KR20120047972A - 암호화 정보를 교섭하기 위한 방법, 장치 및 네트워크 시스템 - Google Patents

암호화 정보를 교섭하기 위한 방법, 장치 및 네트워크 시스템 Download PDF

Info

Publication number
KR20120047972A
KR20120047972A KR1020127004853A KR20127004853A KR20120047972A KR 20120047972 A KR20120047972 A KR 20120047972A KR 1020127004853 A KR1020127004853 A KR 1020127004853A KR 20127004853 A KR20127004853 A KR 20127004853A KR 20120047972 A KR20120047972 A KR 20120047972A
Authority
KR
South Korea
Prior art keywords
information
encryption
performance
certificate
data stream
Prior art date
Application number
KR1020127004853A
Other languages
English (en)
Inventor
핑 팡
황웨이 우
친리앙 장
유 주
Original Assignee
후아웨이 디바이스 컴퍼니 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 후아웨이 디바이스 컴퍼니 리미티드 filed Critical 후아웨이 디바이스 컴퍼니 리미티드
Publication of KR20120047972A publication Critical patent/KR20120047972A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/12Transmitting and receiving encryption devices synchronised or initially set up in a particular manner

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

암호화 정보를 교섭하기 위한 방법 및 장치, 및 시스템이 제공된다. 암호화 정보를 교섭하기 위한 방법은, 제1 장치의 암호화 성능에 관한 정보 및 제2 장치의 암호화 성능에 관한 정보를 획득하는 단계; 상기 제1 장치의 암호화 성능에 관한 정보 및 상기 제2 장치의 암호화 성능에 관한 정보에 따라, 상기 제1 장치 및 상기 제2 장치에 적용 가능한 암호화 정보를 결정하는 단계; 및 상기 제1 장치 및 상기 제2 장치에 상기 암호화 정보를 송신하는 단계를 포함하며, 상기 암호화 정보는 상기 제1 장치와 제2 장치 간의 데이터 스트림을 암호화 및/또는 암호해독하기 위한 근거(basis)의 역할을 한다. 본 발명의 기술적 솔루션에 의해, 전화 클라이언트(TC)와 전화 서버(TS) 간에 전송되는 데이터 스트림의 보안을 확실하게 한다.

Description

암호화 정보를 교섭하기 위한 방법, 장치 및 네트워크 시스템{METHOD, DEVICE AND NETWORK SYSTEM FOR NEGOTIATING ENCRYPTION INFORMATION}
본 출원은 2009년 8월 21일에 중국특허청에 출원되고 발명의 명칭이 "METHOD AND DEVICE FOR NEGOTIATING ECCRYPTION INFORMATION, AND NETWORK SYSTEM"인 중국특허출원 No. 200910167221.7에 대한 우선권을 주장하는 바이며, 상기 문헌의 내용은 원용에 의해 본 명세서에 포함된다.
본 발명은 통신 기술 분야에 관한 것이며, 특히 암호화 정보를 교섭하기 위한 방법 및 장치, 및 네트워크 시스템에 관한 것이다.
통신 기술이 발달함에 따라, 사용자는 전화가 가능한 장치(telephone-enabled device)를 통해 전화 서비스를 이용하는 것뿐만 아니라, 홈 네트워크 내에서 전화 서비스를 공유하는 것을 기대하고 있다. 범용 플러그 앤 플레이(Universial Plug and Play: UPnP) 기술 표준에서는, 3개의 기능 엔티티: 전화 서버(Telephony Server: TS), 전화 클라이언트(Telephony Client: TC), 및 전화 제어점(Telephony Control Point: TCP)이 규정되어 있다. TS는 홈 네트워크 내의 다른 장치들에 전화 서비스를 제공한다. TC는 홈 네트워크 내의 TS로부터 데이터 스트림을 수신하고 사용자에게 데이터 스트림 정보를 제공하며; 및/또는 TS에 데이터 스트림을 제공한다. TCP는 홈 네트워크 내에서 TC와 TS 간에 공유하는 전화 서비스를 실행하는 제어를 수행한다. TC와 TS와 TCP 간의 접속관계가 도 1에 도시되어 있다. TC와 TS 간의 데이터 스트림은 아웃밴드 메커니즘(outband mechanism)을 통해 전송되고, TC와 TS 간에 전송되는 데이터 스트림은 미디어 스트림 및/또는 단문 메시지를 포함한다.
종래기술에서는, TC와 TS 간의 데이터 스트림을 불법 장치가 가로채거나 변형하는 것에 취약하고, 보안이 보장되어 있지 않다.
본 발명의 실시예는, 전화 클라이언트(TC)와 전화 서버(TS) 간에 전송되는 데이터 스트림의 보안을 확실하게 하기 위해, 암호화 정보를 교섭하기 위한 방법 및 장치, 및 시스템을 제공한다.
이러한 목적은 이하의 기술적 솔루션을 통해 달성된다.
암호화 정보를 교섭하기 위한 방법에 있어서,
제1 장치의 암호화 성능에 관한 정보 및 제2 장치의 암호화 성능에 관한 정보를 획득하는 단계;
상기 제1 장치의 암호화 성능에 관한 정보 및 상기 제2 장치의 암호화 성능에 관한 정보에 따라, 상기 제1 장치 및 상기 제2 장치에 적용 가능한 암호화 정보를 결정하는 단계; 및
상기 제1 장치 및 상기 제2 장치에 상기 암호화 정보를 송신하는 단계
를 포함하며,
상기 암호화 정보는 상기 제1 장치와 제2 장치 간의 데이터 스트림을 암호화 및/또는 암호해독하기 위한 근거(basis)로서 기능한다.
암호화 정보를 교섭하기 위한 방법은,
제2 장치가, 제어점으로부터 제1 장치의 증명서 정보를 수신하는 단계;
상기 제2 장치가, 상기 제1 장치의 증명서 정보에 따라 상기 제1 장치를 인증하는 단계; 및
상기 제2 장치가, 상기 제1 장치를 성공적으로 인증한 후 상기 제1 장치와 암호화 정보를 교섭하는 단계
를 포함하며,
상기 암호화 정보는 상기 제1 장치와 제2 장치 간의 데이터 스트림을 암호화 및/또는 암호해독하기 위한 근거로서 기능한다.
암호화 정보를 교섭하기 위한 장치는,
제1 장치의 암호화 성능에 관한 정보 및 제2 장치의 암호화 성능에 관한 정보를 획득하도록 구성되어 있는 획득 유닛;
상기 제1 장치의 암호화 성능에 관한 정보 및 상기 제2 장치의 암호화 성능에 관한 정보에 따라, 상기 제1 장치 및 상기 제2 장치에 적용 가능한 암호화 정보를 결정하도록 구성되어 있는 결정 유닛; 및
상기 결정된 암호화 정보를 상기 제1 장치 및 상기 제2 장치에 각각 송신하도록 구성되어 있는 송신 유닛
을 포함하며,
상기 암호화 정보는 제1 장치와 제2 장치 간의 데이터 스트림을 암호화 및/또는 암호해독하기 위한 근거로서 기능한다.
암호화 정보를 교섭하기 위한 장치는,
제어점으로부터 제1 장치의 증명서 정보(certificate information)를 수신하도록 구성되어 있는 수신 유닛;
상기 제1 장치의 증명서 정보에 따라 상기 제1 장치를 인증하도록 구성되어 있는 인증 유닛; 및
상기 제1 장치를 성공적으로 인증한 후 상기 제1 장치와 암호화 정보를 교섭하도록 구성되어 있는 교섭 유닛
을 포함하며,
상기 암호화 정보는 제1 장치와 제2 장치 간의 데이터 스트림을 암호화 및/또는 암호해독하기 위한 근거로서 기능한다.
네트워크 시스템은,
암호화 성능에 관한 제1 정보 및 암호화 성능에 관한 제2 정보를 수신하고, 상기 암호화 성능에 관한 제1 정보 및 상기 암호화 성능에 관한 제2 정보에 따라 제1 장치 및 제2 장치에 적용 가능한 암호화 정보를 결정하며, 상기 암호화 정보를 송신하도록 구성되어 있는 제어점;
상기 암호화 성능에 관한 제1 정보를 상기 제어점에 송신하고, 상기 제어점에 의해 송신된 암호화 정보를 수신하도록 구성되어 있는 제1 장치로서, 상기 암호화 성능에 관한 제1 정보는 제1 장치의 암호화 성능을 나타내는, 상기 제1 장치; 및
상기 암호화 성능에 관한 제2 정보를 상기 제어점에 송신하고, 상기 제어점에 의해 송신된 암호화 정보를 수신하도록 구성되어 있는 제2 장치로서, 상기 암호화 성능에 관한 제2 정보는 제2 장치의 암호화 성능을 나타내는, 상기 제2 장치
를 포함하며,
상기 암호화 정보는 제1 장치와 제2 장치 간의 데이터 스트림을 암호화 및/또는 암호해독하기 위한 근거로서 기능한다.
네트워크 시스템은,
제1 증명서 정보를 획득하고 송신하도록 구성되어있는 제어점;
상기 제어점에 의해 송신된 상기 제1 증명서 정보를 수신하고, 상기 제1 증명서 정보에 대응하는 장치를 인증하며, 상기 제1 증명서 정보에 대응하는 장치를 성공적으로 인증한 후 상기 제1 증명서 정보에 대응하는 장치와 암호화 정보를 교섭하도록 구성되어 있는 제2 장치; 및
상기 제1 증명서 정보에 대응하며, 상기 제2 장치와 암호화 정보를 교섭하도록 구성되어 있는 제1 장치
를 포함하며,
상기 암호화 정보는 제1 장치와 제2 장치 간의 데이터 스트림을 암호화 및/또는 암호해독하기 위한 근거로서 기능한다.
본 발명의 실시예에서, 제1 장치 및 제2 장치에 적용 가능한 암호화 정보는 제1 장치 및 제2 장치의 암호화 성능에 관한 정보에 따라 결정되고, 제1 장치 및 제2 장치에 각각 송신되며, 그러므로 제1 장치 및 제2 장치는 이 암호화 정보를 사용하여 제1 장치와 제2 장치 간에 전송되는 데이터 스트림을 암호화 및/또는 암호해독할 수 있으며, 이에 따라 아웃밴드 모드에서 제1 장치와 제2 장치 간에 전송되는 데이터 스트림의 보안을 확실하게 한다.
본 발명의 다른 실시예에서, 제2 장치는 제어점을 통해 제1 장치의 증명서 정보를 획득하고, 제1 장치를 성공적으로 인증한 후 제1 장치와 암호화 정보를 교섭하며, 그러므로 제1 장치 및 제2 장치는 암호화 정보를 사용하여 제1 장치와 제2 장치 간에 전송되는 데이터 스트림을 암호화 및/또는 암호해독할 수 있으며, 이에 의해 아웃밴드 모드에서 제1 장치와 제2 장치 간에 전송되는 데이터 스트림의 보안이 확실하게 된다.
본 발명 하의 기술적 솔루션을 더 명료하게 설명하기 위해, 본 발명의 실시예에 포함된 첨부의 도면을 이하에 간단히 설명한다. 분명하게, 이하에 설명되는 첨부된 도면은 완전한 것이 아니며, 당업자는 창조적 노력 없이도 이러한 첨부된 도면으로부터 다른 도면을 도출할 수 있다.
도 1은 종래기술에서의 홈 네트워크의 구조도이다.
도 2는 본 발명의 실시예 1에 따라 암호화 정보를 교섭하기 위한 방법에 대한 흐름도이다.
도 3은 본 발명의 실시예 2에 따라 암호화 정보를 교섭하기 위한 방법에 대한 흐름도이다.
도 4는 본 발명의 실시예 3에 따라 암호화 정보를 교섭하기 위한 방법에 대한 흐름도이다.
도 5는 본 발명의 실시예 4에 따라 암호화 정보를 교섭하기 위한 방법에 대한 흐름도이다.
도 6은 본 발명의 실시예 5에 따라 암호화 정보를 교섭하기 위한 방법에 대한 흐름도이다.
도 7은 본 발명의 실시예 6에 따라 암호화 정보를 교섭하기 위한 방법에 대한 흐름도이다.
도 8은 본 발명의 실시예 7에 따라 암호화 정보를 교섭하기 위한 방법에 대한 흐름도이다.
도 9는 본 발명의 실시예 8에 따라 암호화 정보를 교섭하기 위한 장치에 대한 구조도이다.
도 10은 본 발명의 실시예 9에 따라 암호화 정보를 교섭하기 위한 장치에 대한 구조도이다.
실시예 1
도 2에 도시된 바와 같이, 본 발명의 실시예에서 암호화 정보를 교섭하기 위한 방법은 이하의 단계를 포함한다:
201: 제1 장치의 암호화 성능에 관한 정보 및 제2 장치의 암호화 성능에 관한 정보를 획득한다.
이 단계에 뒤이은 단계 202 및 단계 203은 제어점에 의해 수행된다.
제어점이 TCP이면, 제1 장치는 TC이고 제2 장치는 TS이거나; 또는 제1 장치는 TS이고 제2 장치는 TC이다.
이 단계에서 TCP는 TC 및 TS에 의해 권한이 부여된 제어점이고, TC 및 TS에 액세스할 수 있는 자격이 주어진다. 그러므로 이 단계 전에, TCP는 TS 및 TC에 의해 권한을 부여받아야 한다. TC가 자신에게 액세스할 수 있는 권한을 TCP에 부여할 때, TC는 자신의 액세스 제어 리스트(Access Control List: ACL)에 TCP의 식별자(ID)를 저장하고, TCP의 ID는 TCP의 증명서(certificate)에 대한 해시 값(hash value)일 수 있다. 마찬가지로, TS가 자신에게 액세스할 수 있는 권한을 TCP에 부여할 때, TS는 자신의 ACL에 TCP의 ID를 저장하고, TCP의 ID는 TCP의 증명서에 대한 해시 값일 수 있다. 이어서, TS 및 TC는 TCP의 증명서 및 각각 저장된 ACL에 기초하여 그 권한을 부여받은 TCP에 액세스할 수 있다. 이 단계에서, TC 및 TS에 의해 권한이 부여된 TCP는 TC에 액세스하여 TC의 암호화 성능에 관한 정보를 획득하고, TS에 액세스하여 TS의 암호화 성능에 관한 정보를 획득한다.
제어점이 입력 제어점(Input Control Point: ICP)이면, 제1 장치가 입력 클라이언트(IC)이고 제2 장치가 입력 서버(IS)이거나, 또는 제1 장치가 IS이고 제2 장치가 IC이다.
이 단계에서 ICP는 TC 및 TS에 의해 권한이 부여된 제어점이고, IC 및 IS에 액세스할 수 있는 자격이 주어진다. 그러므로 이 단계 전에, ICP는 IS 및 IC에 의해 권한이 부여되어야 한다. IC가 자신에게 액세스할 수 있는 권한을 ICP에 부여할 때, IC는 자신의 ACL에 ICP의 ID를 저장하고, ICP의 ID는 ICP의 증명서에 대한 해시 값(hash value)일 수 있다. 마찬가지로, IS가 자신에게 액세스할 수 있는 권한을 ICP에 부여할 때, IS는 자신의 ACL에 ICP의 ID를 저장하고, ICP의 ID는 ICP의 증명서에 대한 해시 값일 수 있다. 이어서, IS 및 IC는 ICP의 증명서 및 각각 저장된 ACL에 기초하여 그 권한을 부여받은 ICP에 액세스할 수 있다. 이 단계에서, IC 및 IS에 의해 권한이 부여된 ICP는 IC에 액세스하여 IC의 암호화 성능에 관한 정보를 획득하고, IS에 액세스하여 IS의 암호화 성능에 관한 정보를 획득한다.
이 단계에서, 제1 장치의 암호화 성능에 관한 정보는 트랜스포트 프로토콜, 암호화 프로토콜, 암호화 알고리즘, 및 최대 패스워드 길이를 포함할 수 있고, 이것들은 제1 장치에 의해 지원되며, 제2 장치의 암호화 성능에 관한 정보는 트랜스포트 프로토콜, 암호화 프로토콜, 암호화 알고리즘, 및 최대 패스워드 길이를 포함할 수 있고, 이것들은 제2 장치에 의해 지원된다.
202: 제1 장치의 암호화 성능에 관한 정보 및 제2 장치의 암호화 성능에 관한 정보에 따라 제1 장치 및 제2 장치에 적용 가능한 암호화 정보를 결정한다. 암호화 정보는 암호화 알고리즘(예를 들어, 고급 암호화 표준(Advanced Encryption Standard: AES) 또는 데이터 암호화 표준(Data Encryption Standard: DES)) 및 키를 포함하거나; 또는 암호화 알고리즘은 보안 소켓 계층(Secure Socket Layer: SSL) 프로토콜과 같은 암호화 프로토콜을 포함한다.
암호화 정보에 암호화 프로토콜이 포함되어 있으면, 제1 장치 및 제2 장치는 이어서 그 암호화 프로토콜에 따라 암호화 알고리즘 및 키를 교섭하고, 통신 데이터 스트림의 암호화된 전송을 실행하여 제1 장치와 제2 장치 간의 통신 보안을 확실하게 한다. 예를 들어, SSL 프로토콜을 적용하는 경우, 제1 장치 및 제2 장치는 키 교환 알고리즘, 데이터 암호화 알고리즘 및 다이제스트 알고리즘(digest algorithm)을 교섭하고, 그 교섭된 키 교환 알고리즘을 사용하여 제1 장치 및 제2 장치에만 알려진 키를 생성한다.
203: 결정된 암호화 정보를 제1 장치 및 제2 장치에 각각 송신하고, 상기 암호화 정보는 제1 장치와 제2 장치 간의 데이터 스트림을 암호화 및/또는 암호해독하기 위한 근거로서 기능한다.
제어점과 제1 장치/제2 장치 간의 정보를 불법 장치가 가로채는 것을 방지하기 위해, 단계 201 전에, 제1 장치 및 제2 장치에 의해 권한이 부여된 바에 따라, 제어점은, 예를 들어 SSL 프로토콜 또는 트랜스포트 계층 보안(Transport Layer Secure: TLS) 프로토콜을 통해, 제1 장치 및 제2 장치로의 보안 전송 채널을 각각 설정한다. 제어점은 제1 장치로의 보안 전송 채널을 통해 제1 장치의 암호화 성능에 관한 정보를 획득하고, 제2 장치로의 보안 전송 채널을 통해 제2 장치의 암호화 성능에 관한 정보를 획득하며, 제1 장치로의 보안 전송 채널을 통해 제1 장치에 암호화 정보를 송신하고, 제2 장치로의 보안 전송 채널을 통해 제2 장치에 암호화 정보를 송신한다.
실시예 1에서, 암호화 정보는 제1 장치 및 제2 장치의 암호화 성능에 관한 정보에 따라 결정되고, 제1 장치 및 제2 장치에 각각 송신되며, 그러므로 제1 장치 및 제2 장치는 이 암호화 정보를 사용하여 제1 장치와 제2 장치 간에 전송된 데이터 스트림을 암호화 및/또는 암호해독할 수 있으며, 이에 따라 아웃밴드 모드에서 제1 장치와 제2 장치 간에 전송되는 데이터 스트림의 보안을 확실하게 한다.
실시예 2
도 3에 도시된 바와 같이, 암호화 정보를 교섭하기 위한 방법이 본 실시예에 제공된다. 이 방법에서, TC 및 TS 모두에 의해 신임된 TCP는 TC 및 TS 모두에 의해 지원되는 암호화 알고리즘을 선택하고 키를 생성하며, 이러한 암호화 알고리즘 및 키를 TC 및 TS에 통지한다. 방법은 이하의 단계를 포함한다.
301: TCP는 TC로부터 TC의 미디어 성능에 관한 정보를 획득한다. 미디어 성능에 관한 정보는 TC에 의해 지원되는 트랜스포트 프로토콜에 관한 정보 및 TC의 암호화 성능에 관한 정보를 포함한다. 암호화 성능에 관한 정보는 암호화 알고리즘에 관한 정보 및 TC에 의해 지원되는 키 길이에 관한 정보를 포함한다. 키 길이에 관한 정보는 TC에 의해 지원되는 최대 키 길이일 수 있다.
이 단계에서, TCP는 GetMediaSessionCapability() 커맨드를 통해 TC의 미디어 성능에 관한 정보를 획득할 수 있다.
302: TCP는 TS로부터 TS의 미디어 성능에 관한 정보를 획득한다. 미디어 성능에 관한 정보는 TS에 의해 지원되는 트랜스포트 프로토콜에 관한 정보 및 TS의 암호화 성능에 관한 정보를 포함한다. 암호화 성능에 관한 정보는 암호화 알고리즘에 관한 정보 및 TS에 의해 지원되는 키 길이에 관한 정보를 포함한다. 키 길이에 관한 정보는 TS에 의해 지원되는 최대 키 길이일 수 있다.
이 단계에서, TCP는 GetMediaSessionCapability() 커맨드를 통해 TS의 미디어 성능에 관한 정보를 획득할 수 있다.
303: TCP는 TC의 미디어 성능에 관한 정보 및 TS의 미디어 성능에 관한 정보에 따라 TC와 TS 간의 세션을 수행하는 데 필요한 세션 파라미터를 결정한다. 세션 파라미터는 TC 및 TS 모두에 적용 가능한 트랜스포트 프로토콜, 암호화 알고리즘, 및 키를 포함한다.
이 단계에서, TCP가, TC 및 TS에 적용 가능한 암호화 알고리즘을 결정하는 단계는, TCP가, TC 및 TS에 의해 지원되는 암호화 알고리즘을 선택하는 단계를 의미한다. 이 단계에서, TCP는 TC의 암호화 성능에 관한 정보 및 TS의 암호화 성능에 관한 정보에 따라 키를 생성한다. 구체적으로, TCP는 TC에 의해 지원되는 최대 키 길이 및 TS에 의해 지원되는 최대 키 길이에 따라 키를 생성하며, 이에 따라 그 생성된 키는 TC 및 TS의 키 길이 요건에 확실하게 부합한다.
304: TCP는 세션 파라미터에 따라 TC와 TS 간에 데이터 채널을 설정하는 인디케이션으로서 상기 세션 파라미터를 TC에 송신하며, 그에 따라 TC는 응답 메시지를 TCP에 송신한다.
이 단계에서, TCP는 세션 파라미터를 TC에 송신하고, 이에 따라 TC는 이 세션 파라미터에 따라 TS로의 데이터 채널을 설정하고, 그런 다음 이 세션 파라미터에 표시된 암호화 알고리즘 및 키를 사용하여, TC와 TS 간에 전송되는 데이터 스트림을 암호화 및/또는 암호해독한다.
이 단계에서, TCP는 SetMediaSession(MediaCapability, ...) 커맨드를 사용하여 세션 파라미터를 TC에 송신할 수 있다.
SetMediaSession(MediaCapability, ...) 커맨드에서의 "MediaCapability"는 세션 파라미터를 의미한다.
305: TCP는 세션 파라미터를 TS에 송신하고, 이에 따라 TS는 이 세션 파라미터에 따라 TC로의 데이터 채널을 설정하고, 그런 다음 이 세션 파라미터에 표시된 암호화 알고리즘 및 키를 사용하여, TC와 TS 간에 전송되는 데이터 스트림을 암호화 및/또는 암호해독한다.
이 단계에서, TCP는 SetMediaSession(MediaCapability, ...) 커맨드를 사용하여 세션 파라미터를 TS에 송신할 수 있다.
306: TCP는 데이터 스트림의 전송을 시작하는 인디케이션으로서 통지 메시지를 TS에 송신한다.
이 단계에서, TCP는 아웃밴드 모드에서 데이터 스트림의 전송을 시작하는 인디케이션으로서 StartMediaSession() 커맨드를 TS에 송신한다.
307: TS는 암호화 알고리즘 및 키에 따라, 송신될 데이터 스트림을 암호화한 다음, 이 데이터 스트림을 송신하고, TC는 암호화 알고리즘 및 키에 따라, TS로부터 수신된 데이터 알고리즘을 암호해독하거나; 또는 TC는 암호화 알고리즘 및 키에 따라, 송신될 데이터 스트림을 암호화한 다음, 이 데이터 스트림을 송신하고, TS는 암호화 알고리즘 및 키에 따라, TC로부터 수신된 데이터 알고리즘을 암호해독한다.
308: 세션이 종료되려 할 때, TCP는 세션을 종료하는 인디케이션으로서 통지 메시지를 TC에 송신한다.
이 단계에서, TCP는 StopMediaSession() 커맨드를 TC에 송신하여 세션을 종료한다.
309: 세션이 종료되려 할 때, TCP는 세션을 종료하는 인디케이션으로서 통지 메시지를 TS에 송신한다.
이 단계에서, TCP는 StopMediaSession() 커맨드를 TS에 송신하여 세션을 종료한다.
단계 301 내지 단계 309에서의 메시지는 보안 전송 채널을 통해 전송되며, 이에 의해 불법 장치가 메시지 내용을 가로채는 것이 방지된다는 것에 주목해야 한다. 그러므로 불법 장치는 키를 알 수 없다.
실시예 2에서, TC 및 TS에 의해 신임된 TCP는 TC 및 TS의 암호화 성능에 관한 정보를 획득하고, TC 및 TS 모두에 의해 지원되는 암호화 알고리즘을 선택하며, 키를 생성한다. TCP는 암호화 알고리즘 및 키를 TC 및 TS에 각각 송신한다. 이에 의해, 데이터 스트림의 송신자(TC 또는 TS)는 이러한 암호화 알고리즘 및 키를 사용하여, 송신될 데이터 스트림을 암호화하고, 데이터 스트림의 수신자(TC 또는 TS)는 이러한 암호화 알고리즘 및 키를 사용하여, 그 수신된 데이터 스트림을 암호해독하며, 이에 의해 아웃밴드 모드에서 TC와 TS 간에 전송되는 데이터 스트림의 보안을 확실하게 한다.
실시예 3
도 4에 도시된 바와 같이, 암호화 정보를 교섭하기 위한 방법이 본 실시예에 제공된다. 본 실시예는, TC 및 TS의 암호화 성능에 관한 정보를 획득하기 위해 GetencryptCapability() 커맨드를 사용하고, 암호화 알고리즘 및 키를 TC 및 TS에 송신하기 위해 Setencrypt() 커맨드를 사용한다는 점에서, 실시예 2와 차이가 있다. 이 방법은 이하의 단계를 포함한다.
401: TCP는 TC로부터 TC의 미디어 성능에 관한 정보를 획득한다. 미디어 성능에 관한 정보는 TC에 의해 지원되는 트랜스포트 프로토콜에 관한 정보를 포함한다.
이 단계에서, TCP는 GetMediaSessionCapability() 커맨드를 통해 TC의 미디어 성능에 관한 정보를 획득할 수 있다.
402: TCP는 TS로부터 TS의 미디어 성능에 관한 정보를 획득한다. 미디어 성능에 관한 정보는 TS에 의해 지원되는 트랜스포트 프로토콜에 관한 정보를 포함한다.
이 단계에서, TCP는 GetMediaSessionCapability() 커맨드를 통해 TS로부터 TS의 미디어 성능에 관한 정보를 획득할 수 있다.
403: TCP는 TC의 미디어 성능에 관한 정보 및 TS의 미디어 성능에 관한 정보에 따라 TC와 TS 간의 세션을 수행하는 데 필요한 세션 파라미터를 결정한다. 세션 파라미터는 TC 및 TS 모두에 의해 지원되는 트랜스포트 프로토콜을 포함한다.
404: TCP는 세션 파라미터에 따라 TC와 TS 간에 데이터 채널을 설정하는 인디케이션으로서 상기 세션 파라미터를 TC에 송신하며, 그에 따라 TC는 응답 메시지를 TCP에 송신한다.
이 단계에서, TCP는 SetMediaSession(MediaCapability, ...) 커맨드를 사용하여 세션 파라미터를 TC에 송신할 수 있다.
SetMediaSession(MediaCapability, ...) 커맨드에서의 "MediaCapability"는 세션 파라미터를 의미한다.
405: TCP는 세션 파라미터에 따라 TS와 TC 간에 데이터 채널을 설정하는 인디케이션으로서 세션 파라미터를 TS에 송신한다.
이 단계에서, TCP는 SetMediaSession(MediaCapability, ...) 커맨드를 사용하여 세션 파라미터를 TS에 송신할 수 있다.
406: TCP는 TC로부터 TC의 암호화 성능에 관한 정보를 획득한다. 암호화 성능에 관한 정보는 암호화 알고리즘에 관한 정보 및 TC에 의해 지원되는 키 길이에 관한 정보를 포함한다. 키 길이에 관한 정보는 TC에 의해 지원되는 최대 키 길이일 수 있다.
이 단계에서, TCP는 GetencryptCapability() 커맨드를 통해 TC로부터 TC의 암호화 성능에 관한 정보를 획득한다.
407: TCP는 TS로부터 TS의 암호화 성능에 관한 정보를 획득한다. 암호화 성능에 관한 정보는 암호화 알고리즘에 관한 정보 및 TS에 의해 지원되는 키 길이에 관한 정보를 포함한다. 키 길이에 관한 정보는 TS에 의해 지원되는 최대 키 길이일 수 있다.
이 단계에서, TCP는 GetencryptCapability() 커맨드를 통해 TS로부터 TS의 암호화 성능에 관한 정보를 획득한다.
408: TC 및 TS의 암호화 성능에 관한 정보에 따라 TC 및 TS에 적용 가능한 암호화 알고리즘을 결정하고, 키를 생성한다.
409: TCP는 그 결정된 암호화 알고리즘 및 키를 TC에 통지하고, 그러므로 TC는 세션 파라미터에 표시된 암호화 알고리즘 및 키를 사용하여, 계속해서 TC와 TS 간에 전송된 데이터 스트림을 암호화 및/또는 암호해독할 수 있다.
이 단계에서, TCP는 암호화 알고리즘 및 키를 수반하는 Setencrypt(encryptCapability, ...) 커맨드를 TC에 송신하며, 여기서 "encryptCapability, ..."는 암호화 알고리즘 및 키를 의미한다.
410: TCP는 그 결정된 암호화 알고리즘 및 키를 TS에 통지하고, 그러므로 TS는 세션 파라미터에 표시된 암호화 알고리즘 및 키를 사용하여, 계속해서 TC와 TS 간에 전송된 데이터 스트림을 암호화 및/또는 암호해독할 수 있다.
이 단계에서, TCP는 암호화 알고리즘 및 키를 수반하는 Setencrypt(encryptCapability, ...) 커맨드를 TS에 송신하며, 여기서 "encryptCapability, ..."는 암호화 알고리즘 및 키를 의미한다.
단계 411 내지 단계 414는 단계 306 내지 단계 309와 동일하므로, 그 상세한 설명은 여기서 반복하지 않는다.
단계 401 내지 단계 415에서의 메시지는 보안 전송 채널을 통해 전송되며, 이에 의해 불법 장치가 메시지 내용을 가로채는 것이 방지된다는 것에 주목해야 한다. 그러므로 불법 장치는 키를 알 수 없다.
실시예 3에서, TC 및 TS에 의해 신임된 TCP는 TC 및 TS의 암호화 성능에 관한 정보를 획득하고, TC 및 TS 모두에 의해 지원되는 암호화 알고리즘을 선택하며, 키를 생성한다. TCP는 암호화 알고리즘 및 키를 TC 및 TS에 각각 송신한다. 이에 의해, 데이터 스트림의 송신자(TC 또는 TS)는 이러한 암호화 알고리즘 및 키를 사용하여, 송신될 데이터 스트림을 암호화하고, 데이터 스트림의 수신자(TC 또는 TS)는 이러한 암호화 알고리즘 및 키를 사용하여, 그 수신된 데이터 스트림을 암호해독하며, 이에 의해 아웃밴드 모드에서 TC와 TS 간에 전송되는 데이터 스트림의 보안을 확실하게 한다.
TS 및 TC로부터 TCP에 의해 획득된 암호화 성능에 관한 정보는 암호화 프로토콜을 각각 포함할 수 있다. TCP는 TS 및 TC에 적용 가능한 암호화 프로토콜을 결정하고, 그 결정된 암호화 프로토콜에 관한 정보를 TC 및 TS에 각각 송신한다. 이어서, TC 및 TS는 암호화 프로토콜에 따라 암호화 알고리즘 및 키를 교섭하고, 이에 의해서도 본 발명의 목적이 달성된다.
실시예 4
도 5에 도시된 바와 같이, 암호화 정보를 교섭하기 위한 방법이 본 실시예에 제공된다. 이 방법에서, IC 및 IS 모두에 의해 신임된 ICP는 IC 및 IS 모두에 의해 지원되는 암호화 알고리즘을 선택하고 키를 생성하며, 이러한 암호화 알고리즘 및 키를 IC 및 IS에 통지한다. 방법은 이하의 단계를 포함한다.
501: ICP는 IC로부터 IC의 입력 성능에 관한 정보를 획득한다. 입력 성능에 관한 정보는 IC에 의해 지원되는 트랜스포트 프로토콜에 관한 정보 및 IC의 암호화 성능에 관한 정보를 포함한다. 암호화 성능에 관한 정보는 암호화 알고리즘에 관한 정보 및 IC에 의해 지원되는 키 길이에 관한 정보를 포함한다. 키 길이에 관한 정보는 IC에 의해 지원되는 최대 키 길이일 수 있다.
본 발명의 실시예를 더 명확하게 설명하기 위해, ICP, IC, IS의 기능에 대해 이하에 간략히 설명한다. IS는 홈 네트워크 내의 다른 장치들에 정보 입력 서비스를 제공하고; IC는 홈 네트워크에서 IS로부터 정보를 수신하며; ICP는 홈 네트워크에서 IC와 IS 간의 입력 기능의 공유를 실행하는 제어를 수행한다.
이 단계에서, ICP는 GetInputCapability() 커맨드를 통해 IC의 입력 성능에 관한 정보를 획득할 수 있다.
502: ICP는 IS로부터 IS의 입력 성능에 관한 정보를 획득한다. 입력 성능에 관한 정보는 IS에 의해 지원되는 트랜스포트 프로토콜에 관한 정보 및 IS의 암호화 성능에 관한 정보를 포함한다. 암호화 성능에 관한 정보는 암호화 알고리즘에 관한 정보 및 IS에 의해 지원되는 키 길이에 관한 정보를 포함한다. 키 길이에 관한 정보는 IS에 의해 지원되는 최대 키 길이일 수 있다.
이 단계에서, ICP는 GetInputCapability() 커맨드를 통해 IS로부터 IS의 입력 성능에 관한 정보를 획득할 수 있다.
503: ICP는 IC의 입력 성능에 관한 정보 및 IS의 입력 성능에 관한 정보에 따라 IC와 IS 간의 세션을 수행하는 데 필요한 세션 파라미터를 결정한다. 세션 파라미터는 IC 및 IS 모두에 적용 가능한 트랜스포트 프로토콜, 암호화 알고리즘, 및 키를 포함한다.
이 단계에서, ICP가, IC 및 IS에 적용 가능한 암호화 알고리즘을 결정하는 단계는, ICP가, IC 및 IS에 의해 지원되는 암호화 알고리즘을 선택하는 단계를 의미한다. 이 단계에서, ICP는 IC의 암호화 성능에 관한 정보 및 IS의 암호화 성능에 관한 정보에 따라 키를 생성한다. 구체적으로, ICP는 IC에 의해 지원되는 최대 키 길이 및 IS에 의해 지원되는 최대 키 길이에 따라 키를 생성하며, 이에 따라 그 생성된 키는 IC 및 IS의 키 길이 요건에 확실하게 부합한다.
504: ICP는 세션 파라미터에 따라 IC와 IS 간에 데이터 채널을 설정하는 인디케이션으로서 상기 세션 파라미터를 IC에 송신하며, 그에 따라 IC는 응답 메시지를 ICP에 송신한다.
이 단계에서, ICP는 세션 파라미터를 IC에 송신하고, 이에 따라 IC는 이 세션 파라미터에 따라 IS로의 데이터 채널을 설정하고, 그런 다음 이 세션 파라미터에 표시된 암호화 알고리즘 및 키를 사용하여, IC와 IS 간에 전송되는 데이터 스트림을 암호화 및/또는 암호해독한다.
이 단계에서, ICP는 SetInputSession(Capability, ...) 커맨드를 사용하여 세션 파라미터를 IC에 송신할 수 있다. SetInputSession(Capability, ...) 커맨드에서의 "Capability"는 세션 파라미터를 의미한다.
505: ICP는 세션 파라미터를 IS에 송신하고, 이에 따라 IS는 이 세션 파라미터에 따라 IC로의 데이터 채널을 설정하고, 그런 다음 이 세션 파라미터에 표시된 암호화 알고리즘 및 키를 사용하여 IC와 IS 간에 전송되는 데이터 스트림을 암호화 및/또는 암호해독한다.
이 단계에서, ICP는 SetInputSession(Capability, ...) 커맨드를 사용하여 세션 파라미터를 IS에 송신할 수 있다.
506: ICP는 데이터 스트림의 전송을 시작하는 인디케이션으로서 통지 메시지를 IS에 송신한다.
이 단계에서, ICP는 아웃밴드 모드에서 데이터 스트림의 전송을 시작하는 인디케이션으로서 StartInputSession() 커맨드를 IS에 송신한다.
507: IS는 암호화 알고리즘 및 키에 따라 송신될 데이터 스트림을 암호화하고, 이 데이터 스트림을 송신하며, IC는 암호화 알고리즘 및 키에 따라 IS로부터 수신된 데이터 알고리즘을 암호해독한다.
508: 세션이 종료되려 할 때, ICP는 세션을 종료하는 인디케이션으로서 통지 메시지를 IC에 송신한다.
이 단계에서, ICP는 StopInputSession() 커맨드를 IC에 송신하여 세션을 종료한다.
509: 세션이 종료되려 할 때, ICP는 세션을 종료하는 인디케이션으로서 통지 메시지를 IS에 송신한다.
이 단계에서, ICP는 StopInputSession() 커맨드를 IS에 송신하여 세션을 종료한다.
실시예 4에서, TC 및 IS에 의해 신임된 ICP는 IC 및 IS의 암호화 성능에 관한 정보를 획득하고, IC 및 IS 모두에 의해 지원되는 암호화 알고리즘을 선택하며, 키를 생성한다. ICP는 암호화 알고리즘 및 키를 IC 및 IS에 각각 송신한다. 데이터 스트림의 송신자(IC 또는 IS)는 이러한 암호화 알고리즘 및 키를 사용하여, 송신될 데이터 스트림을 암호화하고, 데이터 스트림의 수신자(IC 또는 IS)는 이러한 암호화 알고리즘 및 키를 사용하여, 그 수신된 데이터 스트림을 암호해독하며, 이에 의해 아웃밴드 모드에서 IC와 IS 간에 전송되는 데이터 스트림의 보안을 확실하게 한다.
실시예 5
도 6에 도시된 바와 같이, 본 실시예에서의 암호화 정보를 교섭하기 위한 방법은 이하의 단계를 포함한다.
601: 제2 장치는 제어점으로부터 제1 장치의 증명서 정보(certificate information)를 수신한다.
예를 들어, 제어점이 TCP이면, 제1 장치는 TC이고 제2 장치는 TS이거나; 또는 제1 장치가 TS이고 제2 장치가 TC이다.
이 단계에서, TCP는 TC 및 TS에 의해 권한이 부여된 제어점이고, TC 및 TS에 액세스할 수 있는 자격이 주어지며, 예를 들어, SSL 프로토콜 및 TLS 프로토콜을 통해, TC 및 TS로의 보안 전송 채널을 각각 설정할 수 있다. 그러므로 이 단계 전에, TCP는 TS 및 TC에 의해 권한을 부여받아야 한다. TC가 자신에게 액세스할 수 있는 권한을 TCP에 부여할 때, TC는 자신의 ACL에 TCP의 ID를 저장하며, TCP의 ID는 TCP의 증명서에 대한 해시 값일 수 있다. 마찬가지로, TS가 자신에게 액세스할 수 있는 권한을 TCP에 부여할 때, TS는 자신의 ACL에 TCP의 ID를 저장하고, TCP의 ID는 TCP의 증명서에 대한 해시 값일 수 있다. 이어서, TS 및 TC는 TCP의 증명서 및 각각 저장된 ACL에 기초하여 그 권한을 부여받은 TCP에 액세스할 수 있다.
대안으로, 제어점이 ICP이면, 제1 장치는 IC이고 제2 장치는 IS이거나; 또는 제1 장치가 IS이고 제2 장치가 IC이다.
이 단계에서, ICP는 IC 및 IS에 의해 권한이 부여된 제어점이고, IC 및 IS에 액세스할 수 있는 자격이 주어지며, 예를 들어, SSL 프로토콜 및 ILS 프로토콜을 통해, IC 및 IS로의 보안 전송 채널을 각각 설정할 수 있다. 그러므로 이 단계 전에, ICP는 IS 및 IC에 의해 권한을 부여받아야 한다. IC가 자신에게 액세스할 수 있는 권한을 ICP에 부여할 때, IC는 자신의 ACL에 ICP의 ID를 저장하며, ICP의 ID는 ICP의 증명서에 대한 해시 값일 수 있다. 마찬가지로, IS가 자신에게 액세스할 수 있는 권한을 ICP에 부여할 때, IS는 자신의 ACL에 ICP의 ID를 저장하고, ICP의 ID는 ICP의 증명서에 대한 해시 값일 수 있다. 이어서, IS 및 IC는 ICP의 증명서 및 각각 저장된 ACL에 기초하여 그 권한을 부여받은 ICP에 액세스할 수 있다.
이 단계에서, 제2 장치가 제어점으로부터 제1 장치의 증명서 정보를 수신하기 전에, 제어점은 제1 장치의 증명서 정보를 획득해야 한다. 획득 모드는, 제어점이 제1 장치로부터 제1 장치의 증명서 정보를 획득하거나; 또는 제어점이 제1 장치에 대한 증명서를 생성하고, 그 증명서를 제2 장치에 송신하며, 그 증명서에 관한 정보를 제1 장치에 송신하는 것을 포함하지만, 이에 제한되지 않는다. 제1 장치의 증명서 정보는 제1 장치의 증명서 또는 제1 장치의 증명서에 대한 해시값을 포함한다.
602: 제2 장치는 제1 장치의 증명서 정보에 따라 제1 장치를 인증한다.
603: 제2 장치는 제1 장치를 성공적으로 인증한 후 제1 장치와 암호화 정보를 교섭하며, 상기 암호화 정보는 제1 장치와 제2 장치 간의 데이터 스트림을 암호화 및/또는 암호해독하기 위한 근거로서 기능한다.
본 발명의 실시예 5에서, 제2 장치는 제어점을 통해 제1 장치의 증명서 정보를 획득하고, 제1 장치를 성공적으로 인증한 후 제1 장치와 암호화 정보를 교섭하며, 그러므로 제1 장치 및 제2 장치는 암호화 정보를 사용하여 제1 장치와 제2 장치 간에 전송되는 데이터 스트림을 암호화 및/또는 암호해독할 수 있으며, 이에 의해 아웃밴드 모드에서 제1 장치와 제2 장치 간에 전송되는 데이터 스트림의 보안이 확실하게 된다.
실시예 6
도 7에 도시된 바와 같이, 암호화 정보를 교섭하기 위한 방법이 본 실시예에 제공된다. 이 방법에서, TC 및 TS 모두에 의해 신임된 TCP는 TC 또는 TS 중 하나의 증명서 정보를 획득하며, 이 증명서 정보를 TC 및 TS에 송신한다. 이 방법에서, TC 및 TS는 서로 인증할 수 있으며 암호화 알고리즘 및 키를 교섭할 수 있다. 방법은 이하의 단계를 포함한다.
단계 701 내지 단계 705는 실시예 4의 단계 401 내지 단계 405와 동일하므로, 그 상세한 설명은 여기서 반복하지 않는다.
706: TCP는 TC로부터 TC의 증명서 정보를 획득한다. TC의 증명서 정보는 TC의 증명서 또는 TC의 증명서에 대한 해시값을 포함한다.
이 단계에서, TCP는 GetDeiveAuthenticationInfo() 커맨드를 통해 TC로부터 TC의 증명서 정보를 획득한다.
707: TCP는 TS로부터 TS의 증명서 정보를 획득한다. TS의 증명서 정보는 TS의 증명서 또는 TS의 증명서에 대한 해시값을 포함한다.
이 단계에서, TCP는 GetDeiveAuthenticationInfo() 커맨드를 통해 TS로부터 TS의 증명서 정보를 획득한다.
708: TCP는 TS의 증명서 정보를 TC에 송신한다.
이 단계에서, TCP는 SetDeiveAuthInfo(TSinfo, ...) 커맨드를 통해 TS의 증명서 정보를 TC에 송신할 수 있고, 여기서 "TSinfo"는 TS의 증명서 정보를 의미한다. TS의 증명서 정보는 계속해서 TS를 인증하기 위해 TC에 의해 사용된다.
709: TCP는 TC의 증명서 정보를 TS에 송신한다.
이 단계에서, TCP는 SetDeiveAuthInfo(TSinfo, ...) 커맨드를 통해 TC의 증명서 정보를 TS에 송신할 수 있고, 여기서 "TSinfo"는 TC의 증명서 정보를 의미한다. TC의 증명서 정보는 계속해서 TC를 인증하기 위해 TS에 의해 사용된다.
710: TCP는 데이터 스트림의 전송을 시작하는 인디케이션으로서 통지 메시지를 TS에 송신한다.
이 단계에서, TCP는 아웃밴드 모드에서 데이터 스트림의 전송을 시작하는 인디케이션으로서 StartMediaSession() 커맨드를 TS에 송신한다.
711: TS 및 TC는 상대방의 증명서 정보에 따라 서로 인증하고, 인증 성공 후에는 암호화 알고리즘 및 키를 교섭한다.
이 단계에서, 한 쪽(예를 들어 TS)은 다른 쪽(예를 들어 TC)을 상이한 방식으로 인증할 수도 있다. TC는 그 증명서에 대한 사설 키(private key)를 사용하여, TC 및 TS 모두에 알려진 정보 세그먼트를 암호화하고, 그 정보 세그먼트에 증명서를 부가하며, 그 정보 세그먼트를 TS에 송신한다. TS는 정보 세그먼트를 수신한 후, 단계 709에서 획득된 TC의 정보 세그먼트가 TC의 증명서에 대한 해시값이면, TS는 TC의 증명서를 위한 해시 동작을 먼저 수행한 다음, 그 동작 결과를, 단계 709에서 획득된 TC의 증명서에 대한 해시값과 비교한다. 두 값이 동일하면, TS는 TC의 증명서 내의 공개 키(pubulic key)를 사용하여, TC의 공개 키를 통해 TC에 의해 암호화된 정보 세그먼트를 암호해독하고, 이 암호해독된 정보를 이전에 알려진 정보 세그먼트와 비교하고, 상기 암호해독된 정보가 그 알려진 정보 세그먼트와 일치하면, TC가 인증을 통과한 것으로 결정한다. 단계 709에서 획득된 TC의 증명서 정보가 TC의 증명서이면, TS는 TC에 의해 송신된 증명서를 단계 709에서 획득된 TC의 증명서와 직접 비교한다. 두 증명서가 동일하면, TS는 TS는 TC의 증명서 내의 공개 키를 사용하여, TC의 공개 키를 통해 TC에 의해 암호화된 정보 세그먼트를 암호해독하고, 이 암호해독된 정보를 이전에 알려진 정보 세그먼트와 비교하며, 상기 암호해독된 정보가 그 알려진 정보 세그먼트와 일치하면, TC가 인증을 통과한 것으로 결정한다.
암호화 알고리즘은 TS 및 TC에 의해 다음의 방법으로도 교섭될 수 있다: TC는 TC에 의해 지원되는 암호화 알고리즘을 TS에 보고하고, 그에 따라 TS는 TC 및 TS 모두에 의해 지원되는 암호화 알고리즘을 선택한다.
TS 및 TC는 SSL 프로토콜을 사용하여 키를 교섭할 수 있다. 예를 들어, TC 및 TS는 핸드쉐이크 알고리즘을 통해 키 교환 알고리즘, 데이터 암호화 알고리즘 및 다이제스트 알고리즘을 교섭하고, 그 교섭된 키 교환 알고리즘을 사용하여, TC 및 TS에만 알려진 키를 생성한다.
712: TS는 암호화 알고리즘 및 키에 따라, 송신될 데이터 스트림을 암호화한 다음, 그 데이터 스트림을 선택하고, TC는 암호화 알고리즘 및 키에 따라, TS로부터 수신된 데이터 스트림을 암호해독하거나; 또는 TC는 암호화 알고리즘 및 키에 따라, 송신될 데이터 스트림을 암호화한 다음, 그 데이터 스트림을 송신하고, TS는 암호화 알고리즘 및 키에 따라, TC로부터 수신된 데이터 스트림을 암호해독한다.
713: 세션이 종료되려 할 때, TCP는 세션을 종료하는 인디케이션으로서 통지 메시지를 TC에 송신한다.
이 단계에서, TCP는 StopMediaSession() 커맨드를 TC에 송신하여 세션을 종료한다.
714: 세션이 종료되려 할 때, TCP는 세션을 종료하는 인디케이션으로서 통지 메시지를 TS에 송신한다.
이 단계에서, TCP는 StopMediaSession() 커맨드를 TS에 송신하여 세션을 종료한다.
실시예 6에서, TC 및 TS에 의해 신임된 TCP는 TC의 증명서 정보를 획득하고, 그 증명서 정보를 TS에 송신하며, TS의 증명서 정보를 획득하고, 그 증명서 정보를 TC에 송신한다. TC 및 TS는 서로 인증을 성공한 후, 암호화 알고리즘 및 키를 교섭하며, 그러므로 TC 및 TS는 암호화 알고리즘 및 키를 사용하여, TC와 TS 간에 전송되는 데이터 스트림을 암호해독하며, 이에 의해 아웃밴드 모드에서 TC와 TS 간에 전송되는 데이터 스트림의 보안을 확실하게 한다.
실시예 7
도 8에 도시된 바와 같이, 암호화 정보를 교섭하기 위한 방법이 본 실시예에 제공된다. 이 방법에서, TC 및 TS 모두에 의해 신임된 TCP는 TC의 증명서 정보 및 TS의 증명서 정보를 생성하고, TS의 증명서 정보를 TC에 송신하고, TC의 증명서 정보를 TS에 송신한다. 이 방법에서, TC 및 TS는 서로 인증하고 암호화 알고리즘 및 키를 교섭할 수 있다. 방법은 이하의 단계를 포함한다.
단계 801 내지 단계 805는 실시예 4의 단계 401 내지 단계 405와 동일하므로, 그 상세한 설명은 여기서 반복하지 않는다.
806: TCP는 TC의 증명서를 생성하여 그 증명서를 TC에 송신하며, TC의 증명서 정보를 TS에 송신한다. 증명서 정보는 TC의 증명서일 수도 있고 TC의 증명서에 대한 해시값일 수도 있다.
이 단계에서, TC의 증명서 정보는 SetDeiveAuthInfo(TSinfo, ...) 커맨드를 통해 TS에 송신될 수 있고, 여기서 "TSinfo"는 TC의 증명서 정보를 의미한다.
807: TCP는 TS의 증명서를 생성하여 그 증명서를 TS에 송신하며, TS의 증명서 정보를 TC에 송신한다. 증명서 정보는 TS의 증명서일 수도 있고 TS의 증명서에 대한 해시값일 수도 있다.
이 단계에서, TS의 증명서 정보는 SetDeiveAuthInfo(TSinfo, ...) 커맨드를 통해 TC에 송신될 수 있고, 여기서 "TSinfo"는 TS의 증명서 정보를 의미한다.
단계 808 내지 단계 812는 단계 710 내지 단계 714와 동일하므로, 그 상세한 설명을 여기서 반복하지 않는다.
본 발명의 실시예 7에서, TC 및 TS에 의해 신임된 TCP는 TC의 증명서를 생성하고 그 증명서를 TC에 송신하며, TS의 증명서를 생성하고 그 증명서를 TS에 송신하며, TC의 증명서에 대한 해시값을 TS에 송신하고, TS의 증명서에 대한 해시값을 TC에 송신한다. TC 및 TS는 서로 성공적으로 인증한 후, 암호화 알고리즘 및 키를 교섭하며, 그러므로 TC 및 TS는 암호화 알고리즘 및 키를 사용하여, TC와 TS 간에 전송되는 데이터 스트림을 암호화/또는 암호해독하며, 이에 의해 아웃밴드 모드에서 TC와 TS 간에 전송되는 데이터 스트림의 보안을 확실하게 한다.
전술한 실시예 6 및 실시예 7에서, TC 및 TS에 의해 신임된 TCP는 TS의 증명서 정보를 TC에 송신하고, TC의 증명서 정보를 TS에 송신한다. 이 방법에서, TC 및 TS는 서로 인증하고 암호화 알고리즘 및 키를 교섭할 수 있다. 다른 실시예에서, IC 및 IS에 의해 신임된 ICP는 IS의 증명서 정보를 IC에 송신하고, IC의 증명서 정보를 IS에 송신한다. 이 방법에서, IC 및 IS는 서로 인증하고 암호화 알고리즘 및 키를 교섭할 수 있으며, 이에 의해서도 본 발명의 목적이 달성된다.
실시예 8
도 9에 도시된 바와 같이, 암호화 정보를 교섭하기 위한 장치가 본 실시예에 설명된다. 장치는 TC 및 TS에 의해 권한이 부여된 TCP일 수도 있고, IC 및 IS에 의해 권한이 부여된 ICP일 수 있으며, 장치는:
제1 장치의 암호화 성능에 관한 정보 및 제2 장치의 암호화 성능에 관한 정보를 획득하도록 구성되어 있는 획득 유닛(901);
제1 장치의 암호화 성능에 관한 정보 및 제2 장치의 암호화 성능에 관한 정보에 따라, 제1 장치 및 제2 장치에 적용 가능한 암호화 정보를 결정하도록 구성되어 있는 결정 유닛(902); 및
상기 결정된 암호화 정보를 제1 장치 및 제2 장치에 각각 송신하도록 구성되어 있는 송신 유닛(903)
을 포함하며,
상기 암호화 정보는 제1 장치와 제2 장치 간의 데이터 스트림을 암호화 및/또는 암호해독하기 위한 근거로서 기능한다.
암호화 정보를 교섭하기 위한 장치는, 암호화 정보를 교섭하기 위한 장치로부터 제1 장치로의 제1 보안 전송 채널을 설정하고, 암호화 정보를 교섭하기 위한 장치로부터 제2 장치로의 제2 보안 전송 채널을 설정하도록 구성되어 있는 통신 유닛(904)을 더 포함한다. 이 경우, 획득 유닛(901)은 통신 유닛(904)에 의해 설정된 제1 보안 전송 채널을 통해 제1 장치의 암호화 성능에 관한 정보를 획득하고, 통신 유닛(904)에 의해 설정된 제2 보안 전송 채널을 통해 제2 장치의 암호화 성능에 관한 정보를 획득하도록 구성되어 있다. 송신 유닛(903)은 통신 유닛(904)에 의해 설정된 제1 보안 전송 채널을 통해 제1 장치에 상기 결정된 암호화 정보를 송신하고, 통신 유닛(904)에 의해 설정된 제2 보안 전송 채널을 통해 제2 장치에 상기 결정된 암호화 정보를 송신하도록 구성되어 있다.
암호화 정보는 암호화 알고리즘 및 키를 포함할 수 있거나, 또는 암호화 프로토콜을 포함할 수 있다.
암호화 정보를 교섭하기 위한 장치가 TCP일 때, 제1 장치는 TC이고 제2 장치는 TS이며, 또는 제1 장치는 TS이고 제2 장치는 TC이다. 암호화 정보를 교섭하기 위한 장치가 ICP일 때, 제1 장치는 IC이고 제2 장치는 IS이며, 또는 제1 장치는 IS이고 제2 장치는 IC이다.
실시예 8에서, 제1 장치 및 제2 장치에 의해 신임된 암호화 정보를 교섭하기 위한 장치는 제1 장치 및 제2 장치에 적용 가능한 암호화 정보를 결정하고, 제1 장치 및 제2 장치에 암호화 정보를 각각 통지하며, 그러므로 제1 장치 및 제2 장치는 암호화 정보를 사용하여, 제1 장치와 제2 장치 간에 전송되는 데이터 스트림을 암호화 및/또는 암호해독할 수 있으며, 이에 의해 아웃밴드 모드에서 제1 장치와 제2 장치 간에 전송되는 데이터 스트림의 보안을 확실하게 한다.
실시예 9
도 10에 도시된 바와 같이, 본 실시예에 설명된 암호화 정보를 교섭하기 위한 장치는:
제어점으로부터 제1 장치의 증명서 정보를 수신하도록 구성되어 있는 수신 유닛(1001)으로서, TCP에 의해 송신된 제1 장치의 증명서 정보는 제1 장치로부터 TCP에 의해 획득되거나, 또는 제1 장치에 대해 TCP에 의해 생성된 증명서에 관한 정보인, 상기 수신 유닛(1001);
제1 장치의 증명서 정보에 따라 제1 장치를 인증하도록 구성되어 있는 인증 유닛(1002); 및
제1 장치를 성공적으로 인증한 후 제1 장치와 암호화 정보를 교섭하도록 구성되어 있는 교섭 유닛(1003)
을 포함하며,
상기 암호화 정보는 암호화 정보를 교섭하기 위한 장치와 제1 장치 간의 데이터 스트림을 암호화 및/또는 암호해독하기 위한 근거로서 기능한다.
제어점이 TCP이면, 암호화 정보를 교섭하기 위한 장치는 TC이고 제1 장치는 TS이거나; 또는 암호화 정보를 교섭하기 위한 장치는 TS이고 제1 장치는 TC이다. 대안으로, 제어점이 ICP이면, 암호화 정보를 교섭하기 위한 장치는 IC이고 제1 장치는 IS이거나; 또는 암호화 정보를 교섭하기 위한 장치는 IS이고 제1 장치는 IC이다.
제1 장치의 증명서 정보는 제1 장치의 증명서 또는 제1 장치의 증명서에 대한 해시값을 포함할 수 있다.
실시예 9에서, 암호화 정보를 교섭하기 위한 장치는 제어점을 통해 제1 장치의 증명서 정보를 획득하고, 제1 장치를 성공적으로 인증한 후 제1 장치와 적용 가능한 암호화 알고리즘 및 키를 교섭하며, 그러므로 제1 장치 및 제2 장치는 암호화 정보 및 키를 사용하여, 제1 장치와 제2 장치 간에 전송되는 데이터 스트림을 암호화 및/또는 암호해독할 수 있으며, 이에 의해 아웃밴드 모드에서 제1 장치와 제2 장치 간에 전송되는 데이터 스트림의 보안을 확실하게 한다.
실시예 10
본 실시예에 제공되는 네트워크 시스템은:
암호화 성능에 관한 제1 정보 및 암호화 성능에 관한 제2 정보를 수신하고, 암호화 성능에 관한 제1 정보 및 암호화 성능에 관한 제2 정보에 따라 제1 장치 및 제2 장치에 적용 가능한 암호화 정보를 결정하며, 상기 암호화 정보를 송신하도록 구성되어 있는 제어점;
상기 암호화 성능에 관한 제1 정보를 상기 제어점에 송신하고, 상기 제어점에 의해 송신된 암호화 정보를 수신하도록 구성되어 있는 제1 장치로서, 상기 암호화 성능에 관한 제1 정보는 제1 장치의 암호화 성능을 나타내는, 상기 제1 장치; 및
상기 암호화 성능에 관한 제2 정보를 상기 제어점에 송신하고, 상기 제어점에 의해 송신된 암호화 정보를 수신하도록 구성되어 있는 제2 장치로서, 상기 암호화 성능에 관한 제2 정보는 제2 장치의 암호화 성능을 나타내는, 상기 제2 장치
를 포함하며,
상기 암호화 정보는 제1 장치와 제2 장치 간의 데이터 스트림을 암호화 및/또는 암호해독하기 위한 근거로서 기능한다.
암호화 정보는 암호화 알고리즘 및 키를 포함할 수 있거나, 또는 암호화 프로토콜을 포함할 수 있다. 암호화 정보가 암호화 프로토콜을 포함하면, 제1 장치는 상기 암호화 프로토콜을 사용하여 제2 장치와 암호화 알고리즘 및 키를 교섭하도록 추가로 구성되어 있고, 제2 장치는 상기 암호화 프로토콜을 사용하여 제1 장치와 암호화 알고리즘 및 키를 교섭하도록 추가로 구성되어 있다.
제어점이 TCP이면, 제1 장치는 TC이고 제2 장치는 TS이거나; 또는 제1 장치는 TS이고 제2 장치는 TC이다. 제어점이 ICP이면, 제1 장치는 IC이고 제2 장치는 IS이거나; 또는 제1 장치는 IS이고 제2 장치는 IC이다.
실시예 10에서, 제1 장치 및 제2 장치에 의해 신임된 제어점은 제1 장치 및 제2 장치에 적용 가능한 암호화 정보를 결정하고, 제1 장치 및 제2 장치에 암호화 정보를 각각 통지하며, 그러므로 제1 장치 및 제2 장치는 암호화 정보를 사용하여, 제1 장치와 제2 장치 간에 전송되는 데이터 스트림을 암호화 및/또는 암호해독할 수 있으며, 이에 의해 아웃밴드 모드에서 제1 장치와 제2 장치 간에 전송되는 데이터 스트림의 보안을 확실하게 한다.
실시예 11
본 실시예에 제공되는 네트워크 시스템은:
제1 증명서 정보를 획득하고 송신하도록 구성되어있는 제어점;
상기 제어점에 의해 송신된 제1 증명서 정보를 수신하고, 상기 제1 증명서 정보에 대응하는 장치를 인증하며, 상기 제1 증명서 정보에 대응하는 장치를 성공적으로 인증한 후 상기 제1 증명서 정보에 대응하는 장치와 암호화 정보를 교섭하도록 구성되어 있는 제2 장치; 및
상기 제1 증명서 정보에 대응하며, 상기 제2 장치와 암호화 정보를 교섭하도록 구성되어 있는 제1 장치
를 포함하며,
상기 암호화 정보는 제1 장치와 제2 장치 간의 데이터 스트림을 암호화 및/또는 암호해독하기 위한 근거로서 기능한다.
제어점이 TCP이면, 제1 장치는 TC이고 제2 장치는 TS이거나; 또는 제1 장치는 TS이고 제2 장치는 TC이다. 제어점이 ICP이면, 제1 장치는 IC이고 제2 장치는 IS이거나; 또는 제1 장치는 IS이고 제2 장치는 IC이다.
제어점은 제1 장치의 증명서 정보를 획득하도록 추가로 구성되어 있고, 획득 모드는, 제어점이 제1 장치로부터 제1 장치의 증명서 정보를 획득하거나; 또는 제어점이 제1 장치에 대한 증명서를 생성하고, 그 증명서를 제2 장치에 송신하며, 그 증명서에 관한 정보를 제1 장치에 송신하는 것을 포함하지만, 이에 제한되지 않는다. 제1 장치의 증명서 정보는 제1 장치의 증명서 또는 제1 장치의 증명서에 대한 해시값을 포함한다.
실시예 11에서, 제2 장치는 제1 장치 및 제2 장치에 의해 신임된 제어점을 통해 제1 장치의 증명서 정보를 획득하고, 제1 장치를 성공적으로 인증한 후 제1 장치와 적용 가능한 암호화 알고리즘 및 키를 교섭하며, 그러므로 제1 장치 및 제2 장치는 암호화 정보 및 키를 사용하여, 제1 장치와 제2 장치 간에 전송되는 데이터 스트림을 암호화 및/또는 암호해독할 수 있으며, 이에 의해 아웃밴드 모드에서 제1 장치와 제2 장치 간에 전송되는 데이터 스트림의 보안을 확실하게 한다.
당업자는 본 발명의 실시예의 방법의 단계 중 전부 또는 일부가 관련 하드웨어에 명령하는 프로그램에 의해 실행될 수 있다는 것을 이해해야 한다. 프로그램은 ROM, 자기디스크 또는 CD-ROM과 같은 컴퓨터-판독 가능 저장 매체에 저장될 수 있다.
전술한 바는 암호화 정보를 교섭하기 위한 방법 및 장치, 및 네트워크 시스템이다. 본 발명을 예시적인 실시예를 통해 서술하였으나, 본 발명은 이러한 실시예에 제한되지 않는다. 당업자가 본 발명의 정신 및 범주를 벗어남이 없이 본 발명에 대해 변형 및 수정을 수행할 수 있음은 자명하다. 본 발명은 이하의 청구의 범위 또는 그 등가물에 의해 정의되는 보호 범위 내에 있는 변형 및 수정을 망라하도록 되어 있다.

Claims (15)

  1. 암호화 정보를 교섭하기 위한 방법에 있어서,
    제1 장치의 암호화 성능에 관한 정보 및 제2 장치의 암호화 성능에 관한 정보를 획득하는 단계;
    상기 제1 장치의 암호화 성능에 관한 정보 및 상기 제2 장치의 암호화 성능에 관한 정보에 따라, 상기 제1 장치 및 상기 제2 장치에 적용 가능한 암호화 정보를 결정하는 단계; 및
    상기 제1 장치 및 상기 제2 장치에 상기 암호화 정보를 송신하는 단계
    를 포함하며,
    상기 암호화 정보는 상기 제1 장치와 제2 장치 간의 데이터 스트림을 암호화 및/또는 암호해독하기 위한 근거(basis)의 역할을 하는, 방법.
  2. 제1항에 있어서,
    상기 제1 장치의 암호화 성능에 관한 정보 및 제2 장치의 암호화 성능에 관한 정보를 획득하는 단계 이전에,
    상기 제1 장치로의 보안 전송 채널 및 상기 제2 장치로의 보안 전송 채널을 각각 설정하는 단계
    를 더 포함하고,
    상기 제1 장치의 암호화 성능에 관한 정보 및 제2 장치의 암호화 성능에 관한 정보를 획득하는 단계는 구체적으로,
    상기 제1 장치로의 보안 전송 채널을 사용하여, 상기 제1 장치의 암호화 성능에 관한 정보를 획득하는 단계; 및
    상기 제2 장치로의 보안 전송 채널을 사용하여, 상기 제2 장치의 암호화 성능에 관한 정보를 획득하는 단계
    를 포함하며,
    상기 제1 장치 및 상기 제2 장치에 상기 암호화 정보를 송신하는 단계는 구체적으로,
    상기 제1 장치로의 보안 전송 채널을 사용하여, 상기 제1 장치에 상기 암호화 정보를 송신하는 단계; 및
    상기 제2 장치로의 보안 전송 채널을 사용하여, 상기 제2 장치에 상기 암호화 정보를 송신하는 단계
    를 포함하는, 방법.
  3. 제1항에 있어서,
    상기 암호화 정보는 암호화 알고리즘 및 키(key)를 포함하며,
    상기 암호화 알고리즘 및 키는, 데이터 스트림의 송신자(sender)가 송신될 데이터 스트림을 암호화하는 근거로서 기능하고, 또한 데이터 스트림의 수신자가 수신된 데이터 스트림을 암호해독하는 근거로서 기능하며,
    상기 송신자는 제1 장치이고 상기 수신자는 제2 장치이거나, 또는 상기 송신자는 제2 장치이고 상기 수신자는 제1 장치인, 방법.
  4. 제1항 내지 제3항 중 어느 한 항에 있어서,
    상기 제1 장치의 암호화 성능에 관한 정보는, 상기 제1 장치에 의해 지원되는 암호화 알고리즘에 관한 정보, 및 상기 제1 장치에 의해 지원되는 키 길이에 관한 정보를 포함하며,
    상기 제2 장치의 암호화 성능에 관한 정보는, 상기 제2 장치에 의해 지원되는 암호화 알고리즘에 관한 정보, 및 상기 제2 장치에 의해 지원되는 키 길이에 관한 정보를 포함하며,
    상기 제1 장치의 암호화 성능에 관한 정보 및 상기 제2 장치의 암호화 성능에 관한 정보에 따라, 상기 제1 장치 및 상기 제2 장치에 적용 가능한 암호화 정보를 결정하는 단계는,
    상기 제1 장치에 의해 지원되는 암호화 알고리즘에 관한 정보 및 상기 제2 장치에 의해 지원되는 암호화 알고리즘에 관한 정보에 따라, 상기 제1 장치 및 상기 제2 장치 모두에 의해 지원되는 암호화 알고리즘을 선택하고, 상기 제1 장치에 의해 지원되는 키 길이에 관한 정보 및 상기 제2 장치에 의해 지원되는 키 길이에 관한 정보에 따라, 상기 제1 장치 및 상기 제2 장치의 길이 요건을 준수하는 키를 생성하는 단계
    를 포함하는, 방법.
  5. 제1항에 있어서,
    상기 암호화 정보는 암호화 프로토콜을 포함하며,
    상기 암호화 프로토콜은 상기 제1 장치와 상기 제2 장치가 암호화 알고리즘 및 키를 교섭하는 근거로서 기능하며,
    상기 암호화 알고리즘 및 키는, 데이터 스트림의 송신자가 송신될 데이터 스트림을 암호화하는 근거로서 기능하고, 또한 데이터 스트림의 수신자가 수신된 데이터 스트림을 암호해독하는 근거로서 기능하며,
    상기 송신자는 제1 장치이고 상기 수신자는 제2 장치이거나, 또는 상기 송신자는 제2 장치이고 상기 수신자는 제1 장치인, 방법.
  6. 제1항, 제2항 또는 제5항 중 어느 한 항에 있어서,
    상기 제1 장치의 암호화 성능에 관한 정보는 상기 제1 장치에 의해 지원되는 암호화 프로토콜에 관한 정보를 포함하고,
    상기 제2 장치의 암호화 성능에 관한 정보는 상기 제2 장치에 의해 지원되는 암호화 프로토콜에 관한 정보를 포함하며,
    상기 제1 장치의 암호화 성능에 관한 정보 및 상기 제2 장치의 암호화 성능에 관한 정보에 따라, 상기 제1 장치 및 상기 제2 장치에 적용 가능한 암호화 정보를 결정하는 단계는,
    상기 제1 장치에 의해 지원되는 암호화 프로토콜에 관한 정보 및 상기 제2 장치에 의해 지원되는 암호화 프로토콜에 관한 정보에 따라, 상기 제1 장치 및 상기 제2 장치 모두에 의해 지원되는 암호화 프로토콜을 선택하는 단계
    를 포함하는, 방법.
  7. 암호화 정보를 교섭하기 위한 방법에 있어서,
    제2 장치가, 제어점으로부터 제1 장치의 증명서 정보를 수신하는 단계;
    상기 제2 장치가, 상기 제1 장치의 증명서 정보에 따라 상기 제1 장치를 인증하는 단계; 및
    상기 제2 장치가, 상기 제1 장치를 성공적으로 인증한 후 상기 제1 장치와 암호화 정보를 교섭하는 단계
    를 포함하며,
    상기 암호화 정보는 상기 제1 장치와 제2 장치 간의 데이터 스트림을 암호화 및/또는 암호해독하기 위한 근거(basis)의 역할을 하는, 방법.
  8. 제7항에 있어서,
    상기 제1 장치의 증명서 정보는 상기 제1 장치로부터 상기 제어점에 의해 획득되거나; 또는
    상기 제1 장치의 증명서 정보는, 상기 제1 장치에 대해 상기 제어점에 의해 생성된 증명서에 관한 정보인, 방법.
  9. 암호화 정보를 교섭하기 위한 장치에 있어서,
    제1 장치의 암호화 성능에 관한 정보 및 제2 장치의 암호화 성능에 관한 정보를 획득하도록 구성되어 있는 획득 유닛;
    상기 제1 장치의 암호화 성능에 관한 정보 및 상기 제2 장치의 암호화 성능에 관한 정보에 따라, 상기 제1 장치 및 상기 제2 장치에 적용 가능한 암호화 정보를 결정하도록 구성되어 있는 결정 유닛; 및
    상기 결정된 암호화 정보를 상기 제1 장치 및 상기 제2 장치에 각각 송신하도록 구성되어 있는 송신 유닛
    을 포함하며,
    상기 암호화 정보는 제1 장치와 제2 장치 간의 데이터 스트림을 암호화 및/또는 암호해독하기 위한 근거(basis)의 역할을 하는, 장치.
  10. 제9항에 있어서,
    암호화 정보를 교섭하기 위한 장치로부터 제1 장치로의 제1 보안 전송 채널을 설정하고, 암호화 정보를 교섭하기 위한 장치로부터 제2 장치로의 제2 보안 전송 채널을 설정하도록 구성되어 있는 통신 유닛
    을 더 포함하며,
    상기 획득 유닛은 구체적으로, 상기 통신 유닛에 의해 설정된 제1 보안 전송 채널을 통해 상기 제1 장치의 암호화 성능에 관한 정보를 획득하고, 상기 통신 유닛에 의해 설정된 제2 보안 전송 채널을 통해 상기 제2 장치의 암호화 성능에 관한 정보를 획득하도록 구성되어 있으며,
    상기 송신 유닛은 구체적으로, 상기 통신 유닛에 의해 설정된 제1 보안 전송 채널을 통해 제1 장치에 상기 결정된 암호화 정보를 송신하고, 상기 통신 유닛에 의해 설정된 제2 보안 전송 채널을 통해 제2 장치에 상기 결정된 암호화 정보를 송신하도록 구성되어 있는, 장치.
  11. 암호화 정보를 교섭하기 위한 장치에 있어서,
    제어점으로부터 제1 장치의 증명서 정보(certificate information)를 수신하도록 구성되어 있는 수신 유닛;
    상기 제1 장치의 증명서 정보에 따라 상기 제1 장치를 인증하도록 구성되어 있는 인증 유닛; 및
    상기 제1 장치를 성공적으로 인증한 후 상기 제1 장치와 암호화 정보를 교섭하도록 구성되어 있는 교섭 유닛
    을 포함하며,
    상기 암호화 정보는 제1 장치와 제2 장치 간의 데이터 스트림을 암호화 및/또는 암호해독하기 위한 근거(basis)로서 기능하는, 장치
  12. 제11항에 있어서,
    상기 제어점에 의해 송신된 제1 장치의 증명서 정보는, 상기 제1 장치로부터 제어점에 의해 획득되거나, 또는
    상기 제어점에 의해 송신된 제1 장치의 증명서 정보는, 상기 제1 장치에 대해 제어점에 의해 생성된 증명서에 관한 정보인, 장치.
  13. 네트워크 시스템에 있어서,
    암호화 성능에 관한 제1 정보 및 암호화 성능에 관한 제2 정보를 수신하고, 상기 암호화 성능에 관한 제1 정보 및 상기 암호화 성능에 관한 제2 정보에 따라 제1 장치 및 제2 장치에 적용 가능한 암호화 정보를 결정하며, 상기 암호화 정보를 송신하도록 구성되어 있는 제어점;
    상기 암호화 성능에 관한 제1 정보를 상기 제어점에 송신하고, 상기 제어점에 의해 송신된 암호화 정보를 수신하도록 구성되어 있는 제1 장치로서, 상기 암호화 성능에 관한 제1 정보는 제1 장치의 암호화 성능을 나타내는, 상기 제1 장치; 및
    상기 암호화 성능에 관한 제2 정보를 상기 제어점에 송신하고, 상기 제어점에 의해 송신된 암호화 정보를 수신하도록 구성되어 있는 제2 장치로서, 상기 암호화 성능에 관한 제2 정보는 제2 장치의 암호화 성능을 나타내는, 상기 제2 장치
    를 포함하며,
    상기 암호화 정보는 제1 장치와 제2 장치 간의 데이터 스트림을 암호화 및/또는 암호해독하기 위한 근거(basis)의 역할을 하는, 시스템.
  14. 제13항에 있어서,
    상기 암호화 정보는 암호화 프로토콜을 포함하며,
    상기 제1 장치는 상기 암호화 프로토콜을 사용하여 상기 제2 장치와 암호화 알고리즘 및 키를 교섭하도록 추가로 구성되어 있으며,
    상기 제2 장치는 상기 암호화 프로토콜을 사용하여 상기 제1 장치와 암호화 알고리즘 및 키를 교섭하도록 추가로 구성되어 있는, 장치.
  15. 네트워크 시스템에 있어서,
    제1 증명서 정보를 획득하고 송신하도록 구성되어 있는 제어점;
    상기 제어점에 의해 송신된 상기 제1 증명서 정보를 수신하고, 상기 제1 증명서 정보에 대응하는 장치를 인증하며, 상기 제1 증명서 정보에 대응하는 장치를 성공적으로 인증한 후 상기 제1 증명서 정보에 대응하는 장치와 암호화 정보를 교섭하도록 구성되어 있는 제2 장치; 및
    상기 제1 증명서 정보에 대응하며, 상기 제2 장치와 암호화 정보를 교섭하도록 구성되어 있는 제1 장치
    를 포함하며,
    상기 암호화 정보는 제1 장치와 제2 장치 간의 데이터 스트림을 암호화 및/또는 암호해독하기 위한 근거(basis)의 역할을 하는, 시스템.
KR1020127004853A 2009-08-21 2010-08-23 암호화 정보를 교섭하기 위한 방법, 장치 및 네트워크 시스템 KR20120047972A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN 200910167221 CN101997679A (zh) 2009-08-21 2009-08-21 加密信息协商方法、设备及网络系统
CN200910167221.7 2009-08-21

Publications (1)

Publication Number Publication Date
KR20120047972A true KR20120047972A (ko) 2012-05-14

Family

ID=43627251

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020127004853A KR20120047972A (ko) 2009-08-21 2010-08-23 암호화 정보를 교섭하기 위한 방법, 장치 및 네트워크 시스템

Country Status (6)

Country Link
US (1) US9055047B2 (ko)
EP (1) EP2469753A4 (ko)
JP (1) JP2013502782A (ko)
KR (1) KR20120047972A (ko)
CN (1) CN101997679A (ko)
WO (1) WO2011023082A1 (ko)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103856321A (zh) * 2012-12-07 2014-06-11 观致汽车有限公司 一种数据加密解密方法及其系统
US9396338B2 (en) 2013-10-15 2016-07-19 Intuit Inc. Method and system for providing a secure secrets proxy
CN105659240B (zh) 2013-10-28 2018-10-19 华为技术有限公司 一种用于发送和验证url签名以进行自适应流中url认证和基于url的内容访问授权的系统和方法
US9894069B2 (en) 2013-11-01 2018-02-13 Intuit Inc. Method and system for automatically managing secret application and maintenance
US9467477B2 (en) 2013-11-06 2016-10-11 Intuit Inc. Method and system for automatically managing secrets in multiple data security jurisdiction zones
US9444818B2 (en) 2013-11-01 2016-09-13 Intuit Inc. Method and system for automatically managing secure communications in multiple communications jurisdiction zones
CN104618089B (zh) * 2013-11-04 2019-05-10 华为技术有限公司 安全算法的协商处理方法、控制网元和系统
US9516061B2 (en) * 2013-11-26 2016-12-06 Cisco Technology, Inc. Smart virtual private network
WO2015100676A1 (zh) 2013-12-31 2015-07-09 华为终端有限公司 一种网络设备安全连接方法、相关装置及系统
WO2016015347A1 (zh) * 2014-08-01 2016-02-04 华为技术有限公司 一种数据处理方法、装置及系统
US10425427B2 (en) 2015-06-19 2019-09-24 Futurewei Technologies, Inc. Template uniform resource locator signing
WO2017000237A1 (zh) * 2015-06-30 2017-01-05 华为技术有限公司 算法更新方法、待更新设备及服务器
US10263968B1 (en) * 2015-07-24 2019-04-16 Hologic Inc. Security measure for exchanging keys over networks
US11323458B1 (en) 2016-08-22 2022-05-03 Paubox, Inc. Method for securely communicating email content between a sender and a recipient
US10805311B2 (en) * 2016-08-22 2020-10-13 Paubox Inc. Method for securely communicating email content between a sender and a recipient
CN108156120A (zh) * 2016-12-06 2018-06-12 阿里巴巴集团控股有限公司 加密传输数据、加密协议控制及被探测的方法、装置及系统
US10936711B2 (en) 2017-04-18 2021-03-02 Intuit Inc. Systems and mechanism to control the lifetime of an access token dynamically based on access token use
US10635829B1 (en) 2017-11-28 2020-04-28 Intuit Inc. Method and system for granting permissions to parties within an organization
US10673901B2 (en) * 2017-12-27 2020-06-02 Cisco Technology, Inc. Cryptographic security audit using network service zone locking
US11184446B2 (en) 2018-12-05 2021-11-23 Micron Technology, Inc. Methods and apparatus for incentivizing participation in fog networks
US11256778B2 (en) * 2019-02-14 2022-02-22 Micron Technology, Inc. Methods and apparatus for checking the results of characterized memory searches
US11327551B2 (en) 2019-02-14 2022-05-10 Micron Technology, Inc. Methods and apparatus for characterizing memory devices
US12118056B2 (en) 2019-05-03 2024-10-15 Micron Technology, Inc. Methods and apparatus for performing matrix transformations within a memory array
US10867655B1 (en) 2019-07-08 2020-12-15 Micron Technology, Inc. Methods and apparatus for dynamically adjusting performance of partitioned memory
US11449577B2 (en) 2019-11-20 2022-09-20 Micron Technology, Inc. Methods and apparatus for performing video processing matrix operations within a memory array
US11853385B2 (en) 2019-12-05 2023-12-26 Micron Technology, Inc. Methods and apparatus for performing diversity matrix operations within a memory array
US11528601B1 (en) * 2021-06-09 2022-12-13 T-Mobile Usa, Inc. Determining and ameliorating wireless telecommunication network functionalities that are impaired when using end-to-end encryption
CN115150172B (zh) * 2022-07-01 2023-08-11 北京百度网讯科技有限公司 数据处理方法及装置、设备和介质

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1912885B (zh) * 1995-02-13 2010-12-22 英特特拉斯特技术公司 用于安全交易管理和电子权利保护的系统和方法
FI20001837A (fi) * 2000-08-18 2002-02-19 Nokia Corp Autentikointi
US7219223B1 (en) * 2002-02-08 2007-05-15 Cisco Technology, Inc. Method and apparatus for providing data from a service to a client based on encryption capabilities of the client
KR100493895B1 (ko) * 2003-04-17 2005-06-10 삼성전자주식회사 협업 서비스를 위한 홈 네트워크 시스템 및 방법
CN100340086C (zh) 2003-12-10 2007-09-26 联想(北京)有限公司 智能构建无线设备网格的方法
CN100373843C (zh) * 2004-03-23 2008-03-05 中兴通讯股份有限公司 一种无线局域网中密钥协商方法
CN1332569C (zh) * 2004-04-23 2007-08-15 中兴通讯股份有限公司 协商选择空中接口加密算法的方法
CN1863048B (zh) * 2005-05-11 2012-04-11 中兴通讯股份有限公司 用户与接入设备间因特网密钥交换协商方法
US20060274899A1 (en) * 2005-06-03 2006-12-07 Innomedia Pte Ltd. System and method for secure messaging with network address translation firewall traversal
US8509817B2 (en) * 2006-03-22 2013-08-13 Core Wireless Licensing S.A.R.L. System and method for mobile telephone and UPnP control point integration
US20070254630A1 (en) * 2006-04-24 2007-11-01 Nokia Corporation Methods, devices and modules for secure remote access to home networks
CN101102185B (zh) * 2006-07-06 2012-03-21 朗迅科技公司 Ims会话的媒体安全
US20090119510A1 (en) * 2007-11-06 2009-05-07 Men Long End-to-end network security with traffic visibility
JP5015662B2 (ja) * 2007-05-30 2012-08-29 株式会社リコー 暗号通信路復帰方法、暗号通信装置及び暗号通信システム
KR100948604B1 (ko) * 2008-03-25 2010-03-24 한국전자통신연구원 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법
JP4405575B2 (ja) 2007-09-28 2010-01-27 東芝ソリューション株式会社 暗号管理装置、復号管理装置、およびプログラム
JP5024999B2 (ja) 2007-09-28 2012-09-12 東芝ソリューション株式会社 暗号管理装置、暗号管理方法、暗号管理プログラム

Also Published As

Publication number Publication date
CN101997679A (zh) 2011-03-30
WO2011023082A1 (zh) 2011-03-03
EP2469753A4 (en) 2013-03-27
EP2469753A1 (en) 2012-06-27
JP2013502782A (ja) 2013-01-24
US20120148044A1 (en) 2012-06-14
US9055047B2 (en) 2015-06-09

Similar Documents

Publication Publication Date Title
US9055047B2 (en) Method and device for negotiating encryption information
CN105577680B (zh) 密钥生成方法、解析加密数据方法、装置及密钥管理中心
CN111052672B (zh) 无证书或预共享对称密钥的安全密钥传输协议
CN108599925B (zh) 一种基于量子通信网络的改进型aka身份认证系统和方法
US8763097B2 (en) System, design and process for strong authentication using bidirectional OTP and out-of-band multichannel authentication
US11736304B2 (en) Secure authentication of remote equipment
KR100896365B1 (ko) 모바일 디바이스 인증 방법 및 장치
US20120198228A1 (en) System and method for digital user authentication
KR20090067155A (ko) 보안 연결 확립 방법, 보안 핸드쉐이크 서비스 확립 방법 및 컴퓨터 판독가능 매체
WO2013004112A1 (zh) 数据传输的方法及装置
WO2010078755A1 (zh) 电子邮件的传送方法、系统及wapi终端
WO2014180352A1 (zh) 无线设备的配置方法及装置、系统
CN108809907B (zh) 一种证书请求消息发送方法、接收方法和装置
US8498617B2 (en) Method for enrolling a user terminal in a wireless local area network
WO2022171657A1 (en) Method and device to provide a security level for communication
WO2022135391A1 (zh) 身份鉴别方法、装置、存储介质、程序、及程序产品
CN107493294A (zh) 一种基于非对称加密算法的ocf设备的安全接入与管理控制方法
WO2016134631A1 (zh) 一种OpenFlow报文的处理方法及网元
KR101451163B1 (ko) 무선 네트워크 접속 인증 방법 및 그 시스템
JP2009104509A (ja) 端末認証システム、端末認証方法
WO2022135386A1 (zh) 一种身份鉴别方法和装置
CN114531235B (zh) 一种端对端加密的通信方法及系统
US20230297708A1 (en) System and method for managing data-file transmission and access right to data files
WO2022135385A1 (zh) 一种身份鉴别方法和装置
CN117376909A (zh) 一种基于通用引导架构的单包授权认证方法及系统

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E601 Decision to refuse application