이스에 관한 것이다. 추가의 전자 디바이스는 다음의 단계들을 수행하도록 구성된 회로를 포함한다: 다른 전자 디바이스로부터 제 1 데이터 메시지를 수신하는 단계로서, 제 1 데이터 메시지는 제 1 암호화된 데이터 및 제 1 메타데이터를 포함하고, 제 1 메타데이터는 제 1 키 공간 식별자를 포함하며, 제 1 키 공간 식별자는 제 1 암호화된 데이터를 생성하기 위해 사용되는 제 1 크립토그래픽 키를 포함하는 제 1 크립토그래픽 키 계층 또는 제 1 크립토그래픽 키 계층의 서브 세트, 및 제 1 크립토그래픽 키 계층의 제 1 크립토그래픽 키의 위치 정보를 정의하고, 이것에 의해 크립토그래픽 키 계층에서, 상위 레벨 크립토그래픽 키보다 크립토그래픽 키 계층에서 하위 레벨에 위치한 하위 레벨 크립토그래픽 키는 상위 레벨 크립토그래픽 키와 크립토그래픽 키 계층에서의 하위 레벨 크립토그래픽 키의 위치를 정의하는 위치 정보로부터 일방향 함수를 통해 도출되는, 상기 제 1 데이터 메시지를 수신하는 단계; 다른 전자 디바이스로부터 수신된 제 1 키 공간 식별자를 사용하여 전자 디바이스에 저장된 복수의 비밀 크립토그래픽 키들로부터 제 2 크립토그래픽 키를 선택하는 단계; 제 2 크립토그래픽 키 및 다른 전자 디바이스로부터 수신된 위치 정보로부터 일방향 함수를 통해 제 1 크립토그래픽 키를 도출하는 단계; 및 다른 전자 디바이스와 연관된 인가를 검증하기 위해, 제 1 크립토그래픽 키를 사용하여 제 1 암호화된 데이터를 해독하는 단계.
일 실시형태에서, 전자 디바이스의 회로는 또한 다른 전자 디바이스로부터 제 2 데이터 메시지를 수신하는 것으로서, 제 2 데이터 메시지는 제 2 암호화된 데이터 및 제 2 메타 데이터를 포함하며, 제 2 메타데이터는 제 2 키 공간 식별자를 포함하고, 제 2 키 공간 식별자는 제 2 암호화된 데이터를 생성하기 위해 사용되는 제 3 크립토그래픽 키를 포함하는 제 2 크립토그래픽 키 계층 또는 제 2 크립토그래픽 키 계층의 서브 세트 및 제 2 크립토그래픽 키 계층의 제 3 크립토그래픽 키의 위치 정보를 정의하는, 상기 제 2 데이터 메시지를 수신하고; 다른 전자 디바이스로부터 수신된 제 2 키 공간 식별자를 사용하여 전자 디바이스에 저장된 복수의 비밀 크립토그래픽 키들로부터 제 4 크립토그래픽 키를 선택하고; 제 4 크립토그래픽 키 및 제 2 데이터 메시지에서 다른 전자 디바이스로부터 수신된 위치 정보를 통해 제 3 크립토그래픽 키를 도출하고;
제 2 데이터 메시지에서 다른 전자 디바이스로부터 수신된 위치 정보를 이용하여, 제 2 크립토그래픽 키로부터 일방향 함수에 의해 제 1 크립토그래픽 키를 도출하며; 제 1 크립토그래픽 키를 사용하여 제 1 암호화된 데이터를 해독함으로써 제 1 인가 데이터를 생성하고; 제 3 크립토그래픽 키를 사용하여 제 2 암호화 된 데이터를 해독함으로써 제 2 인가 데이터를 생성하고; 그리고 제 1 인가 데이터 및 제 2 인가 데이터를 사용하여 다른 전자 디바이스와 연관된 인가를 검증하도록 구성된다.
일 실시형태에서, 제 1 암호화된 데이터를 해독하는 것은 제 1 암호화된 데이터로 암호화된 액세스 권한을 생성하고; 제 2 암호화된 데이터를 해독하는 것은 제 2 암호화된 데이터로 암호화된 시간 의존적 데이터를 생성하고; 그리고 전자 디바이스의 회로는 액세스 권한 및 시간 의존적 데이터를 사용하여 다른 전자 디바이스와 연관된 인가를 검증하도록 구성된다.
일 실시형태에서, 제 2 데이터 메시지에서 수신된 위치 정보가 제 1 데이터 메시지에서 수신된 위치 정보와 다른 경우, 제 1 암호화된 데이터는 제 2 데이터 메시지에서 수신된 위치 정보로 도출된 제 1 크립토그래픽 키를 사용하여 전자 디바이스의 회로에 의해 성공적으로 해독될 수 없고, 전자 디바이스의 회로는 다른 전자 디바이스와 연관된 인가를 긍정적으로 검증하지 않는다.
일 실시형태에서, 전자 디바이스의 회로는 또한 제 2 크립토그래픽 키 (및/또는 해당되는 경우 제 4 크립토그래픽 키) 의 위치 정보를 전자 디바이스에 저장하고; 전자 디바이스에 저장된 제 2 크립토그래픽 키 (또는 각각 제 4 크립토그래픽 키), 제 2 크립토그래픽 키 (또는 각각 제 4 크립토그래픽 키) 의 위치 정보, 및 다른 전자 디바이스로부터 수신된 위치 정보로부터 일방향 함수를 통해 제 1 크립토그래픽 키 (및/또는 해당되는 경우 제 3 크립토그래픽 키) 를 도출하도록 구성된다.
일 실시형태에서, 전자 디바이스의 회로는 또한 암호화된 데이터 및 메타데이터를 다른 전자 디바이스로부터 데이터 메시지에서 수신하고; 데이터 메시지에 포함된 메타데이터를 이용하여 제 2 전자 디바이스에 저장된 제 2 크립토그래픽 키로부터 일방향 함수를 통해 제 1 크립토그래픽 키를 도출하고; 및 제 1 크립토그래픽 키를 사용하여, 데이터 메시지에 포함된 암호화된 데이터를 해독하도록 구성된다.
다른 실시형태에서, 전자 디바이스의 회로는 또한 다른 전자 디바이스로부터 암호화된 인증 데이터 및 메타 데이터를 데이터 메시지에서 수신하고; 데이터 메시지에 포함된 메타데이터를 이용하여 제 2 전자 디바이스에 저장된 제 2 크립토그래픽 키로부터 일방향 함수에 의해 제 1 크립토그래픽 키를 도출하고; 제 1 크립토그래픽 키를 사용하여, 데이터 메시지에 포함된 암호화된 인증 데이터를 해독하며; 제 1 크립토그래픽 키를 사용하여 인증 데이터를 암호화하고; 암호화된 인증 데이터를 다른 전자 디바이스로 전송하여, 다른 전자 디바이스가 제 1 크립토그래픽 키를 사용하여 전자 디바이스로부터 수신된 인증 데이터를 해독 및 검증하는 것을 가능하게 하도록 구성된다.
제 2 전자 디바이스에 의해 제 1 전자 디바이스와 연관된 인가를 검증하는 방법, 및 대칭 암호화를 사용하여 다른 전자 디바이스들과 안전하게 통신하기 위한 전자 디바이스들에 더하여, 본 발명은 또한 대칭 암호화를 사용하여 제 1 전자 디바이스와 연관된 인가를 검증하기 위해 제 2 전자 디바이스의 회로를 제어하도록 구성된 컴퓨터 프로그램 코드를 저장한 비일시적 컴퓨터 판독가능 매체를 포함하는 컴퓨터 프로그램 제품에 관한 것으로서,
제 2 전자 디바이스는 다음의 단계들을 수행한다: 제 1 전자 디바이스로부터 제 1 데이터 메시지를 수신하는 단계로서, 제 1 데이터 메시지는 제 1 암호화된 데이터 및 제 1 메타데이터를 포함하고, 제 1 메타데이터는 제 1 키 공간 식별자를 포함하며, 제 1 키 공간 식별자는 제 1 암호화된 데이터를 생성하기 위해 사용되는 제 1 크립토그래픽 키를 포함하는 제 1 크립토그래픽 키 계층 또는 제 1 크립토그래픽 키 계층의 서브 세트, 및 제 1 크립토그래픽 키 계층의 제 1 크립토그래픽 키의 위치 정보를 정의하고, 이것에 의해 크립토그래픽 키 계층에서, 상위 레벨 크립토그래픽 키보다 크립토그래픽 키 계층에서 하위 레벨에 위치한 하위 레벨 크립토그래픽 키는 상위 레벨 크립토그래픽 키와 크립토그래픽 키 계층에서의 하위 레벨 크립토그래픽 키의 위치를 정의하는 위치 정보로부터 일방향 함수를 통해 도출되는, 상기 제 1 데이터 메시지를 수신하는 단계; 제 1 전자 디바이스로부터 수신된 제 1 키 공간 식별자를 사용하여 제 2 전자 디바이스에 저장된 복수의 비밀 크립토그래픽 키들로부터 제 2 크립토그래픽 키를 선택하는 단계; 제 2 크립토그래픽 키 및 제 1 전자 디바이스로부터 수신된 위치 정보로부터 일방향 함수를 통해 제 1 크립토그래픽 키를 도출하는 단계; 및 제 1 전자 디바이스와 연관된 인가를 검증하기 위해, 제 1 크립토그래픽 키를 사용하여 제 1 암호화된 데이터를 해독하는 단계.
일 실시형태에서, 비 일시적 컴퓨터 판독 가능 매체는 제 2 전자 디바이스의 회로를 제어하도록 구성된 추가의 컴퓨터 프로그램 코드를 저장하여, 제 2 전자 디바이스는 다음의 단계들을 수행한다: 제 1 전자 디바이스로부터 제 2 데이터 메시지를 수신하는 단계로서, 제 2 데이터 메시지는 제 2 암호화된 데이터 및 제 2 메타데이터를 포함하고, 제 2 메타데이터는 제 2 키 공간 식별자를 포함하며, 제 2 키 공간 식별자는 제 2 암호화된 데이터를 생성하는데 사용되는 제 3 크립토그래픽 키를 포함하는 제 2 크립토그래픽 키 계층 또는 제 2 크립토그래픽 키 계층의 서브 세트 및 제 2 크립토그래픽 키 계층의 제 3 크립토그래픽 키의 위치 정보를 정의하는, 상기 제 2 데이터 메시지를 수신하는 단계;
제 1 전자 디바이스로부터 수신된 제 2 키 공간 식별자를 사용하여 제 2 전자 디바이스에 저장된 복수의 비밀 크립토그래픽 키들로부터 제 4 크립토그래픽 키를 선택하는 단계; 제 4 크립토그래픽 키 및 제 2 데이터 메시지에서 제 1 전자 디바이스로부터 수신된 위치 정보로부터 일방향 함수를 통해 제 3 크립토그래픽 키를 도출하는 단계; 제 2 데이터 메시지에서 제 1 전자 디바이스로부터 수신된 위치 정보를 사용하여 제 2 크립토그래픽 키로부터 일방향 함수를 통해 제 1 크립토그래픽 키를 도출하는 단계; 제 1 크립토그래픽 키를 사용하여 제 1 암호화된 데이터를 해독함으로써 제 1 인가 데이터를 생성하는 단계; 제 3 크립토그래픽 키를 사용하여 제 2 암호화된 데이터를 해독함으로써 제 2 인가 데이터를 생성하는 단계; 및 제 1 인가 데이터 및 제 2 인가 데이터를 사용하여 제 1 전자 디바이스와 연관된 인가를 검증하는 단계.
본 발명은 도면들을 참조하여 예시적 방식으로 보다 자세히 설명될 것이다.
도 1 은 대칭 키 암호화를 사용하여 통신 링크를 통해 데이터를 안전하게 통신하는 제 1 전자 디바이스 및 제 2 전자 디바이스를 개략적으로 나타내는 블록도를 도시한다.
도 2 는 대칭 키 암호화를 사용하여 제 1 전자 디바이스와 제 2 전자 디바이스 사이에서 데이터를 안전하게 통신하기 위한 예시적인 일련의 단계들을 도시한 흐름도를 도시한다.
도 3 은 대칭 키 암호화를 사용하여, 인증 데이터를 교환 및 검증함으로써, 통신 링크를 통해 안전하게 통신하는 제 1 전자 디바이스 및 제 2 전자 디바이스를 개략적으로 나타내는 블록도를 도시한다.
도 4 는 대칭 키 암호화를 사용하여, 인증 데이터를 교환 및 검증함으로써, 제 1 전자 디바이스와 제 2 전자 디바이스 사이에서 안전하게 통신하기 위한 예시적인 일련의 단계들을 도시한 흐름도를 도시한다.
도 5 는 루트 노드 및 루트 노드 아래의 차일드를 갖는 트리 구조로 구성된 크립토그래픽 키 계층의 예를 보여주며, 루트 노드는 마스터 크립토그래픽 키를 나타내고, 차일드 노드는 일방향 함수를 사용하여 마스터 크립토그래픽 키로부터 도출된 크립토그래픽 키를 나타낸다.
도 6 은 대칭 키 암호화를 사용하여 통신 링크를 통해 데이터를 안전하게 통신하고 선택적으로 인증 데이터를 교환 및 검증하는 제 1 전자 디바이스 및 제 2 전자 디바이스를 개략적으로 나타내는 블록도를 도시한다.
도 7 은 대칭 키 암호화를 사용하여 제 1 전자 디바이스와 제 2 전자 디바이스 사이에서 안전하게 통신하고 선택적으로 인증 데이터를 교환 및 검증하기 위한 예시적인 일련의 단계들을 도시한 흐름도를 도시한다.
도 8 은 상위 레벨의 크립토그래픽 키 계층에서 상위 레벨 키로부터 크립토그래픽 키 계층의 하위 레벨 키를 도출하기 위한 암호 일방향 함수를 개략적으로 나타내는 블록도를 도시한다.
도 9 는 트리 구조로서 구성된 두 개의 서로 다른 크립토그래픽 키 계층들의 예를 보여주며, 각각은 상이한 루트 노드 및 루트 노드 아래의 차일드 노드를 가지며, 두 개의 차일드 노드는 그들 각각의 트리 구조에서 동일한 위치를 갖도록 링크된 것으로 표시된다.
도 1 은 대칭 키 암호화를 사용하여 통신 링크를 통해 데이터를 안전하게 통신하는 제 1 전자 디바이스 및 제 2 전자 디바이스를 개략적으로 나타내는 블록도를 도시한다.
도 2 는 대칭 키 암호화를 사용하여 제 1 전자 디바이스와 제 2 전자 디바이스 사이에서 데이터를 안전하게 통신하기 위한 예시적인 일련의 단계들을 도시한 흐름도를 도시한다.
도 3 은 대칭 키 암호화를 사용하여, 인증 데이터를 교환 및 검증함으로써, 통신 링크를 통해 안전하게 통신하는 제 1 전자 디바이스 및 제 2 전자 디바이스를 개략적으로 나타내는 블록도를 도시한다.
도 4 는 대칭 키 암호화를 사용하여, 인증 데이터를 교환 및 검증함으로써, 제 1 전자 디바이스와 제 2 전자 디바이스 사이에서 안전하게 통신하기 위한 예시적인 일련의 단계들을 도시한 흐름도를 도시한다.
도 5 는 루트 노드 및 루트 노드 아래의 차일드를 갖는 트리 구조로 구성된 크립토그래픽 키 계층의 예를 보여주며, 루트 노드는 마스터 크립토그래픽 키를 나타내고, 차일드 노드는 일방향 함수를 사용하여 마스터 크립토그래픽 키로부터 도출된 크립토그래픽 키를 나타낸다.
도 6 은 대칭 키 암호화를 사용하여 통신 링크를 통해 데이터를 안전하게 통신하고 선택적으로 인증 데이터를 교환 및 검증하는 제 1 전자 디바이스 및 제 2 전자 디바이스를 개략적으로 나타내는 블록도를 도시한다.
도 7 은 대칭 키 암호화를 사용하여 제 1 전자 디바이스와 제 2 전자 디바이스 사이에서 안전하게 통신하고 선택적으로 인증 데이터를 교환 및 검증하기 위한 예시적인 일련의 단계들을 도시한 흐름도를 도시한다.
도 8 은 상위 레벨의 크립토그래픽 키 계층에서 상위 레벨 키로부터 크립토그래픽 키 계층의 하위 레벨 키를 도출하기 위한 암호 일방향 함수를 개략적으로 나타내는 블록도를 도시한다.
도 9 는 트리 구조로서 구성된 두 개의 서로 다른 크립토그래픽 키 계층들의 예를 보여주며, 각각은 상이한 루트 노드 및 루트 노드 아래의 차일드 노드를 가지며, 두 개의 차일드 노드는 그들 각각의 트리 구조에서 동일한 위치를 갖도록 링크된 것으로 표시된다.
도 1 내지 도 4, 도 6, 도 7 에서, 참조 번호 1 은 제 1 전자 디바이스를 나타내고 참조 번호 2 는 제 2 전자 디바이스를 나타낸다. 제 1 전자 디바이스 (1) 및 제 2 전자 디바이스 (2) 는 각각 전자 회로 (10, 20) 를 포함하는 동작 가능한 전자 디바이스이다. 당업자는 회로 (10, 20) 가 프로그램가능 프로세서 또는 다른 구성가능한 전자 논리 유닛이며, 이들은 나중에 더 상세히 설명되는 바와 같이 다양한 기능 및 단계를 실행하도록 프로그램되거나 구성됨을 이해할 것이다. 제 1 전자 디바이스 (1) 및 제 2 전자 디바이스 (2) 는 통신 링크 (3) 를 통해 서로 통신하도록 구성된다. 제 1 전자 디바이스 (1) 및 제 2 전자 디바이스 (2) 의 유형 또는 실시형태에 따라, 통신 링크는 유선 또는 접촉 기반 통신 링크, 또는 무선 통신 링크, 예를 들어 RFID (Radio Frequency IDentifier), NFC (Near Field Communication), BLE (Bluetooth Low Energy) 등과 같은 근거리 또는 단거리 통신 링크, WLAN (Wireless Local Area Network) 또는 BT (Bluetooth) 와 같은 중거리 통신 링크, 또는 GSM (Global System for Mobile Communication) 또는 UMTS (Universal Mobile Telephone System) 등과 같은 장거리 통신 링크이다. 이에 따라 및 응용 및/또는 실시형태에 따라, 제 1 전자 디바이스 (1) 및 제 2 전자 디바이스 (2) 는 고정 또는 이동 통신 디바이스, 예를 들어 개인용 컴퓨터 (데스크톱, 랩탑, 노트북), 태블릿 컴퓨팅 디바이스, 스마트 폰 (이동 무선 전화), 스마트 워치, 트랜스폰더, 스마트 카드 (칩 카드) 또는 전자 동글 등으로 구현된다.
도 1, 도 3 및 도 6 에 개략적으로 도시된 바와 같이, 제 1 전자 디바이스 (1) 는 제 1 전자 디바이스 (1) 에 안전하게 저장된 비밀 크립토그래픽 키 (11) 를 포함한다. 제 2 전자 디바이스 (2) 는 제 2 전자 디바이스 (2) 에 안전하게 저장된 비밀 크립토그래픽 키 (21) 를 포함한다. 전자 디바이스 (1, 2) 에 저장된 비밀 크립토그래픽 키 (11, 21) 는 키 기관 (5) 에 의해 생성된다. 비밀 크립토그래픽 키 (11, 21) 는 전자 디바이스 (1, 2) 에 보안된 방식으로, 예를 들어 전자 디바이스 (1, 2) 의 제조 또는 구성 시간에 보안된 프로세스로 키 기관 (5) 에 의해 저장된다. 키 기관 (5) 은 크립토그래픽 키 계층 (6) 의 비밀 크립토그래픽 키를 생성하도록 구성된 하나 이상의 프로세서를 갖는 하나 이상의 컴퓨터를 포함한다.
도 5 에 개략적으로 도시된 바와 같이, 크립토그래픽 키 계층 (6) 의 하위 레벨에서의 하위 레벨 키는 크립토그래픽 키 계층 (6) 의 상위 레벨에서의 상위 레벨 키로부터의 암호 일방향 함수 (F) 에 의해 도출된다. 일방향 함수 (F) 는 모든 입력에 대해서는 계산하기 쉽지만 역방향으로는, 즉 그 함수의 주어진 출력에 대해 및 그 함수의 주어진 출력으로부터 그 함수에 대한 요구된 입력을 계산하기 위해서는 높은 계산 복잡도를 요구하는 함수이다. 일방향 함수의 예는 NIST (National Institute of Standards and Technology) 에 의해 정의된 바와 같은 AES128 또는 AES256 진보된 암호화 표준 (Advanced Encryption Standard: AES) 을 포함한다.
도 5 에 도시된 계층적 트리 구조 (60) 의 예에서, 트리 구조 (60) 의 루트 노드 (N0) 는 마스터 크립토그래픽 키를 나타낸다. 트리 구조 (60) 에서 차일드 노드 N1, N2, N3 으로 표시되는, 루트 노드 (N0) 로부터 다음 하위 레벨의 모든 크립토그래픽 키는 루트 노드 (N0) 로 표현된 마스터 키로부터 일방향 함수 (F) 에 의해 도출된다.
마찬가지로, 트리 구조 (60) 에서 차일드 노드 (N4, N5, N6, ..., N7) 로 표현되는 노드 (N2) 로부터의 다음 하위 레벨의 크립토그래픽 키는 이들 각각의 부모 노드 (N2) 로 표시되는 크립토그래픽 키로부터 일방향 함수 (F) 에 의해 도출되고; 트리 구조 (60) 에서 차일드 노드 (N8, N9, ..., N10) 으로 표시되는 노드 (N5) 로부터 다음 하위 레벨의 크립토그래픽 키는 그들 각각의 부모 노드 (N5) 로 표시되는 크립토그래픽 키로부터 일방향 함수 (F) 에 의해 도출된다. 도 5 에 도시된 바와 같이, 크립토그래픽 키 계층 (6) 의 각 노드 및 각각의 크립토그래픽 키는 계층 트리 구조 (60) 에서의 그의 위치 (또는 상대 위치) 에 의해 정의된다. 도 5 에 도시된 예에서, 계층 트리 구조 (60) 는 루트 노드 (N0) 아래에 3 개의 계층 레벨을 가지며 노드의 위치는 3 개의 인덱스에 의해 정의될 수 있다. 예를 들어, 루트 노드의 위치는 인덱스 값 [0,0,0] 에 의해 정의되며, 차일드 노드는 인덱스 값 [L1, L2, L3]에 의해 정의될 수 있으며, 여기서 L1 은 루트 노드 (N0) 아래의 첫 번째 레벨에서 노드 (N1, N2, ..., N3) 의 위치를 나타내고, L2 는 루트 노드 (N0) 아래의 두 번째 레벨에서 노드 (N4, N5, N6, ..., N7) 의 위치를 나타내고, 및 L3 은 루트 노드 (N0) 아래의 세 번째 레벨에서 노드 (N8, N9, N10, ..., N11) 의 위치를 나타낸다. 계층 트리 구조 (60) 에서의 임의의 노드에 대한 크립토그래픽 키는 일방향 함수 (F) 를 사용하여 루트 노드 (N0) 의 마스터 키로부터 또는 각각의 부모 노드 또는 다른 각각의 조상 노드로부터 도출 (계산) 될 수 있다. 계층 트리 구조 (60) 에서의 레벨 (L) 및 위치 [L1, L2, L3] 에서의 특정 노드에 대한 크립토그래픽 키 K[L1,L2, L3] 를 도출 (계산) 하기 위해, 일방향 함수 (F) 는 각각의 부모 노드에 의해 표현된 상위 레벨 크립토그래픽 키 KL -1 및 그의 레벨 L 에서의 특정 노드의 위치 (또는 상대 위치) PosL, 즉, 그의 형제들 중에서, 즉 상위 레벨 L-1 에서의 그의 각각의 부모 노드의 레벨 L 에서의 칠드런 중에서의 레벨 L 에서의 위치 PosL 에 적용된다, K[ L1,L2,L3 ] = F{KL -1; PosL{[L1,L2,L3]}}. 예를 들어, 계층 트리 구조 (60) 에서의 위치 [2,3,0] 의 노드 (N6) 에 대한 크립토그래픽 키 K[2,3,0] 는 일방향 함수 (F) 를 부모 노드 (N2) 로 표시된 상위 레벨 크립토그래픽 키 K[2,0,0] 및 그것의 레벨 L2 에서의 노드 (N6) 의 위치 PosL{[2,3,0]} = 3 에 적용함으로써 계산되며, K[2,3,0] = F{K[2,0,0]; 3} 이다.
도 8 에 도시된 바와 같이, 일방향 함수 (F) 는 함수 출력 (Fout) 을 함수 입력 (Fin) 으로부터 계산한다. 함수 입력은 하위 레벨 L 에서 도출될 하위 레벨 크립토그래픽 키 KPosL 의 위치 (PosL) 및 상위 레벨 부모 크립토그래픽 키 KL -1 를 포함한다. 위치 PosL 은 하위 레벨 L 에서의 하위 레벨 크립토그래픽 키 KPosL 의 위치를 정의하는 비트 문자열이다; 그 값은 반드시 수치적으로 위치를 나타낼 필요는 없고, 단지 각각의 레벨 L 에서의 위치를 명확하게 결정하면 된다. 예를 들어, 각각 AES128 또는 AES256 함수에 대해 128 또는 256 비트 문자열 데이터 입력 블록 (Fin) 으로부터의 위치 PosL 및 상위 레벨 부모 크립토그래픽 키 KL -1. 특정 일방향 함수 (F) 에 따라, 전자 디바이스 (1, 2) 에 안전하게 저장된 함수 키 (Fkey) 는 하위 레벨 크립토그래픽 키 KPosL, 예를 들어, 각각 AES128 또는 AES256 함수를 위한 128 비트 또는 256 비트 AES 키를 계산하기 위해 필요하다. 함수 출력 (Fout) 은 도출된 하위 레벨 크립토그래픽 키 KPosL, 예를 들어, 각각 AES128 또는 AES256 함수로부터 128 비트 또는 256 비트 AES 키를 나타낸다. 대안적인 실시형태에서, 일방향 함수 (F) 의 함수 입력 (Fin) 은 (전자 디바이스 (1, 2) 에 안전하게 저장된) 고정된 값으로 유지되고, 하위 레벨 (L) 에서 도출될 하위 레벨 크립토그래픽 키 KPosL 의 위치 (PosL) 및 상위 레벨 부모 크립토그래픽 키 KL - 1 의 조합은 일방향 함수 (F) 의 함수 키 (Fkey) 로서 사용된다.
액세스 가능한 조상 크립토그래픽 키와 도출될 크립토그래픽 키의 (상대) 위치 사이의 레벨들의 수에 따라, 크립토그래픽 키는 일방향 함수 (F) 를, 액세스 가능한 조상 크립토그래픽 키가 직접 부모 노드에 의해 표현되는 경우에는 한 번, 또는 액세스 가능한 조상 크립토그래픽 키가 크립토그래픽 키 계층 (6) 에서 더 높고, 크립토그래픽 키는 여러 레벨의 계층 트리 구조 (60) 를 통해 (아래로) 도출되어야 하는 경우에는 여러 번 계산함으로써 도출된다. 다시 말해, 크립토그래픽 키 계층 (6) 의 하위 레벨에서 하위 레벨 키는, 위치 정보에 의해 정의된 타겟 노드에 대한 크립토그래픽 키를 포함하는 및 그 암호키까지의, 조상 노드의 알려진 또는 액세스 가능한 크립토그래픽 키로부터 직접 경로상의 임의의 노드에 대한 크립토그래픽 키를 계산하기 위해, 크립토그래픽 키 계층 (6) 의 상위 레벨에서, 그들의 상위 레벨 키에 암호 일방향 함수 (F) 를 적용함으로써 도출된다. 따라서, 일방향 함수는 알려진 또는 액세스 가능한 크립토그래픽 키를 갖는 조상 노드로부터 위치 정보에 의해 정의된 타겟 노드까지의 크립토그래픽 키 계층 (6) 에서의 직접 경로 상에서 알려진 또는 액세스 가능한 크립토그래픽 키 및 임의의 중간 크립토그래픽 키에 적용된다.
하위 레벨 크립토그래픽 키들은 (직접) 조상 노드 (부모 노드, 조부모 노드, 증조부모 노드 등) 로 표시되는 상위 레벨 크립토그래픽 키로부터만 도출될 수 있으며, 그들은 계층 트리 구조 (60) 에서 별개의 (병렬) 브랜치상의 다른 (비조상) 노드 (삼촌 노드) 에 의해 표현된 상위 레벨 크립토그래픽 키로부터 도출될 수 없다. 예를 들어, 노드 (N11) 에 의해 표현된 크립토그래픽 키는 그의 조상 노드 (N7, N2 및 N0) 에 의해 표현된 크립토그래픽 키에 의해서만 도출될 수 있다; 그러나 그것은 별개의 분기에 있는 다른 비 조상 노드 (N4, N5 또는 N6) (삼촌 노드) 으로 표시되는 크립토그래픽 키로부터 도출될 수 없다. 당업자는 각각 계층 트리 구조 (60) 또는 크립토그래픽 키 계층 (6) 의 레벨들의 수 및 레벨에서의 노드들의 수가 특정의 애플리케이션 또는 시나리오의 요건들에 따라 예를 들어 키 기관 (5) 에 의해 설정될 수 있다는 것을 이해할 것이다.
도 6 은 위치 정보를 갖는 메타데이터 (42) 가 통신 링크 (3) 를 통해 제 1 전자 디바이스 (1) (또는 각각, 그것의 회로 (10)) 로부터 제 2 전자 디바이스 (2) 로 데이터 메시지 (4) 에서 전송되는 시나리오를 도시한다. 위치 정보는 제 1 전자 디바이스 (1) 에 의해 사용되거나 사용되도록 요청된 크립토그래픽 키의 위치와 관련된다. 예를 들어, 제 1 전자 디바이스 (1) 가 크립토그래픽 키 계층 (6) 의 계층 트리 구조 (60) 에서 노드 (N8) 에 의해 표현된 크립토그래픽 키를 사용 또는 요청하는 경우, 위치 정보는 계층 트리 구조 (60) 에서의 노드 (N8) 의 각각의 위치 [L1,L2,L3] = [2, 2, 1] 를 나타낸다. 당업자는 위치 정보가 계층 트리 구조 (60) 에서 특정 노드를 표시함으로써 또는 조상 노드에 대해 상기 특정 노드의 상대 위치를 특정함으로써 크립토그래픽 키 계층 (6) 에서 크립토그래픽 키를 정의할 수 있음을 이해할 것이다. 도 6 은 제 1 전자 디바이스 (1) 로부터 제 2 전자 디바이스 (2) 로의 데이터 메시지 (4) 의 전송에 이어서, 제 2 전자 디바이스 (2) (또는 그의 회로 (20)) 가 선택적으로 제 1 전자 디바이스 (1) 로 데이터 메시지 (4**) 를 전송하며, 그 데이터 메시지 (4**) 는 전자 디바이스 (2) 에 의해 암호화된 데이터 (41**) 를 포함하는 시나리오를 추가로 도시한다. 인증 프로세스에서, 암호화된 데이터 (41**) 는 도 7 을 참조하여 후술하는 바와 같이 암호화된 인증 데이터를 포함한다.
도 1 은 제 1 전자 디바이스 (1) (또는 각각 그 회로 (10)) 에 의해 암호화된 데이터 (41) 가 통신 링크 (3) 를 통해 데이터 메시지 (4) 에서 제 2 전자 디바이스 (2) 로 전송되는 시나리오를 도시한다. 암호화된 데이터 (41) 에 더하여, 데이터 메시지 (4) 는 데이터를 암호화하기 위해 제 1 전자 디바이스 (1) 에 의해 사용된 크립토그래픽 키의 위치 정보를 갖는 메타데이터를 더 포함한다.
도 3 은 제 1 전자 디바이스 (1) 로부터 제 2 전자 디바이스 (2) 로의 데이터 메시지 (4) 의 전송에 이어서, 제 2 전자 디바이스 (2) (또는 각각 그의 회로 (20)) 가 제 1 전자 디바이스 (1) 로 데이터 메시지 (4*) 를 전송하며, 그 데이터 메시지 (4*) 는 전자 디바이스 (2) 에 의해 암호화된 데이터 (41*), 및 선택적으로 데이터를 암호화하기 위해 제 2 전자 디바이스 (2) 에 의해 사용되는 크립토그래픽 키의 위치 정보를 갖는 메타데이터 (42*) 를 포함한다. 데이터가 인증 데이터를 포함하는 애플리케이션에서, 도 3 은 실제로 도 4 를 참조하여 후술되는 인증 프로세스를 도시한다.
다음의 단락들에서, 도 2, 도 4 및 도 7 을 참조하여, 대칭 키 암호화를 사용하여 전자 디바이스들 (1, 2) 사이에서 안전하게 통신하기 위해 전자 디바이스들 (1, 2) 의 키 기관 (5) 및 회로들 (10, 20) 에 의해 수행되는 가능한 단계들의 시퀀스들이 기술된다.
도 2, 도 4 및 도 7 에 도시된 바와 같이, 단계 (S1) 에서, 비밀 크립토그래픽 키가 유도되어 전자 디바이스 (1, 2) 에 저장된다. 구체적으로, 전자 디바이스 (1, 2) 에 저장된 비밀 크립토그래픽 키 (11, 21) 는 예를 들어 각각의 전자 디바이스 (1, 2) 에 부여될 권한들 및/또는 인가의 레벨에 따라 크립토그래픽 키 계층 (6) 으로부터 결정된다. 크립토그래픽 키 계층 (6) 에서 더 높은 크립토그래픽 키 (11, 21) 가 선택될수록, 크립토그래픽 키 계층 (6) 에서 더 낮은 레벨의 더 많은 크립토그래픽 키가 선택된 크립토그래픽 키 (11, 21) 로부터 도출될 수 있다. 단계 (S11, S12) 에서, 크립토그래픽 키 (11, 21) 는 키 기관 (5) 또는 다른 신뢰할 수 있는 엔티티에 의해, 예를 들어 전자 디바이스 (1, 2) 의 제조 또는 구성 동안 및/또는 제한된 영역에서, 제 1 전자 디바이스 (1) 또는 제 2 전자 디바이스 (2) 에 보안된 프로세스에서 저장된다. 크립토그래픽 키 (11, 21) 는 각각의 메타데이터와 함께 전자 디바이스 (1, 2) 에 저장된다. 크립토그래픽 키의 메타데이터는 각각의 크립토그래픽 키가 그로 부터 선택되거나 도출된 특정 크립토그래픽 키 계층 (6) 또는 크립토그래픽 키 계층 (6) 의 서브 세트 (61) 를 식별 (정의) 하는 키 공간 식별자를 포함한다. 메타 데이터는 특정 크립토그래픽 키 계층 (6) 또는 크립토그래픽 키 계층 (6) 의 서브 세트 (61) 에서 각각의 크립토그래픽 키의 (절대 또는 상대) 위치를 정의하는 위치 정보를 더 포함한다. 예를 들어, 계층 트리 구조 (60) 에서 노드 (N8) 에 의해 표현된 크립토그래픽 키에 대해, 키 공간 식별자는 각각의 크립토그래픽 키 계층 (6) 또는 그의 서브 세트 (61) 를 표시하고, 위치 정보는 계층 트리 구조 (60) 에서 각각의 위치 [L1,L2,L3] = [2, 2, 1] 를 나타낸다. 도 9 는 크립토그래픽 키 계층 (6a, 6b) 에서 크립토그래픽 키들 및 그들의 각각의 위치 [L1; L2; L3] 를 나타내는 복수의 노드를 갖는, 그들 자신의 각각의 키 공간 식별자에 의해 식별되는 2 개의 추가 키 계층 (6a, 6b) 을 도시한다. 참조 번호 600 은 각각 2 개의 키 계층 (6a, 6b) 중 상이한 것에 있지만 각각의 키 계층 (6a, 6b) 또는 계층 트리 구조에서 동일한 위치 [L1;L2;L3] = [1;n;0] 에 있는 2 개의 상이한 크립토그래픽 키를 나타내는 가상 링크를 나타낸다.
도 2, 도 4 및 도 7 에 도시된 바와 같이, 단계 (S2) 에서, 제 1 전자 디바이스 (1) 또는 그의 회로 (10) 는 각각 제 2 전자 디바이스 (2) 와 안전하게 통신하기 위해 사용될 크립토그래픽 키를 결정한다. 크립토그래픽 키는 예를 들어 제 2 전자 디바이스 (2) 의 타입 또는 제 2 전자 디바이스 (2) 로 수행될 애플리케이션/상호 작용에 따라 결정된다. 본질적으로, 회로 (10) 는 제 1 전자 디바이스 (1) 에 저장된 크립토그래픽 키 (11) 를 사용하거나 또는 일방향 함수 및 특정 위치 정보를 사용하여 제 1 전자 디바이스 (1) 에 저장된 크립토그래픽 키 (11) 로부터 크립토그래픽 키 계층 (6) 에서 하위 레벨 크립토그래픽 키를 도출한다.
도 7 의 실시형태에서, 단계 (S4*) 에서, 제 1 전자 디바이스 (1) 또는 그의 회로 (10) 는 각각 데이터 메시지 (4) 를 생성하고 통신 링크 (3) 를 통해 제 2 전자 디바이스 (2) 에 전송한다. 데이터 메시지는 단계 (S2) 에서 결정된 크립토그래픽 키와 연관된 메타데이터를 포함한다. 메타데이터 (42) 는 크립토그래픽 키의 위치 정보 및/또는 크립토그래픽 키를 포함하는 특정 크립토그래픽 키 계층 (6) 또는 크립토그래픽 키 계층 서브 세트 (61) 의 키 공간 식별자를 포함한다.
단계 (S5) 에서, 제 2 전자 디바이스 (2) 또는 그 회로 (20) 는 각각 제 1 전자 디바이스 (1) 로부터 데이터 메시지 (4) 를 수신하고 데이터 메시지 (4) 에 포함된 메타데이터 (42) 에 의해 정의된 크립토그래픽 키를 결정한다. 제 2 전자 디바이스 (2) 에 저장된 비밀 크립토그래픽 키 (21) 가 여러 개인 경우, 회로 (20) 는 메타데이터 (42) 에 포함된 키 공간 식별자를 사용하여 적용가능한 크립토그래픽 키 계층 (6) 또는 크립토그래픽 키 계층 (6) 의 서브 세트 (61) 를 결정한다. (적용가능한 크립토그래픽 키 계층 (6) 또는 서브 세트 (61) 의) 비밀 크립토그래픽 키 (21) 에 대한 제 2 전자 디바이스 (2) 에 저장된 위치 정보를 제 1 전자 디바이스 (1) 에 의해 사용된 크립토그래픽 키에 대한 메타데이터와 함께 수신된 위치 정보와 비교함으로써, 회로 (20) 는 제 2 전자 디바이스 (2) 에 저장된 비밀 크립토그래픽 키 (21) 가 크립토그래픽 키 계층 (6) 에서 대응하는 위치에 있는 지 및 따라서 수신된 암호화된 데이터 (41) 를 해독하는데 사용될 수 있는지 여부, 또는 비밀 크립토그래픽 키 (21) 가 크립토그래픽 키 계층 (6) 에서 제 1 전자 디바이스 (1) 에 의해 특정된 크립토그래픽 키의 위치와 일치하는 크립토그래픽 키를 도출하기 위한 크립토그래픽 키 계층 (6) 에서의 적절한 조상인지 여부를 결정한다. 이러한 경우 중 어느 것도 가능하지 않은 경우, 회로 (20) 는 제 1 전자 디바이스 (1) 로부터 데이터 메시지 (4) 를 거부하고 및/또는 오류 메시지를 생성한다. 그렇지 않으면, 회로 (20) 는 메타데이터 (42) 에서 수신된 위치 정보를 이용하여, 일방향 함수 (F) 에 의해 제 1 전자 디바이스 (1) 에 의해 특정된 크립토그래픽 키를 도출하거나 암호화된 데이터 (41) 를 해독하기 위해 저장된 비밀 크립토그래픽 키 (21) 를 획득한다. 예를 들어, 제 2 전자 디바이스 (2) 에 저장된 비밀 크립토그래픽 키 (21) 가 크립토그래픽 키 계층 (6) 또는 서브 세트 (61) 에서 노드 (N5) 에 의해 표현된 조상 크립토그래픽 키에 대응하는 경우, 및 제 1 전자 디바이스 (1) 로부터 수신된 위치 정보가 계층 트리 구조 (60) 에서 노드 (N8) 의 위치 [L1, L2, L3] = [2,2,1]을 나타내는 경우, 회로 (20) 는 일방향 함수 (F) 및 노드 (N8) 의 위치 정보 [L1, L2, L3] = [2,2,1] 를 사용하여, (조상 노드 (N5) 로 표현된) 저장된 비밀 크립토그래픽 키 (21) 로부터 차일드 노드 (N8) 에 의해 표현된 크립토그래픽 키를 도출한다.
이어서, 단계 (S5) 에서 결정된 크립토그래픽 키는 예를 들어 단계 (S10) 에 의해 표시된 대칭 키 암호화를 사용하여 암호화된 데이터를 교환함으로써, 제 1 전자 디바이스 (1) 와의 보안된 데이터 통신을 수행하기 위해, 각각 제 2 전자 디바이스 (2) 또는 그의 회로 (20) 에 의해 사용된다.
도 7 에서, 참조 번호 A 는 도 7 의 단계 (S1, S2, S4*, 및 S5) 를 수행하는 것에 후속하여 인증 프로세스를 실행하기 위한 선택적 단계의 블록을 지칭한다.
단계 (SA1) 에서, 제 2 전자 디바이스 (2) 또는 그 회로 (20) 는 각각 단계 (S5) 에서 결정된 크립토그래픽 키를 사용하여 인증 데이터를 암호화함으로써, 인증 데이터 메시지 (4**) 를 생성한다. 예를 들어, 인증 데이터는 제 1 전자 디바이스 (1) 로부터 수신된 데이터, 예를 들어 메타데이터 (42) 와 함께 이전에 수신된 위치 정보, 및 논스(nonce), 예를 들어 난수 및/또는 타임 스탬프를 포함한다.
단계 (SA2) 에서, 제 2 전자 디바이스 (2) 또는 그 회로 (20) 는 각각 통신 링크 (3) 를 통해 암호화된 (인증) 데이터 (4**) 를 갖는 인증 데이터 메시지 (4**) 를 제 1 전자 디바이스 (1) 에 전송한다.
단계 (SA3) 에서, 제 1 전자 디바이스 (1) 또는 그 회로 (10) 는 각각 제 2 전자 디바이스 (2) 로부터 인증 데이터 메시지 (4**) 를 수신하고 인증 데이터를 획득하기 위해 단계 (S2) 에서 결정된 크립토그래픽 키를 사용하여 인증 데이터 메시지 (4**) 를 해독한다. 이어서, 회로 (10) 는 제 2 전자 디바이스 (2) 로부터 인증 메시지 (4**) 에서 암호화된 형태로 수신된 인증 데이터를, 그것을 원래의 인증 데이터, 예를 들어 단계 (S2) 에서 결정된 위치 정보와 비교함으로써, 검증한다. 제 1 전자 디바이스 (1) 의 원래의 인증 데이터가 인증 메시지 (4**) 로부터 획득 및 해독된 인증 데이터와 일치하면, 인증 데이터 및 제 2 전자 디바이스 (2)의 진위가 확인된다. 그러한 경우라면, 전자 디바이스들 (1, 2) 사이의 보안 데이터 통신은 단계 (S10) 에서 실행될 수 있다. 그렇지 않으면, 회로 (10) 는 제 2 전자 디바이스 (2) 로부터의 인증 데이터 메시지 (4**) 를 거부하고 및/또는 오류 메시지를 생성한다.
도 2 의 실시형태에서, 단계 (S3) 에서, 제 1 전자 디바이스 (1) 또는 그의 회로 (10) 는 각각 단계 (S2) 에서 결정된 크립토그래픽 키를 사용하여 통신 링크 (3) 을 통해 제 2 전자 디바이스 (2) 로 전송될 데이터를 암호화한다. 인증 프로세스의 경우, 데이터는 예를 들어 타임 스탬프 및/또는 난수를 갖는 논스를 포함하는 인증 데이터를 포함한다.
단계 (S4) 에서, 제 1 전자 디바이스 (1) 또는 그의 회로 (10) 는 각각 데이터 메시지 (4) 를 생성하고 통신 링크 (3) 를 통해 제 2 전자 디바이스 (2) 에 전송한다. 데이터 메시지는 암호화된 데이터 (41) 및 그 데이터를 암호화하는데 사용된 크립토그래픽 키와 연관된 메타데이터를 포함한다. 메타데이터 (42) 는 크립토그래픽 키의 위치 정보 및/또는 크립토그래픽 키를 포함하는 특정 크립토그래픽 키 계층 (6) 또는 크립토그래픽 키 계층 서브 세트 (61) 의 키 공간 식별자를 포함한다.
단계 (S5) 에서, 도 7 과 관련하여 상술된 바와 같이, 제 2 전자 디바이스 (2) 또는 그 회로 (20) 는 각각 제 1 전자 디바이스 (1) 로부터 데이터 메시지 (4) 를 수신하고 데이터 메시지 (4) 에 포함된 암호화된 데이터 (41) 를 해독하기 위한 크립토그래픽 키를 결정한다.
단계 (S6) 에서, 제 2 전자 디바이스 (2) 또는 그의 회로 (20) 는 각각 단계 (S5) 에서 결정된 크립토그래픽 키를 사용하여 제 1 전자 디바이스 (1) 로부터 수신된 암호화된 데이터 (41) 를 해독한다.
도 2 및 도 4 에서, 참조 부호 S 는 (암호화 디바이스 및 암호 해독 디바이스의 역할을 양방향으로 변경함으로써) 전자 디바이스 (1, 2) 사이에서 암호화된 데이터를 안전하게 통신할 수 있게 하는 전술한 일련의 단계들 (S2, S3, S4, S5 및 S6) 을 지칭한다. 도 4 를 참조하여 아래에 설명된 추가 단계 (S7, S8, S9) 는 전자 디바이스 (1, 2) 사이에 인증 프로세스를 구현하여 전자 디바이스 (1, 2) 사이에 안전하고 인증된 통신을 확립할 수 있게 한다.
도 3 및 도 4 에 도시된 인증 프로세스에서, 단계 (S3) 에서 제 1 전자 디바이스 (1) 또는 그의 회로 (10) 에 의해 암호화된 데이터는 각각 인증 데이터를 포함한다.
도 4 에 도시된 바와 같이, 단계 (S7) 에서, 제 2 전자 디바이스 (2) 또는 그의 회로 (20) 는 각각 단계 (S6) 에서 해독된 데이터로부터 인증 데이터를 추출한다.
단계 (S7) 에서, 회로 (20) 는 단계 (S5)에서 결정되고 S6 에서 사용된 동일한 크립토그래픽 키를 사용하여 제 1 전자 디바이스 (1) 로부터 수신된 암호화된 데이터 (41) 를 해독하여 인증 데이터를 암호화한다. 회로 (20) 는 암호화된 인증 데이터 (41*) 및 선택적으로 메타데이터 (42*) 를 포함하는 응답 데이터 메시지 (4*) 를 생성한다.
단계 (S8) 에서, 제 2 전자 디바이스 (2) 또는 그의 회로 (20) 는 각각 통신 링크 (3) 를 통해 응답 데이터 메시지 (4*) 를 제 1 전자 디바이스 (1) 에 전송한다.
단계 (S9) 에서, 제 1 전자 디바이스 (1) 또는 그의 회로 (10) 는 각각 제 2 전자 디바이스 (2) 로부터 응답 데이터 메시지 (4*) 를 수신하고, 제 2 전자 디바이스 (2) 에 대한 데이터를 암호화하기 위해 단계 (S3) 에서 이전에 사용된 크립토그래픽 키를 사용하여 암호화된 인증 데이터 (41*) 를 해독한다. 후속적으로, 회로 (10) 는 제 2 전자 디바이스 (2) 로부터 응답 데이터 메시지 (4*) 에서 암호화된 형태로 수신된 해독된 인증 데이터를, 그것이 각각 단계 (S3 및 S4) 에서 제 2 전자 디바이스 (2) 로 암호화되어 전송되기 전에 제 1 전자 디바이스 (1) 에서 정의된 원래의 인증 데이터와 그것을 비교함으로써 검증한다. 제 1 전자 디바이스 (1) 의 원래의 인증 데이터가 제 2 전자 디바이스 (2) 로부터 수신된 응답 데이터 메시지 (4*) 로부터 해독된 인증 데이터와 일치하면, 인증 데이터 및 따라서 제 2 전자 디바이스 (2) 의 진위가 확인된다. 그러한 경우라면, 전자 디바이스들 (1, 2) 사이의 보안 데이터 통신은 단계 (S10) 에서 실행될 수 있다. 그렇지 않으면, 회로 (10) 는 제 2 전자 디바이스 (2) 로부터의 응답 데이터 메시지 (4*) 를 거부하고 및/또는 오류 메시지를 생성한다.
액세스 제어 애플리케이션에서, 제 2 전자 디바이스 (2)에 의해 제 1 전자 디바이스 (1) 와 연관된 인가를 검증하기 위해, 제 1 전자 디바이스 (1) 는, 예를 들어 제 1 전자 디바이스 (1) 의 인가를 검증하기 위해 확인될 인가 데이터를 제 2 전자 디바이스 (2) 에 전송한다. 예를 들어, 제 1 전자 디바이스 (1) 는 상술 한 바와 같은 모바일 디바이스이고, 제 2 전자 디바이스 (2) 는 건물 또는 방에 대한 액세스를 제어하기 위해 도어 또는 게이트의 잠금을 제어하는 액세스 제어 디바이스 (단말기) 이다. 구체적으로, 단계들 S 의 시퀀스 (단계 S2, S3, S4, S5 및 S6 을 포함) 로, 제 1 전자 디바이스 (1) 는 제 1 키 공간 식별자에 의해 정의된 제 1 키 계층 (6a) 으로부터의 제 1 암호화 키를 사용하여, 제 2 전자 디바이스 (2) 에 대한 액세스 권한을 갖는 제 1 인가 데이터를 제 1 데이터 메시지에서 안전하게 통신한다. 액세스 권한은 예를 들어 특정 시간 또는 시간 주기 동안 각각의 사용자에 대한 입장 허가를 포함할 수도 있다. 당업자는 특정 액세스 제어 애플리케이션에 따라 상이한 유형 및 종류의 액세스 권한이 가능할 수 있다는 것을 이해할 것이다. 일 실시형태에서, 키 또는 액세스 권한 기관 (5) 은 단계 (S2 및 S3) 를 실행함으로써 제 1 키 계층 (6a) 의 제 1 암호화 키를 정의하기 위한 제 1 키 공간 식별자 및 제 1 위치 정보를 포함하는, 암호화된 제 1 인가 데이터 및 제 1 메타데이터를 갖는 제 1 데이터 메시지를 생성하고, 제 1 데이터 메시지를 제 1 전자 디바이스 (1) 로 전송하여, 제 1 전자 디바이스 (1) 가 단계 (S4) 에서 제 2 전자 디바이스 (2) 로 제 1 데이터 메시지를 전송하는 것을 가능하게 한다. 후속하여, 단계들 (S) 의 추가 시퀀스에 의해, 제 1 전자 디바이스 (1) 는 제 2 키 공간 식별자에 의해 정의된 제 2 키 계층 (6b) 로부터의 제 2 암호화 키를 사용하여, 제 2 전자 디바이스 (2) 에 시간 의존적 데이터를 갖는 제 2 인가 데이터를 제 2 데이터 메시지에서 안전하게 통신한다. 일 실시형태에서, 키 또는 액세스 권한 기관 (5) 은 단계들 (S2 및 S3) 의 추가의 시퀀스를 실행함으로써 제 2 키 계층 (6b) 의 제 2 암호화 키를 정의하기 위한 제 2 키 공간 식별자 및 제 2 위치 정보를 포함하는, 암호화된 제 2 인가 데이터 및 제 2 메타데이터를 갖는 제 2 데이터 메시지를 생성하고, 제 2 데이터 메시지를 제 1 전자 디바이스 (1) 로 전송하여, 제 1 전자 디바이스 (1) 가 단계 (S4) 에서 제 2 전자 디바이스 (2) 로 제 2 데이터 메시지를 전송하는 것을 가능하게 한다. 도 9 에 도시된 바와 같이, 액세스 권한을 갖는 제 1 인가 데이터에 시간 의존적 데이터를 갖는 제 2 인가 데이터를 관련시키기 위해, 제 1 암호화 키 및 제 2 암호화 키는 그들 각각의 키 계층 (6a 또는 6b) 에서 동일한 위치 정보를 그들이 갖는다는 점에서 링크된다.
제 1 전자 디바이스 (1) 의 인가를 검증하기 위해, 제 2 전자 디바이스 (2) 또는 그의 회로 (20) 는 각각 별개의 키 계층 (6b) 으로부터의 및 제 2 데이터 메시지에서 정의된 위치 [L1; L2; L3] = [1; n; 0] 에서의 크립토그래픽 키를 사용하여, 제 2 데이터 메시지에서의 암호화된 데이터로부터 해독된 시간 의존적 데이터가 최신인지 여부를 체크한다. 예를 들어, 제 1 전자 디바이스 (1) 로부터 수신된 시간 의존적 데이터는 제 2 전자 디바이스 (2) 에서 저장 또는 결정된 대응 날짜 및/또는 시간 값보다 오래되지 않은 날짜 및/또는 시간 값을 가져야 하거나, 또는 증분 카운터 값은 제 2 전자 디바이스 (2) 에서 저장 또는 결정된 증분 카운터 값보다 낮아서는 안된다. 수신된 시간 의존적 데이터가 이러한 요건들을 만족하지 않으면, 그것은 오래된 것으로 간주되고 제 2 전자 디바이스 (2) 또는 그의 회로 (20) 는 각각 제 1 전자 디바이스 (1) 의 인가를 검증하지 않고 액세스를 거부한다. 그렇지 않으면, 제 2 전자 디바이스 (2) 또는 그의 회로 (20) 는 각각 액세스 권한을 갖는 수신된 제 1 인가 데이터를 체크한다. 그러나, 이를 위해, 제 2 전자 디바이스 (2) 또는 그의 회로 (20) 는 각각 시간 의존적 데이터를 해독하는데 사용되는 제 2 키 계층 (6a) 으로부터의 크립토그래픽 키에 링크된 크립토그래픽 키를 제 1 키 계층 (6a) 에서 결정한다. 따라서, 제 2 전자 디바이스 (2) 또는 그의 회로 (20) 는 각각 제 1 데이터 메시지에서의 키 공간 식별자에 의해 식별된, 그러나 시간 의존적 데이터를 갖는 제 2 인가 데이터를 전달하는데 사용되는 제 2 데이터 메시지에서의 메타데이터에 의해 정의된 위치에서의, 키 계층 (6a) 에서의 크립토그래픽 키를 사용한다. 다시 말해서, 제 2 데이터 메시지에서 수신되고 시간 의존적 데이터를 해독하기 위해 제 2 키 계층 (6b) 에서 크립토그래픽 키를 정의하는 동일한 위치 정보는 제 1 데이터 메시지에서 수신된 액세스 권한을 해독하기 위해 제 1 키 계층 (6a) 에서 크립토그래픽 키를 결정하기 위해 사용된다. 이어서, 제 2 전자 디바이스 (2) 또는 그의 회로 (20) 는 각각 링크된 크립토그래픽 키를 이용하여 제 1 데이터 메시지의 암호화된 데이터의 해독을 통해 획득된 액세스 권한의 유효성을 체크한다. 이를 위해, 제 2 전자 디바이스 (2) 또는 그의 회로 (20) 는 각각 해독된 액세스 권한을 제 2 전자 디바이스 (2) 에서 저장 또는 결정된 액세스 권한과 비교하고, 일치 또는 대응이 있는 경우, 제 2 전자 디바이스 (2) 또는 그의 회로 (20) 는 각각 제 1 전자 디바이스 (1) 의 인가를 긍정적으로 검증하고 액세스를 부여하고; 그렇지 않으면, 제 1 전자 디바이스 (1) 의 인가는 검증되지 않고 액세스가 거부된다.
본 설명에서, 컴퓨터 프로그램 코드는 특정 기능 모듈과 연관되었고 단계들의 시퀀스는 특정 순서로 제시되었지만, 당업자라면 본 발명의 범위에서 벗어남이 없이, 컴퓨터 프로그램 코드가 상이하게 구조화될 수도 있고 단계들 중 적어도 일부의 순서가 변경될 수 있다는 것을 이해할 것이라는 점에 유의해야 한다.
Claims (18)
- 대칭 키 암호화를 사용하여, 제 2 전자 디바이스 (2) 에 의해 제 1 전자 디바이스 (1) 와 연관된 인가를 검증하는 방법으로서,
상기 제 2 전자 디바이스 (2) 에서 상기 제 1 전자 디바이스 (1) 로부터 제 1 데이터 메시지 (4) 를 수신하는 단계 (S4, S4*) 로서, 상기 제 1 데이터 메시지 (4) 는 제 1 암호화된 데이터 (41) 및 제 1 메타데이터 (42) 를 포함하고, 상기 제 1 메타데이터 (42) 는 제 1 키 공간 식별자를 포함하며, 상기 제 1 키 공간 식별자는 상기 제 1 암호화된 데이터 (41) 를 생성하기 위해 사용되는 제 1 크립토그래픽 키 (11) 를 포함하는 제 1 크립토그래픽 키 계층 (6a) 또는 상기 제 1 크립토그래픽 키 계층 (6a) 의 서브 세트 (61), 및 상기 제 1 크립토그래픽 키 계층 (6a) 의 상기 제 1 크립토그래픽 키 (11) 의 위치 정보를 정의하고, 이것에 의해 제 1 상기 크립토그래픽 키 계층 (6a) 에서, 상위 레벨 크립토그래픽 키보다 상기 제 1 크립토그래픽 키 계층 (6a) 에서 하위 레벨에 위치한 하위 레벨 크립토그래픽 키는 상기 제 1 크립토그래픽 키 계층 (6a) 에서의 상기 하위 레벨 크립토그래픽 키의 위치를 정의하는 위치 정보 및 상기 상위 레벨 크립토그래픽 키 모두로부터 일방향 함수 (F) 를 통해 도출되는, 상기 제 1 데이터 메시지 (4) 를 수신하는 단계 (S4, S4*);
상기 제 2 전자 디바이스 (2) 의 회로 (20) 에 의해, 상기 제 1 전자 디바이스 (1) 로부터 수신된 상기 제 1 키 공간 식별자를 사용하여 상기 제 2 전자 디바이스 (2) 에 저장된 복수의 비밀 크립토그래픽 키들 (21) 로부터 제 2 크립토그래픽 키 (21) 를 선택하는 단계;
상기 제 2 전자 디바이스 (2) 의 상기 회로 (20) 에 의해, 상기 제 1 전자 디바이스 (1) 로부터 수신된 위치 정보 및 상기 제 2 크립토그래픽 키 (21) 모두로부터 상기 일방향 함수 (F) 를 통해 상기 제 1 크립토그래픽 키를 도출하는 단계 (S5); 및
상기 제 2 전자 디바이스 (2) 의 회로 (20) 에 의해, 상기 제 1 전자 디바이스 (1) 와 연관된 상기 인가를 검증하기 위해, 상기 제 1 크립토그래픽 키를 사용하여 상기 제 1 암호화된 데이터 (41) 를 해독하는 단계 (S6) 를 포함하는, 인가를 검증하는 방법. - 제 1 항에 있어서,
상기 제 2 전자 디바이스 (2) 가 상기 제 1 전자 디바이스 (1) 로부터 제 2 데이터 메시지를 수신하는 단계로서, 상기 제 2 데이터 메시지는 제 2 암호화된 데이터 및 제 2 메타데이터를 포함하고, 상기 제 2 메타데이터는 제 2 키 공간 식별자를 포함하며, 상기 제 2 키 공간 식별자는 상기 제 2 암호화된 데이터를 생성하기 위해 사용되는 제 3 크립토그래픽 키를 포함하는 제 2 크립토그래픽 키 계층 (6b) 또는 상기 제 2 크립토그래픽 키 계층 (6b) 의 서브 세트 (61), 및 상기 제 2 크립토그래픽 키 계층 (6b) 의 상기 제 3 크립토그래픽 키의 위치 정보를 정의하는, 상기 제 2 데이터 메시지를 수신하는 단계; 및 상기 제 2 전자 디바이스 (2) 의 상기 회로 (20) 가 상기 제 1 전자 디바이스 (1) 로부터 수신된 상기 제 2 키 공간 식별자를 사용하여 상기 제 2 전자 디바이스에 저장된 상기 복수의 비밀 크립토그래픽 키들로부터 제 4 크립토그래픽 키를 선택하는 단계;
상기 제 4 크립토그래픽 키 및 상기 제 2 데이터 메시지에서 상기 제 1 전자 디바이스 (1) 로부터 수신된 상기 위치 정보로부터 일방향 함수 (F) 를 통해 상기 제 3 크립토그래픽 키를 도출하는 단계;
상기 제 2 데이터 메시지에서 상기 제 1 전자 디바이스 (1) 로부터 수신된 상기 위치 정보를 사용하여 상기 제 2 크립토그래픽 키 (21) 로부터 일방향 함수 (F) 를 통해 상기 제 1 크립토그래픽 키를 도출하는 단계;
상기 제 1 크립토그래픽 키를 사용하여 상기 제 1 암호화된 데이터 (41) 를 해독함으로써 제 1 인가 데이터를 생성하는 단계;
상기 제 3 크립토그래픽 키를 사용하여 상기 제 2 암호화된 데이터를 해독함으로써 제 2 인가 데이터를 생성하는 단계; 및
상기 제 1 인가 데이터 및 상기 제 2 인가 데이터를 사용하여 상기 제 1 전자 디바이스 (1) 와 연관된 상기 인가를 검증하는 단계를 더 포함하는, 인가를 검증하는 방법. - 제 2 항에 있어서,
상기 제 1 암호화된 데이터 (41) 를 해독하는 단계 (S6) 는 상기 제 1 암호화된 데이터 (41) 에서 암호화된 액세스 권한을 생성하고; 상기 제 2 암호화된 데이터를 해독하는 단계는 상기 제 2 암호화된 데이터에서 암호화된 시간 의존적 데이터를 생성하고; 그리고 상기 제 2 전자 디바이스 (2) 의 상기 회로 (20) 는 상기 액세스 권한 및 상기 시간 의존적 데이터를 사용하여 상기 제 1 전자 디바이스와 연관된 상기 인가를 검증하는, 인가를 검증하는 방법. - 제 2 항 또는 제 3 항에 있어서,
상기 제 2 데이터 메시지에서 수신된 상기 위치 정보가 상기 제 1 데이터 메시지에서 수신된 상기 위치 정보와 다른 경우, 상기 제 1 암호화된 데이터 (41) 는 상기 제 2 데이터 메시지에서 수신된 상기 위치 정보로 도출된 상기 제 1 크립토그래픽 키를 사용하여 상기 제 2 전자 디바이스 (2) 에 의해 성공적으로 해독될 수 없고, 상기 제 2 전자 디바이스 (2) 는 상기 제 1 전자 디바이스 (1) 와 연관된 상기 인가를 긍정적으로 검증하지 않는, 인가를 검증하는 방법. - 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
상기 제 2 크립토그래픽 키 (21) 의 위치 정보를 상기 제 2 전자 디바이스 (2) 에 저장하는 단계; 및
상기 제 2 전자 디바이스 (2) 에 저장된 상기 제 2 크립토그래픽 키 (21), 상기 제 2 크립토그래픽 키 (21) 의 상기 위치 정보, 및 상기 제 1 전자 디바이스 (1) 로부터 수신된 상기 위치 정보로부터 일방향 함수 (F) 에 의해 상기 제 1 크립토그래픽 키를 도출하는 상기 제 2 전자 디바이스 (2) 의 상기 회로 (20) 에 의해 상기 제 1 크립토그래픽 키를 결정하는 단계 (S5) 를 더 포함하는, 인가를 검증하는 방법. - 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
상기 제 1 크립토그래픽 키 계층 (6a) 은 트리 구조 (60) 로서 구성되고, 상기 위치 정보는 상기 트리 구조 (60) 에서 노드 (N0-N11) 를 정의하고, 이것에 의해 상기 트리 구조 (60) 에서의 각 노드 (N0-N11) 는 크립토그래픽 키를 나타내고, 상기 트리 구조 (60) 에서의 루트 노드 (N0) 는 마스터 크립토그래픽 키를 나타내고, 루트 노드 (N0) 의 한 레벨 아래의 상기 트리 구조 (60) 에서의 노드들 (N1, N2, N3) 은 상기 마스터 크립토그래픽 키로부터 일방향 함수 (F) 를 통해 도출되는 크립토그래픽 키들을 나타내며, 상기 트리 구조 (60) 에서의 하위 레벨의 차일드 노드 (N1-N11) 는 상기 트리 구조 (60) 에서의 차일드 노드 (N1-N11) 의 각각의 부모 노드에 의해 표현된 상기 크립토그래픽 키로부터 일방향 함수 (F) 에 의해 도출된 크립토그래픽 키를 나타내는, 인가를 검증하는 방법. - 대칭 암호화를 사용하여 다른 전자 디바이스 (2) 와 안전하게 통신하기 위한 전자 디바이스 (1) 로서, 상기 전자 디바이스 (1) 는
상기 다른 전자 디바이스 (2) 로 제 1 데이터 메시지 (4) 를 전송하는 단계 (S4, S4*) 를 수행하도록 구성된 회로 (10) 를 포함하며, 상기 제 1 데이터 메시지 (4) 는 제 1 암호화된 데이터 (41) 및 제 1 메타데이터 (42) 를 포함하고, 상기 제 1 메타데이터 (42) 는 제 1 키 공간 식별자를 포함하며, 상기 제 1 키 공간 식별자는 상기 제 1 암호화된 데이터 (41) 를 생성하기 위해 사용되는 제 1 크립토그래픽 키 (11) 를 포함하는 제 1 크립토그래픽 키 계층 (6a) 또는 상기 제 1 크립토그래픽 키 계층 (6a) 의 서브 세트, 및 상기 제 1 크립토그래픽 키 계층 (6a) 의 상기 제 1 크립토그래픽 키 (11) 의 위치 정보를 정의하고, 이것에 의해 상기 제 1 크립토그래픽 키 계층 (6a) 에서, 상위 레벨 크립토그래픽 키보다 상기 제 1 크립토그래픽 키 계층 (6a) 에서 하위 레벨에 위치한 하위 레벨 크립토그래픽 키는 상기 제 1 크립토그래픽 키 계층 (6a) 에서의 상기 하위 레벨 크립토그래픽 키의 위치를 정의하는 위치 정보 및 상기 상위 레벨 크립토그래픽 키 모두로부터 일방향 함수 (F) 를 통해 도출되고, 상기 제 1 메타데이터 (42) 는 상기 다른 전자 디바이스 (2) 가 상기 전자 디바이스 (1) 로부터 수신된 상기 제 1 키 공간 식별자를 사용하여 다른 전자 디바이스 (2) 에 저장된 복수의 비밀 크립토그래픽 키들 (21) 로부터 제 2 크립토그래픽 키 (21) 를 선택하고, 상기 제 2 크립토그래픽 키 (21) 및 상기 메타데이터 (42) 에 포함된 상기 위치 정보로부터 상기 일방향 함수 (F) 를 통해 상기 제 1 크립토그래픽 키 (11) 를 도출하며, 상기 전자 디바이스 (1) 와 연관된 인가를 검증하기 위해, 상기 제 1 크립토그래픽 키를 사용하여 상기 제 1 암호화된 데이터 (41) 를 해독하는 것 (S6) 을 가능하게 하는, 전자 디바이스 (1). - 제 7 항에 있어서,
상기 회로 (10) 는 또한 상기 다른 전자 디바이스 (2) 로 제 2 데이터 메시지를 전송하도록 구성되며, 상기 제 2 데이터 메시지는 제 2 암호화된 데이터 및 제 2 메타데이터를 포함하고, 상기 제 2 메타데이터는 제 2 키 공간 식별자를 포함하며, 상기 제 2 키 공간 식별자는 상기 제 2 암호화된 데이터를 생성하기 위해 사용되는 제 3 크립토그래픽 키를 포함하는 제 2 크립토그래픽 키 계층 (6b) 또는 상기 제 2 크립토그래픽 키 계층 (6b) 의 서브 세트 (61), 및 상기 제 2 크립토그래픽 키 계층 (6b) 의 상기 제 3 크립토그래픽 키의 위치 정보를 정의하여, 상기 다른 전자 디바이스 (2) 가 상기 전자 디바이스 (1) 로부터 수신된 상기 제 2 키 공간 식별자를 사용하여 상기 다른 전자 디바이스 (2) 에 저장된 상기 복수의 비밀 크립토그래픽 키들로부터 제 4 크립토그래픽 키를 선택하고, 상기 제 4 크립토그래픽 키 및 상기 제 2 데이터 메시지에서 상기 전자 디바이스 (1) 로부터 수신된 상기 위치 정보로부터 상기 일방향 함수 (F) 를 통해 상기 제 3 크립토그래픽 키를 도출하며, 상기 제 2 데이터 메시지에서 상기 전자 디바이스 (1) 로부터 수신된 상기 위치 정보를 사용하여 상기 제 2 크립토그래픽 키 (21) 로부터 상기 일방향 함수 (F) 를 통해 상기 제 1 크립토그래픽 키를 도출하고, 상기 제 1 크립토그래픽 키를 사용하여 상기 제 1 암호화된 데이터 (41) 를 해독함으로써 제 1 인가 데이터를 생성하고, 상기 제 3 크립토그래픽 키를 사용하여 상기 제 2 암호화된 데이터를 해독함으로써 제 2 인가 데이터를 생성하고, 상기 제 1 인가 데이터 및 상기 제 2 인가 데이터를 사용하여 상기 전자 디바이스 (1) 와 연관된 상기 인가를 검증하는 것을 가능하게 하는, 전자 디바이스 (1). - 제 8 항에 있어서,
상기 제 1 암호화된 데이터 (41) 를 해독하는 것 (S6) 은 상기 제 1 암호화된 데이터 (41) 에서 암호화된 액세스 권한을 생성하고; 상기 제 2 암호화된 데이터를 해독하는 것은 상기 제 2 암호화된 데이터에서 암호화된 시간 의존적 데이터를 생성하고; 그리고 상기 다른 전자 디바이스 (2) 는 상기 액세스 권한 및 상기 시간 의존적 데이터를 사용하여 상기 전자 디바이스 (1) 와 연관된 상기 인가를 검증하는 것이 가능하게 되는, 전자 디바이스 (1). - 제 8 항 또는 제 9 항에 있어서,
상기 제 2 데이터 메시지에서 전송된 상기 위치 정보가 상기 제 1 데이터 메시지에서 전송된 상기 위치 정보와 다른 경우, 상기 다른 전자 디바이스 (2) 는 상기 제 2 데이터 메시지에서 전송된 상기 위치 정보로 도출된 상기 제 1 크립토그래픽 키를 사용하여 상기 제 1 암호화된 데이터 (41) 를 성공적으로 해독하는 것이 불가능하게 되고, 상기 다른 전자 디바이스 (2) 는 상기 전자 디바이스 (1) 와 연관된 상기 인가를 긍정적으로 검증하는 것이 불가능하게 되는, 전자 디바이스 (1). - 대칭 키 암호화를 사용하여 제 2 전자 디바이스 (2) 와 안전하게 통신하기 위해, 제 1 전자 디바이스 (1) 의 회로 (10) 를 제어하도록 구성된 컴퓨터 프로그램 코드가 저장된 비일시적 컴퓨터 판독가능 매체로서,
상기 제 1 전자 디바이스 (1) 는
상기 제 2 전자 디바이스 (2) 로 제 1 데이터 메시지 (4) 를 전송하는 단계 (S4, S4*) 를 수행하며, 상기 제 1 데이터 메시지 (4) 는 제 1 암호화된 데이터 (41) 및 제 1 메타데이터 (42) 를 포함하고, 상기 제 1 메타데이터 (42) 는 제 1 키 공간 식별자를 포함하며, 상기 제 1 키 공간 식별자는 상기 제 1 암호화된 데이터 (41) 를 생성하기 위해 사용되는 제 1 크립토그래픽 키 (11) 를 포함하는 제 1 크립토그래픽 키 계층 (6a) 또는 상기 제 1 크립토그래픽 키 계층 (6a) 의 서브 세트, 및 상기 제 1 크립토그래픽 키 계층 (6a) 의 상기 제 1 크립토그래픽 키 (11) 의 위치 정보를 정의하고, 이것에 의해 상기 제 1 크립토그래픽 키 계층 (6a) 에서, 상위 레벨 크립토그래픽 키보다 상기 제 1 크립토그래픽 키 계층 (6a) 에서 하위 레벨에 위치한 하위 레벨 크립토그래픽 키는 상기 제 1 크립토그래픽 키 계층 (6a) 에서의 상기 하위 레벨 크립토그래픽 키의 위치를 정의하는 위치 정보 및 상기 상위 레벨 크립토그래픽 키 모두로부터 일방향 함수 (F) 를 통해 도출되고, 상기 제 1 메타데이터 (42) 는 상기 제 2 전자 디바이스 (2) 가 상기 제 1 전자 디바이스 (1) 로부터 수신된 상기 제 1 키 공간 식별자를 사용하여 제 2 전자 디바이스 (2) 에 저장된 복수의 비밀 크립토그래픽 키들 (21) 로부터 제 2 크립토그래픽 키 (21) 를 선택하고, 상기 제 2 크립토그래픽 키 (21) 및 상기 메타데이터 (42) 에 포함된 상기 위치 정보로부터 상기 일방향 함수 (F) 를 통해 상기 제 1 크립토그래픽 키 (11) 를 도출하며, 상기 제 1 전자 디바이스 (1) 와 연관된 인가를 검증하기 위해, 상기 제 1 크립토그래픽 키를 사용하여 상기 제 1 암호화된 데이터 (41) 를 해독하는 것 (S6) 을 가능하게 하는, 비일시적 컴퓨터 판독가능 매체. - 제 11 항에 있어서,
상기 비일시적 컴퓨터 판독가능 매체는 추가의 컴퓨터 프로그램 코드를 저장하며,상기 추가의 컴퓨터 프로그램 코드는 상기 제 1 전자 디바이스 (1) 의 상기 회로 (10) 를 제어하도록 구성되어, 상기 제 1 전자 디바이스 (1) 는 다른 전자 디바이스 (2) 로 제 2 데이터 메시지를 전송하는 단계를 수행하며, 상기 제 2 데이터 메시지는 제 2 암호화된 데이터 및 제 2 메타데이터를 포함하고, 상기 제 2 메타데이터는 제 2 키 공간 식별자를 포함하며, 상기 제 2 키 공간 식별자는 상기 제 2 암호화된 데이터를 생성하기 위해 사용되는 제 3 크립토그래픽 키를 포함하는 제 2 크립토그래픽 키 계층 (6b) 또는 상기 제 2 크립토그래픽 키 계층 (6b) 의 서브 세트 (61), 및 상기 제 2 크립토그래픽 키 계층 (6b) 의 상기 제 3 크립토그래픽 키의 위치 정보를 정의하여, 상기 제 2 전자 디바이스 (2) 가 상기 전자 디바이스 (1) 로부터 수신된 상기 제 2 키 공간 식별자를 사용하여 상기 제 2 전자 디바이스 (2) 에 저장된 상기 복수의 비밀 크립토그래픽 키들로부터 제 4 크립토그래픽 키를 선택하고, 상기 제 4 크립토그래픽 키 및 상기 제 2 데이터 메시지에서 상기 제 1 전자 디바이스 (1) 로부터 수신된 상기 위치 정보로부터 상기 일방향 함수 (F) 를 통해 상기 제 3 크립토그래픽 키를 도출하며, 상기 제 2 데이터 메시지에서 상기 제 1 전자 디바이스 (1) 로부터 수신된 상기 위치 정보를 사용하여 상기 제 2 크립토그래픽 키 (21) 로부터 상기 일방향 함수 (F) 를 통해 상기 제 1 크립토그래픽 키를 도출하고, 상기 제 1 크립토그래픽 키를 사용하여 상기 제 1 암호화된 데이터 (41) 를 해독함으로써 제 1 인가 데이터를 생성하고, 상기 제 3 크립토그래픽 키를 사용하여 상기 제 2 암호화된 데이터를 해독함으로써 제 2 인가 데이터를 생성하고, 상기 제 1 인가 데이터 및 상기 제 2 인가 데이터를 사용하여 상기 제 1 전자 디바이스 (1) 와 연관된 상기 인가를 검증하는 것을 가능하게 하는, 비일시적 컴퓨터 판독가능 매체. - 대칭 키 암호화를 사용하여 다른 전자 디바이스 (1) 와 연관된 인가를 검증하기 위한 전자 디바이스 (2) 로서, 상기 전자 디바이스 (2) 는 회로 (20) 를 포함하며, 상기 회로 (2) 는
상기 다른 전자 디바이스 (1) 로부터 제 1 데이터 메시지 (4) 를 수신하는 단계 (S4, S4*) 로서, 상기 제 1 데이터 메시지 (4) 는 제 1 암호화된 데이터 (41) 및 제 1 메타데이터 (42) 를 포함하고, 상기 제 1 메타데이터 (42) 는 제 1 키 공간 식별자를 포함하며, 상기 제 1 키 공간 식별자는 상기 제 1 암호화된 데이터 (41) 를 생성하기 위해 사용되는 제 1 크립토그래픽 키 (11) 를 포함하는 제 1 크립토그래픽 키 계층 (6a) 또는 상기 제 1 크립토그래픽 키 계층 (6a) 의 서브 세트 (61), 및 상기 제 1 크립토그래픽 키 계층 (6a) 의 상기 제 1 크립토그래픽 키 (11) 의 위치 정보를 정의하고, 이것에 의해 상기 제 1 크립토그래픽 키 계층 (6a) 에서, 상위 레벨 크립토그래픽 키보다 상기 제 1 크립토그래픽 키 계층 (6a) 에서 하위 레벨에 위치한 하위 레벨 크립토그래픽 키는 상기 제 1 크립토그래픽 키 계층 (6a) 에서의 상기 하위 레벨 크립토그래픽 키의 위치를 정의하는 위치 정보 및 상기 상위 레벨 크립토그래픽 키 모두로부터 일방향 함수 (F) 를 통해 도출되는, 상기 제 1 데이터 메시지 (4) 를 수신하는 단계 (S4, S4*);
상기 다른 전자 디바이스 (1) 로부터 수신된 상기 제 1 키 공간 식별자를 사용하여 상기 전자 디바이스 (2) 에 저장된 복수의 비밀 크립토그래픽 키들 (21) 로부터 제 2 크립토그래픽 키 (21) 를 선택하는 단계;
상기 제 2 크립토그래픽 키 (21) 및 상기 다른 전자 디바이스 (1) 로부터 수신된 상기 위치 정보로부터 상기 일방향 함수 (F) 에 의해 상기 제 1 크립토그래픽 키를 도출하는 단계 (S5); 및
상기 다른 전자 디바이스 (1) 와 연관된 상기 인가를 검증하기 위해, 상기 제 1 크립토그래픽 키를 사용하여 상기 제 1 암호화된 데이터 (41) 를 해독하는 단계 (S6) 를 수행하도록 구성된, 전자 디바이스 (2). - 제 13 항에 있어서,
상기 회로 (20) 는 또한 상기 다른 전자 디바이스 (1) 로부터 제 2 데이터 메시지를 수신하는 것으로서, 상기 제 2 데이터 메시지는 제 2 암호화된 데이터 및 제 2 메타데이터를 포함하고, 상기 제 2 메타데이터는 제 2 키 공간 식별자를 포함하며, 상기 제 2 키 공간 식별자는 상기 제 2 암호화된 데이터를 생성하기 위해 사용되는 제 3 크립토그래픽 키를 포함하는 제 2 크립토그래픽 키 계층 (6b) 또는 상기 제 2 크립토그래픽 키 계층 (6b) 의 서브 세트 (61), 및 상기 제 2 크립토그래픽 키 계층 (6b) 의 상기 제 3 크립토그래픽 키의 위치 정보를 정의하는, 상기 제 2 데이터 메시지를 수신하고;
상기 다른 전자 디바이스 (1) 로부터 수신된 상기 제 2 키 공간 식별자를 사용하여 상기 전자 디바이스 (2) 에 저장된 상기 복수의 비밀 크립토그래픽 키들로부터 제 4 크립토그래픽 키를 선택하고;
상기 제 4 크립토그래픽 키 및 상기 제 2 데이터 메시지에서 상기 다른 전자 디바이스 (1) 로부터 수신된 상기 위치 정보로부터 상기 일방향 함수 (F) 를 통해 상기 제 3 크립토그래픽 키를 도출하며;
상기 제 2 데이터 메시지에서 상기 다른 전자 디바이스 (1) 로부터 수신된 상기 위치 정보를 사용하여 상기 제 2 크립토그래픽 키 (21) 로부터 상기 일방향 함수 (F) 를 통해 상기 제 1 크립토그래픽 키를 도출하고;
상기 제 1 크립토그래픽 키를 사용하여 상기 제 1 암호화된 데이터 (41) 를 해독함으로써 제 1 인가 데이터를 생성하고; 상기 제 3 크립토그래픽 키를 사용하여 상기 제 2 암호화된 데이터를 해독함으로써 제 2 인가 데이터를 생성하고;
상기 제 1 인가 데이터 및 상기 제 2 인가 데이터를 사용하여 상기 다른 전자 디바이스 (1) 와 연관된 상기 인가를 검증하도록 구성되는, 전자 디바이스 (2). - 제 14 항에 있어서,
상기 제 1 암호화된 데이터 (41) 를 해독하는 것 (S6) 은 상기 제 1 암호화된 데이터 (41) 에서 암호화된 액세스 권한을 생성하고; 상기 제 2 암호화된 데이터를 해독하는 것은 상기 제 2 암호화된 데이터에서 암호화된 시간 의존적 데이터를 생성하고; 그리고 상기 회로 (20) 는 상기 액세스 권한 및 상기 시간 의존적 데이터를 사용하여 상기 다른 전자 디바이스 (1) 와 연관된 상기 인가를 검증하도록 구성되는, 전자 디바이스 (2). - 제 14 항 또는 제 15 항에 있어서,
상기 제 2 데이터 메시지에서 수신된 상기 위치 정보가 상기 제 1 데이터 메시지에서 수신된 상기 위치 정보와 다른 경우, 상기 제 1 암호화된 데이터 (41) 는 상기 제 2 데이터 메시지에서 수신된 상기 위치 정보로 도출된 상기 제 1 크립토그래픽 키를 사용하여 상기 회로 (20) 에 의해 성공적으로 해독될 수 없고, 상기 회로 (20) 는 상기 다른 전자 디바이스 (1) 와 연관된 상기 인가를 긍정적으로 검증하지 않는, 전자 디바이스 (2). - 대칭 키 암호화를 사용하여 제 1 전자 디바이스 (1) 와 연관된 인가를 검증하기 위해, 제 2 전자 디바이스 (2) 의 회로 (20) 를 제어하도록 구성된 컴퓨터 프로그램 코드가 저장된 비일시적 컴퓨터 판독가능 매체로서,
상기 제 2 전자 디바이스 (2) 는,
상기 제 1 전자 디바이스 (1) 로부터 제 1 데이터 메시지 (4) 를 수신하는 단계 (S4, S4*) 로서, 상기 제 1 데이터 메시지 (4) 는 제 1 암호화된 데이터 (41) 및 제 1 메타데이터 (42) 를 포함하고, 상기 제 1 메타데이터 (42) 는 제 1 키 공간 식별자를 포함하며, 상기 제 1 키 공간 식별자는 상기 제 1 암호화된 데이터 (41) 를 생성하기 위해 사용되는 제 1 크립토그래픽 키 (11) 를 포함하는 제 1 크립토그래픽 키 계층 (6a) 또는 상기 제 1 크립토그래픽 키 계층 (6a) 의 서브 세트 (61), 및 상기 제 1 크립토그래픽 키 계층 (6a) 의 상기 제 1 크립토그래픽 키 (11) 의 위치 정보를 정의하고, 이것에 의해 상기 제 1 크립토그래픽 키 계층 (6a) 에서, 상위 레벨 크립토그래픽 키보다 상기 제 1 크립토그래픽 키 계층 (6a) 에서 하위 레벨에 위치한 하위 레벨 크립토그래픽 키는 상기 제 1 크립토그래픽 키 계층 (6a) 에서의 상기 하위 레벨 크립토그래픽 키의 위치를 정의하는 위치 정보 및 상기 상위 레벨 크립토그래픽 키 모두로부터 일방향 함수 (F) 를 통해 도출되는, 상기 제 1 데이터 메시지 (4) 를 수신하는 단계 (S4, S4*);
상기 제 1 전자 디바이스 (1) 로부터 수신된 상기 제 1 키 공간 식별자를 사용하여 상기 제 2 전자 디바이스 (2) 에 저장된 복수의 비밀 크립토그래픽 키들 (21) 로부터 제 2 크립토그래픽 키 (21) 를 선택하는 단계;
상기 제 2 크립토그래픽 키 (21) 및 상기 제 1 전자 디바이스 (1) 로부터 수신된 상기 위치 정보로부터 상기 일방향 함수 (F) 에 의해 상기 제 1 크립토그래픽 키를 도출하는 단계 (S5); 및
상기 제 1 전자 디바이스 (1) 와 연관된 상기 인가를 검증하기 위해, 상기 제 1 크립토그래픽 키를 사용하여 상기 제 1 암호화된 데이터 (41) 를 해독하는 단계 (S6) 를 수행하는, 비일시적 컴퓨터 판독가능 매체. - 제 17 항에 있어서,
상기 비일시적 컴퓨터 판독가능 매체는 추가의 컴퓨터 프로그램 코드를 저장하며, 상기 추가의 컴퓨터 프로그램 코드는 상기 제 2 전자 디바이스 (2) 의 상기 회로 (20) 를 제어하도록 구성되어, 상기 제 2 전자 디바이스 (2) 는 상기 제 1 전자 디바이스 (1) 로부터 제 2 데이터 메시지를 수신하는 단계로서, 상기 제 2 데이터 메시지는 제 2 암호화된 데이터 및 제 2 메타데이터를 포함하고, 상기 제 2 메타데이터는 제 2 키 공간 식별자를 포함하며, 상기 제 2 키 공간 식별자는 상기 제 2 암호화된 데이터를 생성하기 위해 사용되는 제 3 크립토그래픽 키를 포함하는 제 2 크립토그래픽 키 계층 (6b) 또는 상기 제 2 크립토그래픽 키 계층 (6b) 의 서브 세트 (61), 및 상기 제 2 크립토그래픽 키 계층 (6b) 의 상기 제 3 크립토그래픽 키의 위치 정보를 정의하는, 상기 제 2 데이터 메시지를 수신하는 단계; 상기 제 1 전자 디바이스 (1) 로부터 수신된 상기 제 2 키 공간 식별자를 사용하여 상기 제 2 전자 디바이스 (2) 에 저장된 상기 복수의 비밀 크립토그래픽 키들로부터 제 4 크립토그래픽 키를 선택하는 단계; 상기 제 4 크립토그래픽 키 및 상기 제 2 데이터 메시지에서 상기 제 1 전자 디바이스 (1) 로부터 수신된 상기 위치 정보로부터 상기 일방향 함수 (F) 를 통해 상기 제 3 크립토그래픽 키를 도출하는 단계; 상기 제 2 데이터 메시지에서 상기 제 1 전자 디바이스 (1) 로부터 수신된 상기 위치 정보를 사용하여 상기 제 2 크립토그래픽 키 (21) 로부터 상기 일방향 함수 (F) 를 통해 상기 제 1 크립토그래픽 키를 도출하는 단계; 상기 제 1 크립토그래픽 키를 사용하여 상기 제 1 암호화된 데이터 (41) 를 해독함으로써 제 1 인가 데이터를 생성하는 단계; 상기 제 3 크립토그래픽 키를 사용하여 상기 제 2 암호화된 데이터를 해독함으로써 제 2 인가 데이터를 생성하는 단계; 상기 제 1 인가 데이터 및 상기 제 2 인가 데이터를 사용하여 상기 제 1 전자 디바이스 (1) 와 연관된 상기 인가를 검증하는 단계를 수행하는, 비일시적 컴퓨터 판독가능 매체.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CH9362017 | 2017-07-18 | ||
CH00936/17 | 2017-07-18 | ||
PCT/EP2018/069344 WO2019016181A1 (en) | 2017-07-18 | 2018-07-17 | METHOD AND DEVICES USED TO VERIFY AUTHORIZATION OF AN ELECTRONIC DEVICE |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20200027526A KR20200027526A (ko) | 2020-03-12 |
KR102651659B1 true KR102651659B1 (ko) | 2024-03-26 |
Family
ID=59506023
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020207003119A KR102614209B1 (ko) | 2017-07-18 | 2018-07-17 | 디바이스들 사이에 안전하게 통신하기 위한 방법 및 디바이스 |
KR1020207003118A KR102651659B1 (ko) | 2017-07-18 | 2018-07-17 | 전자 디바이스의 인가를 검증하기 위한 방법 및 디바이스 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020207003119A KR102614209B1 (ko) | 2017-07-18 | 2018-07-17 | 디바이스들 사이에 안전하게 통신하기 위한 방법 및 디바이스 |
Country Status (6)
Country | Link |
---|---|
US (2) | US11184161B2 (ko) |
EP (2) | EP3656080A1 (ko) |
KR (2) | KR102614209B1 (ko) |
CN (2) | CN111133720B (ko) |
CA (2) | CA3067504A1 (ko) |
WO (2) | WO2019016181A1 (ko) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105515768B (zh) * | 2016-01-08 | 2017-07-21 | 腾讯科技(深圳)有限公司 | 一种更新密钥的方法、装置和系统 |
DE102017115298A1 (de) * | 2017-07-07 | 2019-01-10 | Huf Hülsbeck & Fürst Gmbh & Co. Kg | Verfahren zur Delegation von Zugriffsrechten |
EP3824609A1 (en) * | 2018-07-17 | 2021-05-26 | Telefonaktiebolaget LM Ericsson (publ) | Multi-x key chaining for generic bootstrapping architecture (gba) |
IT201900009165A1 (it) * | 2019-06-17 | 2020-12-17 | St Microelectronics Srl | Dispositivo elettronico e corrispondente procedimento di funzionamento |
US11405188B2 (en) | 2019-09-30 | 2022-08-02 | Coinfirm Limited | Method for secure transferring of information through a network between an origin virtual asset service provider and a destination virtual asset service provider |
US12052268B2 (en) * | 2019-12-30 | 2024-07-30 | Itron, Inc. | Man-in-the-middle extender defense in data communications |
US11277262B2 (en) * | 2020-07-01 | 2022-03-15 | International Business Machines Corporation | System generated data set encryption key |
CN112486500B (zh) * | 2020-11-03 | 2022-10-21 | 杭州云嘉云计算有限公司 | 一种系统授权部署方法 |
US11882441B2 (en) * | 2021-06-21 | 2024-01-23 | T-Mobile Innovations Llc | Quantum authentication for wireless user equipment (UE) |
CN113347211B (zh) * | 2021-08-04 | 2021-11-23 | 北京微芯感知科技有限公司 | 身份分层加密方法、装置、系统、计算机设备及存储介质 |
US11863672B1 (en) * | 2023-04-18 | 2024-01-02 | Intuit Inc. | Systems and methods for refreshing encryption and decryption keys and signatures for a realtime pipepiline |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10044503B1 (en) | 2012-03-27 | 2018-08-07 | Amazon Technologies, Inc. | Multiple authority key derivation |
US10366631B2 (en) | 2013-10-08 | 2019-07-30 | Nec Corporation | System, method, apparatus, and control methods for ciphertext comparison |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6735313B1 (en) * | 1999-05-07 | 2004-05-11 | Lucent Technologies Inc. | Cryptographic method and apparatus for restricting access to transmitted programming content using hash functions and program identifiers |
US7039803B2 (en) * | 2001-01-26 | 2006-05-02 | International Business Machines Corporation | Method for broadcast encryption and key revocation of stateless receivers |
US7043024B1 (en) * | 2001-04-18 | 2006-05-09 | Mcafee, Inc. | System and method for key distribution in a hierarchical tree |
US8832466B1 (en) * | 2006-01-27 | 2014-09-09 | Trustwave Holdings, Inc. | Methods for augmentation and interpretation of data objects |
JP4179563B2 (ja) * | 2006-09-21 | 2008-11-12 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 暗号通信の暗号鍵を管理する技術 |
JP5349261B2 (ja) | 2009-04-23 | 2013-11-20 | 三菱電機株式会社 | 暗号処理システム、鍵生成装置、鍵委譲装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム |
EP2507708B1 (en) * | 2009-12-04 | 2019-03-27 | Cryptography Research, Inc. | Verifiable, leak-resistant encryption and decryption |
CN103329478B (zh) | 2011-01-18 | 2015-11-25 | 三菱电机株式会社 | 密码系统以及密码系统的密码处理方法 |
US8739308B1 (en) * | 2012-03-27 | 2014-05-27 | Amazon Technologies, Inc. | Source identification for unauthorized copies of content |
US9768957B2 (en) * | 2014-04-23 | 2017-09-19 | Cryptography Research, Inc. | Generation and management of multiple base keys based on a device generated key |
US9258117B1 (en) * | 2014-06-26 | 2016-02-09 | Amazon Technologies, Inc. | Mutual authentication with symmetric secrets and signatures |
KR20180116278A (ko) * | 2016-02-23 | 2018-10-24 | 엔체인 홀딩스 리미티드 | 안전한 정보 교환과 계층 구조적이고 결정론적인 암호키를 위한 공통 비밀 결정 |
-
2018
- 2018-07-17 CA CA3067504A patent/CA3067504A1/en not_active Abandoned
- 2018-07-17 EP EP18738352.6A patent/EP3656080A1/en active Pending
- 2018-07-17 KR KR1020207003119A patent/KR102614209B1/ko active IP Right Grant
- 2018-07-17 CA CA3068145A patent/CA3068145A1/en not_active Abandoned
- 2018-07-17 WO PCT/EP2018/069344 patent/WO2019016181A1/en unknown
- 2018-07-17 CN CN201880046819.8A patent/CN111133720B/zh active Active
- 2018-07-17 EP EP18738354.2A patent/EP3656081A1/en active Pending
- 2018-07-17 KR KR1020207003118A patent/KR102651659B1/ko active IP Right Grant
- 2018-07-17 US US16/631,509 patent/US11184161B2/en active Active
- 2018-07-17 US US16/631,534 patent/US11290262B2/en active Active
- 2018-07-17 CN CN201880046822.XA patent/CN110870252B/zh active Active
- 2018-07-17 WO PCT/EP2018/069349 patent/WO2019016185A1/en unknown
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10044503B1 (en) | 2012-03-27 | 2018-08-07 | Amazon Technologies, Inc. | Multiple authority key derivation |
US10366631B2 (en) | 2013-10-08 | 2019-07-30 | Nec Corporation | System, method, apparatus, and control methods for ciphertext comparison |
Also Published As
Publication number | Publication date |
---|---|
US11184161B2 (en) | 2021-11-23 |
EP3656080A1 (en) | 2020-05-27 |
US20200177375A1 (en) | 2020-06-04 |
US11290262B2 (en) | 2022-03-29 |
WO2019016181A1 (en) | 2019-01-24 |
CA3068145A1 (en) | 2019-01-24 |
KR102614209B1 (ko) | 2023-12-14 |
CA3067504A1 (en) | 2019-01-24 |
KR20200027527A (ko) | 2020-03-12 |
KR20200027526A (ko) | 2020-03-12 |
WO2019016185A1 (en) | 2019-01-24 |
CN110870252A (zh) | 2020-03-06 |
US20200204360A1 (en) | 2020-06-25 |
CN111133720A (zh) | 2020-05-08 |
CN110870252B (zh) | 2022-10-11 |
EP3656081A1 (en) | 2020-05-27 |
CN111133720B (zh) | 2023-03-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102651659B1 (ko) | 전자 디바이스의 인가를 검증하기 위한 방법 및 디바이스 | |
TWI738835B (zh) | 資料安全保障系統及方法、裝置 | |
CN108494740B (zh) | 令牌生成和校验方法、智能终端及服务器 | |
US9286481B2 (en) | System and method for secure and distributed physical access control using smart cards | |
US10904256B2 (en) | External accessibility for computing devices | |
KR20180119201A (ko) | 인증 시스템을 위한 전자 장치 | |
US11128455B2 (en) | Data encryption method and system using device authentication key | |
CN105306194A (zh) | 供加密档案和/或通讯协定的多重加密方法与系统 | |
CN104868998A (zh) | 一种向电子设备供应加密数据的系统、设备和方法 | |
Sethia et al. | CP-ABE for selective access with scalable revocation: A case study for mobile-based healthfolder. | |
CN111008408A (zh) | 提供安全信息的设备和方法 | |
KR20200123029A (ko) | Pki 기반의 일회성 아이디를 사용하여 서비스를 사용하는 방법, 및 이를 사용한 사용자 단말 | |
US10230532B2 (en) | Entity authentication in network | |
CN110545184B (zh) | 通讯系统及操作通讯系统的方法 | |
CN114430321B (zh) | 基于dfa自适应安全的黑盒可追踪密钥属性加密方法及装置 | |
US11973872B2 (en) | Data security solution using randomized 3-axis data shapes and tokenized data element placement of encrypted and non-encrypted data | |
WO2020083630A1 (en) | Constrained operation of a field device | |
CN114936380A (zh) | 基于变色龙哈希的区块链隐私数据共享方法及系统 | |
CN114036232A (zh) | 区块链数据处理方法、装置、存储介质、节点及系统 | |
EP4369210A2 (en) | Assuring external accessibility for devices on a network | |
Alhalabi et al. | Universal physical access control system | |
KR20170132464A (ko) | 암복호화 장치 및 이를 이용한 암복호화 방법 | |
CN118445855A (zh) | 基于区块链的隐私数据处理方法、装置、设备及介质 | |
CN115688124A (zh) | 一种传输交集数据的方法、装置及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E902 | Notification of reason for refusal | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |