KR20160013135A - 공유 비밀을 암시하는 보안 데이터 채널 인증 - Google Patents

공유 비밀을 암시하는 보안 데이터 채널 인증 Download PDF

Info

Publication number
KR20160013135A
KR20160013135A KR1020157036277A KR20157036277A KR20160013135A KR 20160013135 A KR20160013135 A KR 20160013135A KR 1020157036277 A KR1020157036277 A KR 1020157036277A KR 20157036277 A KR20157036277 A KR 20157036277A KR 20160013135 A KR20160013135 A KR 20160013135A
Authority
KR
South Korea
Prior art keywords
shared secret
data
data channel
authenticated
authentication
Prior art date
Application number
KR1020157036277A
Other languages
English (en)
Inventor
노이만 리보르
Original Assignee
에듀시드 에스.알.오.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에듀시드 에스.알.오. filed Critical 에듀시드 에스.알.오.
Publication of KR20160013135A publication Critical patent/KR20160013135A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 두 측면(A, B) 사이의 보안 데이터 채널 인증 방법을 해결하기 위한 것으로서, 제1측면(A) 상에 데이터 채널(1)의 종료점(3)과 다른 측면(B) 상에 데이터 채널(1)의 종료점(4)을 구비하고, 제1 측면(A) 상에 목표 애플리케이션(7)을 갖고 다른 측면(B) 상에 목표 애플리케이션(8)을 갖는 비-인증 보호된 데이터 채널(1)이 처음에 설정될 때, 종료점(3 및 4)은 비-인증 공유 비밀(5)을 갖고, 결과적으로, 데이터 채널(1)의 양 측면(A, B) 상에서, 비-인증 공유 비밀(5)로부터 파생된 데이터를 계산한 다음, 비-인증 공유 비밀(5)로부터 파생된 데이터는 데이터 채널(1) 외부의 외부 통신 수단을 거쳐, 데이터 채널(1)의 인증을 포함하는 통신 측면(A, B)의 인증을 결과적으로 수행하는 외부 인증 시스템(2)의 두 측면(11, 12)으로 전달되는 것을 특징으로 한다.

Description

공유 비밀을 암시하는 보안 데이터 채널 인증{SECURED DATA CHANNEL AUTHENTICATION IMPLYING A SHARED SECRET}
본 발명은 쌍방간의 원격 전자 통신 도중에 보안 데이터 채널 사용자의 전자 신원을 확인하는 방법에 관한 것이다.
보안 데이터 채널은 서비스 제공자의 정보 시스템의 보호 자산(asset)에 사용자 또는 시스템이 원격 액세스하는 경우에 사용된다. 보호 자산은 가변적인 특성의 것일 수 있으며, -이들은 공개를 위해 설계된 정보 또는 비밀 정보일 수 있지만, 오직 인증된 사람만 변경할 수 있도록 허용되거나, 정보 및 통신 기술을 사용하는 거래 또는 다양한 행위의 실현에 관한 것이거나, 측정되거나 획득된 정보 또는 데이터를 획득하는 다양한 장치에 대한 명령 설정에 관한 것일 수 있다.
데이터 채널 보안은 원격 액세스 도중에 보호 자산의 보호 수준의 인자를 제한하는 것이다. 보호 자산 보안의 일반적인 수준은 데이터 채널 보안보다 높을 수 없다. 그것은 보안의 일반적인 규칙으로부터 알려지는데, 일반적인 보안 수준은 가장 약한 요소 보안의 수준에 의해 설정된다.
데이터 채널 보안은 인증, 즉, 데이터 채널의 양쪽 종료점 상에서 시스템의 운전자 또는 소유자 각각에 대해 시스템 또는 사용자의 확인된 신원 체제에 의해 제한된다.
인증 - 목표 전자 서비스 사용 전에 원격 기반으로 일반적으로 수행되는 전자 신원의 확인-은 데이터 채널을 통한 데이터 전송 시작 전에, 보안 데이터 채널 생성 전 또는 데이터 채널 생성의 일부로서 수행된다.
데이터 채널은 인증되지 않은 사용자, 예를 들어 공격자의 서비스로의 액세스로부터 인증된 사용자의 보호로서 목표 전자 서비스에 원격 액세스하는 경우 데이터 전송의 보호를 위해 사용된다.
보안 데이터 채널은, 양쪽 데이터 종료점에서 시스템에만 알려진, 인증된 공유 비밀에 의해 보호된다. 인증된 공유 비밀 생성은 양쪽 데이터 채널 종료점상의 시스템 각각의 사용자의 신원 점검-인증을 포함한다. 다른 알려진 변형은 데이터 채널이 인증없이 또는 부분적인 인증에 의해 생성되는 것으로, 따라서 목표 애플리케이션을 위한 사용자의 인증을 위해 사용된다. 이러한 경우, 데이터 채널은 비-인증 공유 비밀을 사용하고, 그것은 보안된 것처럼 작용할 수 없기 때문에, 공격자에 의해 악용될 수 있으며, 어떤 최대-값 데이터 채널 인증도 수행되지 않기 때문에, 공격자는 목표 애플리케이션에 대한 사용자의 인증조차도 악용하거나 공격하고 따라서 연속적으로 목표 애플리케이션까지도 공격한다.
데이터 채널과 목표 애플리케이션의 보안을 보장하기 위해, 데이터 채널과 목표 애플리케이션에 대한 이중 인증 수행또는 데이터 채널과 목표 애플리케이션을 몇몇 다른 방식으로 연결하는 것이 필요하다.
애플리케이션에 의해 수행되는 인증시 데이터 채널 생성 전 또는 데이터 채널 생성 순간에 수행되는 데이터 채널 인증의 결과를 사용하여, 애플리케이션 통신 보안을 개선하는 역할을 하는 데이터 채널과 목표 애플리케이션을 연결(채널 결합(channel binding))하는 몇 가지 공지된 방법이 존재한다.
외부 인증은 요즈음에는 데이터 채널 인증을 위해 사용되지 않는다. 인증될 시스템 각각의 사용자는 예를 들어 패스워드에 의한 인증의 경우 인증을 위해 직접 사용될 수 있는 사용가능한 인증 비밀(증명서(credential))을 갖거나 공개 키 인프라구조에 의한 인증을 사용하는 경우처럼 인증을 위해 필요한 적절한 암호화 동작을 수행하기 위해 비밀을 사용할 것이다.
본 발명의 목적은 현재 전자 통신 보안의 취약점, 즉 불충분하고, 비기능적이고, 취약하거나 거의 사용할 수 없는 보안 채널의 인증을 제거하고 다양한 높은 품질의 공격에 대해 원격 전자 통신 대부분의 저항을 이 방식으로 증가시키고 이 방식으로 전자 통신의 위험을 눈에 띄게 감소시키는 것이다.
또한, 본 발명의 목적은 외부 인증 시스템과 데이터 채널 사이의 데이터 전송을 단순화함으로써 각각의 목표 애플리케이션에 대한 외부 인증의 사용을 동시에 일방향 전송으로 단순화하는 것이다. 이것은 데이터 전송을 위한 다른 기술을 사용할 수 있게 하는데, 그것은 일반적으로 사용 가능하고 더욱 복잡한 데이터 전송에 대해서는 사용할 수 없다.
본 발명에 따르는 보안 데이터 채널 인증 방법은 처음에 비-인증 암호화 데이터 채널이 보통의 암호화 방법의 사용에 기반하여, 예를 들어 데이터 채널의 오직 양 단의 존재 또는 일시적으로 생성된 암호화 키의 쌍을 보장하는 키 합의(key agreement)를 사용하여, 획득된 비-인증 공유 비밀을 사용하여 쌍방간에 생성되는 것을 특징으로 한다.
다음으로, 비-인증 데이터 채널을 사용하여, 사용자와 데이터 채널의 인증을 위해 필요한 정보는 예를 들어 외부 인증 서비스(URL), 질의, 인증/데이터 세션 식별자에 의해 (은밀하게) 전송될 수 있다.
결과적으로, 양 측면 상의 데이터 채널 종료점은 예를 들어, 공유 비밀에 의한 서명을 사용하는 의사 랜덤 암호화 함수를 사용하여 데이터 채널의 비-인증 공유 비밀의 암호화 도함수를 생성한다. 도함수 생성 방법은 데이터 채널의 두 종료점상에서 계산된 공유 비밀의 두 도함수는 공유 비밀이 동일한 경우 동일한 값을 갖도족 보장한다. 이 계산은 예를 들어 HASH 또는 HMAC의 보통 비대칭 의사-랜덤 알고리즘을 사용하여 수행될 수 있다.
다음으로- 데이터 채널의 양쪽 종료점 상의 외부 통신 수단을 사용하지만, 데이터 채널 외부에서 - 비-인증 공유 비밀로부터 파생된 데이터, 데이터 채널의 비-인증 공유 비밀의 적어도 하나의 도함수 또는 그 파생된 정보가 외부 인증(외부 인증 시스템 또는 서비스)의 적절한 입력부로 전송된다.
비-인증 공유 비밀로부터 파생된 데이터는 예를 들어, 추가 데이터를 사용여 수정함으로써 획득한 비-인증 공유 비밀의 도함수 또는 비-인증 공유 비밀의 수정된 도함수 또는 비-인증 공유 비밀 및 추가 데이터로부터 계산되고 예를 들어 추가 데이터에 의해 수정된 도함수일 수 있다. 추가 데이터에 의한 수정은 데이터 채널 종료점에 의해 또는 데이터 채널의 각각의 측면상의 목표 애플리케이션에 의해 및/또는 인증 시스템의 측면에 의해 수행될 수 있다. 수정은 데이터 채널의 각각의 측면상의 동일한 구성요소 또는 상이한 구성요소에 의해 데이터 채널의 양 측면상에서 수행될 수 있다. 추가 및/또는 보충 데이터는 데이터 채널 종료점 및/또는 목표 애플리케이션 및/또는 외부 인증 시스템의 측면에 의해 생성될 수 있다. 추가 및/또는 보충 데이터는 데이터 채널의 각각의 측면상의 동일한 구성요소 또는 상이한 구성요소에 의해 데이터 채널의 양 측면상에서 생성될 수 있다. 외부 인증이 데이터 채널의 양 종료점상의 비-인증 공유 비밀로부터 파생된 데이터를 수신한 후, 외부 인증은 데이터 채널의 비-인증 공유 비밀로부터 파생된 통과 데이터의 인증을, 일반적으로 외부 인증에 의해 액세스 가능한 사용자의 또는 제공자의 인증 비밀을 사용하여, 수행하는데, 이러한 방식 전부에서 예를 들어, 비밀 또는 인증된 비밀에 의한 서명 또는 암호화를 사용하여, 시스템에 관한 사용자의 인증 및 비-인증 공유 비밀로부터 파생된 데이터를 암호학적으로 신뢰할 수 있는 방식으로 연결되어 있다.
외부 인증은 특별한 시스템, 한 세트의 프로그램 및 장치 또는 시스템에 관한 사용자의 인증을 독립적으로 수행할 수 있는 전자 서비스, 그리고 데이터 채널로부터 분리되어 있고 정보 전송을 위해 데이터 채널을 사용하지 않는 데이터 채널의 비-인증 공유 비밀로부터 파생된 데이터의 인증을 포함하는 다른 인증된 보안 동작이다.
외부 통신 수단은 예를 들어, QR 코드의 스캔과 디스플레이를 사용하는 쉽고 직감적으로 수행할 수 있는 광통신, 단거리에서의 무선 통신 기술, 광통신, 로컬 네트워크, 장치 내장형 내부 통신 또는 예를 들어 서비스 제공자의 내부 네트워크 또는 보안 원격 통신에 관한 클라우드 서비스 제공자의 내부 보호된 네트워크와 같은 다른 보통의 적절한 수단과 같은 로컬 통신 기술을 사용할 수 있다.
비-인증 공유 비밀로부터 파생된 데이터의 인증은 예를 들어, 비-인증 공유 비밀로부터 파생된 데이터로부터 전개된 도함수와 사용자 및/또는 시스템의 인증된 비밀의 비교에 기반하여 외부 인증 시스템을 사용하여 수행될 수 있거나; 외부 인증을 사용하는 사용자 및/또는 시스템의 인증 도중에 인증된 일시적인 서명 키를 사용하는 암호화 서명을 거쳐 외부 인증 시스템을 사용하여 수행될 수 있거나; 외부 인증 시스템을 사용하는 사용자 및/또는 시스템의 인증 도중에 인증된 일시적인 암호화 키를 사용하는 암호화함으로써 외부 인증 시스템을 사용하여 수행될 수 있거나; 비-인증 공유 비밀로부터 파생된 데이터로부터 전개된 도함수와 외부 인증 시스템을 사용하는 사용자 및/또는 시스템의 인증 도중에 인증된 일시적인 비밀의 비교에 의해 외부 인증 시스템을 사용하여 수행될 수 있거나; 데이터 채널의 비-인증 공유 비밀로부터 파생된 핸드 오버 데이터가 질의-응답 식의 인증 프로토콜을 사용하는 동안 질의를 대체하는 방식으로 사용자의 인증을 위해 데이터 채널의 비-인증 공유 비밀로부터 파생된 핸드 오버 데이터가 외부 인증 시스템에 의해 사용되는 방식으로 외부 인증 시스템을 사용하여 수행될 수 있다. 이 방식에서 그 공유 비밀에 관한 데이터 채널도 인증될 수 있는데, 즉, 외부 인증 시스템뿐만 아니라 데이터 채널의 양쪽 종료점에서 시스템에 관한 사용자가 인증된다.
인증의 결과는 결과적으로 외부 인증(인증 시스템/서비스)을 지나 인증된 사용자 또는 시스템뿐만 아니라 데이터 채널의 다른 측면상의 사용자 또는 시스템상의 관련 정보를 포함하는 목표 애플리케이션으로 전달된다.
데이터 채널의 비-인증 공유 비밀로부터 파생된 데이터의 연속적인 인증 순간부터, 데이터 채널은 인증되고, 그것은 목표 애플리케이션의 인증된 사용자와 안전하게 통신하기 위해 인증된 목표 애플리케이션에 의해 사용될 수 있는 보안 인증 데이터 채널이 된다.
사용자는 관련 전자 장치뿐만 아니라 전자 시스템 또는 전자 장치 자체를 사용하는 실제 인간을 의미한다.
본 발명에 따르면 전술한 목적을 달성할 수 있다.
도 1은 본 발명의 제1 실시예에 따른 외부 인증(외부 인증 시스템(2))을 사용하는 보안 데이터 채널(1)의 인증 방식을 나타내는 개략도이다.
도 2는 본 발명의 제2 실시예에 따른 외부 인증(외부 인증 시스템(2))을 사용하는 보안 데이터 채널(1)의 인증 방식을 나타내는 개략도이다.
도 3은 본 발명의 제3 실시예에 따른 외부 인증(외부 인증 시스템(2))을 사용하는 보안 데이터 채널(1)의 인증 방식을 나타내는 개략도이다.
도 4는 본 발명의 제4 실시예에 따른 외부 인증(외부 인증 시스템(2))을 사용하는 보안 데이터 채널(1)의 인증 방식을 나타내는 개략도이다.
실시예 1
보안 데이터 채널의 인증 방식은 예를 들면 제1측면(side A)과 제2측면(side B) 사이의 비-인증 보호된 데이터 채널(1, data channel)이 생성되는 방식으로 수행될 수 있으며, 외부 인증 시스템(2)을 사용할 수 있는 방식으로 수행될 수 있다. 데이터 채널(1)은 제1측면(A) 상의 데이터 채널의 종료점(3, ending)과 제2측면(B) 상의 데이터 채널의 종료점(4)에 의해서, 양측 상에서 종료된다(terminated).
데이터 채널(1)의 제1측면(A) 및 제2측면(B)과, 외부 인증 시스템(2)의 제1측면(A) 및 제2측면(B)은 광역 또는 지역 네트워크, 예컨대 인터넷(10)을 통해 연결할 수 있다.
데이터 채널(1)의 양 종료점(3,4)은 이용가능한 비밀 정보 - 공유 비밀(5, shared secret)을 가지고 있는데, 이는 예컨대, 키-합의의 암호 알고리즘(cryptographic algorithm)을 사용함으로써, 비-인증 공유 비밀의 생성의 통상 절차에 기반하여 전개(developed)된다. 공유 비밀(5)은 데이터 채널(1)에 의해 전송(transferred)되는 데이터의 보안을 조정(arrangement)하기 위해서, 데이터 채널(1)의 양 종료점(3,4)에 의한 통상 방식으로 사용된다. 그러나 이 순간, 지금 아무 인증도 수행하지 않았기 때문에, 올바른 대상(subject)으로부터 데이터가 오는 것, 또는 올바른 대상에 도달하는 것이 입증되지 않는다.
데이터 채널(1)의 인증의 조정을 위해서, 제1측면(A)에 있는 데이터 채널(1)의 종료점(3)에 의해 공유된 비밀(5)의 도함수(6, derivate)가 계산되는 제1측면(A)의 목표 애플리케이션(7, target application)의 요청에 의한 방식과, 제2측면(B)에 있는 데이터 채널(1)의 종료점(4)에 의해 공유된 비밀(5)의 도함수(6)가 계산되는 제2측면(B)의 목표 애플리케이션(8)의 요청에 의한 방식으로, 데이터 채널(1)의 관련 있는 종료점(3,4)이 공유 비밀(5)로부터 공유 비밀(5)의 도함수(6)를 계산하는 방식으로 외부 인증 시스템(2)이 사용된다. 계산의 방식은 데이터 채널(1)의 양 종료점(3,4)에 의해 계산된 공유 비밀(5)의 양 도함수(6)가, 공유 비밀(5)이 동일하게 되는 경우와 동일한 값을 가지는 것을 보장(guarantees)한다. 계산은 예컨대 HASH 또는 HMAC 타입의 통상의 비대칭 의사-랜덤 알고리즘(asymmetrical pseudo-random algorithms)을 사용하여 수행될 수 있다. 공유 비밀(5)의 도함수(6)는 결과적으로 외부 인터페이스(15)를 통해 외부 인증 시스템(2)에 통과되는데, 이는 데이터 채널(1)의 공유 비밀(5)의 도함수(6)의 인증을 포함하는 커뮤니케이션의 양 사이드의 인증을 실질적으로 수행한다. 이런 방식으로, 커뮤니케이션의 사이드들에 관련되어 데이터 채널(1)의 인증을 수행하고, 올바른 서브젝트로부터 오는 데이터 채널(1)을 통과하여 전송된 데이터든, 올바른 서브젝트에 전송되는 것이든지 제공된다.
공유 비밀의 도함수(6)는, 제1측면(A) 상의 데이터 채널(1)의 종료점(3)에 의해 계산된 공유 비밀(5)의 도함수(6)의 요청시, 제1측면(A) 상의 데이터 채널(1)의 종료점(3)이 공유 비밀(5)의 도함수(6)를 제1측면(A) 상의 목표 애플리케이션(7)으로 전달하는 방식으로 외부 인증 시스템(2)에 전달되고, 제1측면(A) 상의 목표 애플리케이션(7)은 공유 비밀(5)의 도함수(6)를 외부 인터페이스(15)를 통해 외부 통신 수단을 거쳐 제1측면(A) 상의 외부 인증 시스템(2)의 측면(11)으로 전달한다. 유사하게, 제2측면(B) 상의 데이터 채널(1)의 종료점(4)은, 제2 측면(B) 상의 데이터 채널(1)의 종료점(4)에 의해 계산된 공유 비밀(5)의 도함수의 요청시, 공유 비밀(5)의 도함수(6)를 제2측면(B) 상의 목표 애플리케이션(8)으로 전달하고, 제2측면(B) 상의 목표 애플리케이션(8)은 공유 비밀(5)의 도함수(6)를 외부 통신 수단을 거쳐 제2측면(B) 상의 외부 인증 시스템(2)의 측면(12)으로 전달한다.
외부 인터페이스(15)를 통해 공유 비밀(5)의 도함수(6)의 외부 통신 수단을 거쳐 핸드오버(hand over)하는 방식은, 데이터 채널(1)의 바깥이며, 이는 무선 통신 기술과 같이 지역 통신 기술을 단거리, 광통신, 지역 통신망, 또는 인터넷 통신망 서비스 공급자와 같은 다른 통상의 적당한 수단에 사용하는 것과 같은 통상의 방식으로 수행된다. 공유 비밀(5)의 도함수(6)의 전송의 보호 방식 및 외부 인증 시스템(2)의 사용 방식은 적절한 측면 상의 목표 애플리케이션(7,8)이 외부 인증 시스템(2)으로 동일한 사용자에 의해 사용되는 보안의 레벨을 조정한다.
따라서, 인증의 결과(13)는 제1측면(A) 상의 인증된 사용자나 시스템뿐만 아니라 제2측면(B) 상의 사용자(또는 시스템)의 다른 적절한 정보를 포함하는 목표 애플리케이션에 전달된다.
실시예 2
보안 데이터 채널의 인증의 다른 방식은, 예컨대 인증 옵션을 사용하지 않는 RFC 5246에 따른 TLS와 같이 암호화된 데이터 채널의 일반적으로 사용 가능한 실행(implementation)을 사용함으로써, 첫째로 제1 및 제2 측면(A,B) 사이의 비-인증 보호된 데이터 채널(1)이 전개되는 방식으로 수행될 수 있으며, 외부 인증 시스템을 사용할 수 있는 방식으로 수행될 수 있다. 데이터 채널(1)은 제1측면(A) 상의 데이터 채널의 종료점(3) 및 제2측면(B) 상의 데이터 채널의 종료점(4)에 의해 양 측면 상에서 종료된다. 데이터 채널(1)의 양 종료점(3,4)은, 예컨대, 키-합의의 암호 알고리즘을 사용함으로써, 비-인증 공유 비밀의 생성의 통상 절차에 기반하여 생성된, 비밀 정보 - 공유 비밀을 사용할 수 있다. 공유 비밀(5)은 데이터 채널(1)에 의해 전송되는 데이터의 보안을 조정하기 위해서, 데이터 채널(1)의 양 종료점(3,4)에 의한 통상 방식으로 사용된다. 그러나 이 순간, 지금 아무 인증도 수행하지 않았기 때문에, 올바른 대상으로부터 데이터가 오는 것, 또는 올바른 대상에 도달하는 것이 입증되지 않는다.
그 다음에, 제1측면(1) 상의 목표 애플리케이션(7)은, 목표 애플리케이션의 데이터(9)로서 제1측면(A) 상의 데이터 채널(1)의 종료점(3)으로 전송되어서, 공유 비밀(5)을 사용하여 데이터 채널에 의해 암호화된 형태로 전달되고, 제2측면(B) 상의 데이터 채널(1)의 종료점(4)에 의해 해독되며, 제2측면(B) 상의 목표 애플리케이션(8)으로 전달된다.
목표 애플리케이션의 전송된 데이터(9)는 예컨대, 외부 인증 시스템 - 측면(11)의 통신망 주소, 인증된 세션의 식별자, 또는 예컨대, 일반적으로 사용된 "임시(nonce)" 즉, 높은 엔트로피를 지닌 추가 정보와 같은, 보안의 개선을 위해 디자인된 다른 정보와 같이, 외부 인증 시스템(2)의 정확한 기능에 요구된 기술적 정보를 포함할 수 있다.
적절한 측면 상에서 항상, 그 데이터로부터 추가 데이터(14)를 형성하는 방식으로, 제1측면(A) 상의 목표 애플리케이션(7)은 전송을 위해 디자인된 데이터(9)를 처리하고, 제2측면(B) 상의 목표 애플리케이션(8)은 전송된 데이터(9)를 처리한다. 계산의 방식은, 전송된 데이터(9)가 정확하게 전송되고, 해독되는 경우, 양 목표 애플리케이션(7,8)에 의해 계산된 양 추가 데이터(14)가 똑같은 값을 가진다.
데이터 채널(1)의 인증의 조정을 위해서, 데이터 채널(1)의 적절한 종료점(3,4)이 공유 비밀(5)의 도함수(6)를 공유 비밀(5) 및 추가 데이터(14)로부터 계산하는 방식으로, 외부 인증 시스템(2)이 사용되는데, 이는 제1측면(A) 상의 목표 애플리케이션의 요청시, 제1측면(A) 상의 데이터 채널의 종료점(3)에 의해서 공유 비밀(5)의 도함수(6)가 계산되는, 제1측면(A) 상의 목표 애플리케이션(7)에 의해 생성된 추가 데이터(14)를 전달하는 방식으로 완료되며, 제2 측면 상의 목표 애플리케이션(8)의 요청시, 제2측면(B)의 데이터 채널의 종료점(4)에 의해서 공유 비밀(5)의 도함수(6)가 계산되는, 제2측면(B) 상의 데이터 채널의 종료점(4)에 의해 전개된 추가 데이터(14)를 전달하는 방식으로 완료된다. 계산의 방식은, 데이터 채널의 양 종료점(3,4)에 의해 계산된 공유 비밀(5)의 양 도함수(6)가, 동일하게 되는 모든 입력부가 동일하게 되는 경우와 동일한 값을 가지는 것을 보장한다. 계산은 예를 들면, RFC 5705(Keying Material Exporters for Transport Layer Security(TLS))에 따른 절차를 사용하는, 예컨대 HASH 또는 HMAC 타입의 통상의 비대칭 의사-랜덤 알고리즘을 사용하여 수행될 수 있다.
그 결과, 공유 비밀(5)의 도함수(6)는 외부 인터페이스(15)를 통해 외부 인증 시스템(2)에 전달되는데, 따라서 이는 데이터 채널(1)의 공유 비밀(5)의 도함수(6)의 인증을 포함하는, 통신의 측면의 인증을 수행한다. 이 방식에서, 올바른 소스로부터 오는 데이터 채널을 통해 전송된 데이터든, 그들이 올바른 서브젝트에 전달되든지 간에, 통신의 측면들과 관련되어 데이터 채널(1)의 인증이 수행된다.
공유 비밀의 도함수(6)는, 공유 비밀(5)의 도함수(6)가 제1측면(A) 상의 데이터 채널(1)의 종료점(3)에 의해 계산될 시, 제1측면(A) 상의 데이터 채널의 종료점(3)이 공유 비밀(5)의 도함수(6)를 제1측면(A) 상의 목표 애플리케이션(7)으로 전달하는 방식으로 외부 인증 시스템(2)에 전달되고, 제1측면(A) 상의 목표 애플리케이션(7)은 외부 인터페이스(15)를 통해 외부 통신 수단을 거쳐 공유 비밀(5)의 도함수(6)를 제1측면(A) 상의 외부 인증 시스템(11)으로 전달한다. 유사하게, 제2측면(B) 상의 데이터 채널(1)의 종료점(4)은, 제2 측면(B) 상의 데이터 채널(1)의 종료점(4)에 의해 계산된 공유 비밀(5)의 도함수의 요청시, 공유 비밀(5)의 도함수(6)를 제2측면(B) 상의 목표 애플리케이션(8)으로 전달하고, 제2측면(B) 상의 목표 애플리케이션(8)은 공유 비밀(5)의 도함수(6)를 외부 통신 수단을 거쳐 제2측면(B) 상의 외부 인증 시스템(12)으로 전달한다.
외부 인터페이스(15)를 통해 공유 비밀(5)의 도함수(6)의 외부 통신 수단에 의해 핸드오버하는 방식은, 데이터 채널(1)의 바깥이며, 이는 예컨대 원격 통신을 각각 보장하는, 지역 통신의 기술, QR 코드의 스캔 및 표시와 같이, 쉽고 직감적으로 수행가능한 광학 수단, 장치에 빌트인된 내부 통신, 또는 "클라우드(cloud)" 서비스 제공자의 내부 보호 통신망 등을 사용함으로써 통상의 방식으로 수행될 수 있다.
실시예 3
보안된 데이터 채널의 인증의 다른 방식은 전술한 설명과 유사하게, 처음에 제1 및 제2 측면(A,B) 사이의 비-인증 보호된 데이터 채널(1)이 전개되는 방식으로 수행될 수 있는데, 데이터 채널의 양 종료점(3,4)은 비-인증 비밀 정보-보안 비밀(5)을 사용할 수 있다.
게다가, 제1측면(A) 상의 목표 애플리케이션(7)은 전술한 실시예의 추가 데이터의 경우와 유사하게, 적절한 측면 상의 추가 데이터(16)가 항상 전개되는 것으로부터, 목표 애플리케이션의 데이터(9)를 제1측면(A) 상의 데이터 채널(1)의 종료점(3)에 전송하는 것을 추가하며, 이는 데이터 채널(1)을 거쳐 암호화된 형태로 전달된다. 데이터 채널(1)의 인증의 조정을 위해서, 제1측면(A)의 목표 애플리케이션(7)의 요청시, 제1측면(A) 상의 데이터 채널(1)의 종료점(3)에 의해 공유 비밀(5)의 도함수(6)가 계산되고, 제2측면(B)의 목표 애플리케이션(8)의 요청시, 제2측면(B)의 데이터 채널(1)의 종료점(4)에 의해 공유 비밀(5)의 도함수(6)가 계산되는 방식으로, 데이터 채널의 적절한 종료점(3,4)이 공유 비밀(5)로부터 공유 비밀(5)의 도함수(6)를 계산하는 방식으로 외부 인증 시스템(2)이 사용된다.
따라서, 제1 및 제2 측면(A,B) 상의 목표 애플리케이션(7,8)은 추가 데이터(16)를 사용하여 공유 비밀(5)의 도함수(6)의 수정을 수행하고, 그들은 공유 비밀(5)의 수정된 도함수(6)를 제1 및 제2측면(A,B) 상의 외부 인증 시스템(11,12)에 전달한다. 도함수(6)의 수정은 통상적으로 사용되는 수학적 알고리즘을 사용하여 수행될 수 있다. 예를 들면, 그것은 HASH 또는 HMAC 타입 또는 연결(concatenation)의 통상의 비대칭 의사-랜덤 알고리즘을 사용하는 것이 가능하다.
계산의 선택된 방법은 공유 비밀(5)의 원래 도함수(6) 및 추가 데이터(16)를 사용하여, 제1측면(A) 상의 목표 애플리케이션(7)에 의해, 제2측면(B) 상의 목표 애플리케이션(8)의해 수행된 공유 비밀(5)의 도함수(6)의 수정이, 입력부의 모든 값이 동일해지는 경우 같은 값을 가진다는 것을 보장한다.
데이터 채널의 인증을 위해서, 전술한 실시예와 같은 유사한 방식으로 공유 비밀(5)의 수정된 도함수(6)가 사용된다.
실시예 4
보안된 데이터 채널의 인증의 방식은 또한 전술한 설명과 유사하게, 데이터 채널(1)의 양 종료점(3,4)이 비밀 정보-공유 비밀(5)을 사용할 수 있는 경우, 먼저 제1 및 제2 측면(A,B) 사이에 비-인증 보호된 데이터 채널(1)이 전개되는 방식으로 수행될 수 있다.
그 다음, 제1측면(A) 상의 외부 인증 시스템(11)은 추가 데이터(16), 즉, 제1측면(A) 상의 외부 인증 시스템(11)의 통신망 주소, 인증된 세션의 식별자, 또는 예컨대, 일반적으로 사용된 "임시(nonce)" 즉, 높은 엔트로피를 지닌 추가 정보와 같은, 보안의 개선을 위해 디자인된 다른 정보와 같이, 외부 인증 시스템(2)의 정정 기능을 위해 요구된 기술 정보의 일부를 전개한다.
추가 데이터(16)는 제1측면(A) 상의 외부 인증 시스템(11)에 의해 제1측면(A) 상의 외부 인터페이스(15)를 통하여 제1측면(A) 상의 목표 애플리케이션(7)으로 전달되며, 이는 -가능한 완료 또는 수정 후에- 목표 애플리케이션의 데이터(9)로서 제1측면(A) 상의 데이터 채널(1)의 종료점(3)으로 전송되어서, 공유 비밀(5)을 사용하여 데이터 채널을 거쳐 암호화된 형태로 전달되고, 제2측면(B) 상의 데이터 채널(1)의 종료점(4)에 의해 해독되며, 제2측면(B) 상의 목표 애플리케이션(8)으로 핸드오버된다.
제2측면(B) 상의 목표 애플리케이션(8)은 전달된 정보로부터 추가 데이터(16)를 생성하는 방식으로 전달된 정보를 처리한다. 일반적으로 사용된 마그네틱 알고리즘을 사용하는 것이 가능하다. 계산의 방식이 양 추가 데이터(16), 즉, 정확한 방식으로 전달되고 해독될 전달된 정보인 경우 동일값을 가지는 제1측면(A) 상의 외부 인증 시스템(11)에 의해 생성된 추가 데이터(16) 및 제2측면(B) 상의 목표 애플리케이션(8)에 의해 생성된 추가 데이터(16)를 보장하는 것이 가능하다.
데이터 채널(1)의 인증의 조정을 위해서, 제1측면(A) 상의 목표 애플리케이션(7)의 요청에 기반하여, 제1측면(A) 상의 데이터 채널의 종료점(3)에 의해 공유 비밀(5)의 도함수(6)가 계산되고, 이는 아무 변화 없이 외부 인터페이스(15)를 통하여 제1측면(A) 상의 외부 인증 시스템(11)로 전달되는 방식으로 외부 인증 시스템(2)이 사용된다. 제1측면(A) 상의 외부 인증 시스템(11)은, 제1측면(A) 상의 외부 인증 시스템(11)에 의해 미리 전개되고, 제1측면(A) 상의 목표 애플리케이션(7)으로 전달된, 추가 데이터(16)를 사용하여 공유 비밀(5)의 도함수(6)의 수정을 수행한다.
제2측면(B) 상의 목표 애플리케이션(8)의 요청시, 제2측면(B) 상의 데이터 채널(1)의 종료점(4)에 의해서 공유 비밀(5)의 도함수(6)가 계산된다. 이는 제2측면(B) 상의 목표 애플리케이션(8)으로 전달되는데, 이곳에서 추가 데이터(16)를 사용하여 공유 비밀(5)의 도함수(6)의 수정을 수행하고, 외부 인터페이스(15)를 통하여 제2측면(B) 상의 외부 인증 시스템(12)으로 공유 비밀(5)의 수정된 도함수(6)를 전달한다.
선택된 계산 방법은 공유 비밀(5)의 원래 도함수(6)를 사용하여 제2측면(B) 상의 목표 애플리케이션(8)에 의해 수행된 공유 비밀(5)의 도함수(6)의 수정을 보장하며, 추가 데이터(16)는 모든 입력부가 동일하게 되는 경우, 제1측면(A) 상의 외부 인증 시스템(11)에 의해서 계산된 수정과 같은 값을 갖는다.
데이터 채널의 인증을 위해서, 전술한 실시예와 같은 유추 방식으로 공유 비밀(5)의 수정된 도함수(6)가 사용된다.
실시예 5
외부 인증을 사용하는 보안 데이터 채널(1)의 인증의 다른 방식은 예컨대, 제1측면(A) 상의 데이터 채널(1)의 종료점(3)이 제1측면(A) 상의 목표 애플리케이션(7)의 내부 부분으로서 수행되고, 제2측면(B) 상의 데이터 채널의 종료점(4)이 제2측면(B) 상의 목표 애플리케이션(8)의 내부 부분으로서 수행되는 방식으로 수행될 수 있다. 이 실시예에서 적절한 데이터는 전술한 실시예들에서 설명된 바와 같은 유사한 방식으로 목표 애플리케이션의 내에서 수행된다.
실시예 6
외부 인증 시스템(2)을 사용하는 데이터 채널(1)의 비-인증 공유 비밀(5)로부터 파생된 전달된 데이터의 인증의 방식은 예를 들면 다음과 같이 수행될 수 있다.
- 인증된 비밀에 의해서 데이터 채널(1)의 비-인증 공유 비밀(5)로부터 파생된 전달된 데이터의 암호 서명을 사용하여 수행되거나,
- 인증된 비밀에 의해서 데이터 채널(1)의 비-인증 공유 비밀(5)로부터 파생된 전달된 데이터의 암호화를 사용하여 수행되거나,
- 데이터 채널(1)의 비-인증 공유 비밀(5) 및 사용자의 인증을 위해 외부 인증 시스템(2)으로 사용된 인증된 비밀로부터 파생된 데이터로부터 계산된 도함수에 의해 수행될 수 있다. 이 방식에서, 사용자의 인증 및 데이터 채널의 인증에 암호로 연결된다.
실시예 7
외부 인증 시스템(2)을 사용하는 데이터 채널의 비-인증 공유 비밀로부터 파생된 전달된 데이터의 인증의 방식은 예를 들면 다음과 같이 수행될 수 있다.
- 일시적으로 인증된 비밀에 의해서 데이터 채널(1)의 비-인증 공유 비밀(5)로부터 파생된 전달된 데이터의 암호 서명을 사용하여 수행되거나,
- 일시적으로 인증된 비밀에 의해서 데이터 채널(1)의 비-인증 공유 비밀(5)로부터 파생된 전달된 데이터의 암호화를 사용하여 수행되거나,
- 데이터 채널(1)의 비-인증 공유 비밀(5) 및 사용자의 인증을 위해 외부 인증 시스템(2)으로 사용된 일시적으로 인증된 비밀로부터 파생된 데이터로부터 계산된 도함수에 의해 수행될 수 있다. 이 방식에서, 사용자의 인증 및 데이터 채널의 인증은 암호로 연결된다.
실시예 8
마지막으로, 외부 인증 시스템(2)을 사용하는 데이터 채널(1)의 비-인증 공유 비밀(5)로부터 파생된 전달된 데이터의 인증 방식은 예를 들면, 질의-응답(challenge-response)식의 인증 프로토콜을 사용하여 질의를 대체하는 방식으로, 사용자를 인증하기 위해 데이터 채널(1)의 비-인증 공유 비밀(5)로부터 파생된 부여된 데이터가 외부 인증 시스템(2)에 의해 사용되는 방식으로 수행될 수 있다. 이 방식에서, 사용자의 인증 및 데이터 채널의 인증은 암호로 연결된다.
산업상 이용 가능성
본 발명은 인증된 보안 데이터 채널의 어떠한 필요 분야에서 사용될 수 있다.
1 : 데이터 채널
2 : 외부 인증 시스템
3, 4 : 종료점
5 : 공유 비밀
6 : 도함수(Derivate)
7, 8 : 목표 애플리케이션
14, 16 : 추가 데이터
15 : 외부 인터페이스

Claims (15)

  1. 두 측면(A, B) 사이의 보안 데이터 채널 인증 방법에 있어서,
    제1측면(A) 상에 데이터 채널(1)의 종료점(3)과 다른 측면(B) 상에 데이터 채널(1)의 종료점(4)을 구비하고, 제1 측면(A) 상에 목표 애플리케이션(7)을 갖고 다른 측면(B) 상에 목표 애플리케이션(8)을 갖는 비-인증 보호된 데이터 채널(1)이 처음에 설정될 때, 종료점(3 및 4)은 비-인증 공유 비밀(5)을 갖고, 결과적으로, 데이터 채널(1)의 양 측면(A, B) 상에서, 비-인증 공유 비밀(5)로부터 파생된 데이터를 계산한 다음, 비-인증 공유 비밀(5)로부터 파생된 데이터는 데이터 채널(1) 외부의 외부 통신 수단을 거쳐, 데이터 채널(1)의 인증을 포함하는 통신 측면(A, B)의 인증을 결과적으로 수행하는 외부 인증 시스템(2)의 두 측면(11, 12)으로 전달되는 것을 특징으로 하는 보안 데이터 채널 인증 방법.
  2. 제1항에 있어서,
    비-인증 공유 비밀(5)로부터 파생된 데이터는
    종료점(3 및 4)이 비-인증 공유 비밀(5)의 도함수(6)를 계산하거나 종료점(3 및 4)이 비-인증 공유 비밀(5) 및 추가 데이터(14)로부터 도함수(6)를 계산하고;
    도함수(6)는 추가 데이터(16)에 의해 가능하면 추가로 수정되는 방식으로 획득되는 것을 특징으로 하는 보안 데이터 채널 인증 방법.
  3. 제2항에 있어서,
    비-인증 공유 비밀(5)의 도함수(6)의 수정은 데이터 채널(1)의 종료점(3 및 4), 목표 애플리케이션(7, 8), 및 외부 인증 시스템(2)의 측면(11, 12)을 포함하는 그룹으로부터 선택되는 적어도 하나의 구성요소에 의해 독립적으로 각각의 측면(A, B)상에서 생성되는 것을 특징으로 하는 보안 데이터 채널 인증 방법.
  4. 제2항에 있어서,
    추가 데이터(14) 및/또는 보충 데이터(16)는 데이터 채널(1)의 종료점(3 및 4), 목표 애플리케이션(7, 8), 및 외부 인증 시스템(2)의 측면(11, 12)을 포함하는 그룹으로부터 선택되는 적어도 하나의 구성요소에 의해 독립적으로 각각의 측면(A, B)상에서 생성되는 것을 특징으로 하는 보안 데이터 채널 인증 방법.
  5. 제2항에 있어서,
    비-인증 공유 비밀(5)로부터 파생된 데이터는 종료점(3 및 4)이 비-인증 공유 비밀(5)의 도함수(6)를 계산하는 방식으로 획득되는 것을 특징으로 하는 보안 데이터 채널 인증 방법.
  6. 제2항에 있어서,
    비-인증 공유 비밀(5)로부터 파생된 데이터는 종료점(3 및 4)이 비-인증 공유 비밀(5) 및 추가 데이터(14)의 도함수를 계산하는 방식으로 획득되는 것을 특징으로 하는 보안 데이터 채널 인증 방법.
  7. 제2항에 있어서,
    비-인증 공유 비밀(5)로부터 파생된 데이터는 종료점(3 및 4)이 비-인증 공유 비밀(5)의 도함수(6)를 계산하고, 결과적으로 목표 애플리케이션(7 및 8)의 도함수를 추가 데이터(16)를 사용하여 수정하는 방식으로 획득되는 것을 특징으로 하는 보안 데이터 채널 인증 방법.
  8. 제2항에 있어서,
    비-인증 공유 비밀(5)로부터 파생된 데이터는 비-인증 공유 비밀(5) 및 추가 데이터(14)의 도함수를 계산하고, 결과적으로 목표 애플리케이션(7 및 8)이 추가 데이터(16)를 사용하여 도함수를 수정하는 방식으로 획득되는 것을 특징으로 하는 보안 데이터 채널 인증 방법.
  9. 제1항에 있어서,
    비-인증 공유 비밀(5)로부터 파생된 데이터의 인증은 사용자 및/또는 시스템의 인증 서명 키를 사용하는 암호화 서명을 사용하는 외부 인증 시스템(2)을 사용하여 수행되는 것을 특징으로 하는 보안 데이터 채널 인증 방법.
  10. 제1항에 있어서,
    비-인증 공유 비밀(5)로부터 파생된 데이터의 인증은 사용자 및/또는 시스템의 인증된 암호화 키를 사용하는 암호화에 의해 외부 인증 시스템을 사용하여 수행되는 것을 특징으로 하는 보안 데이터 채널 인증 방법.
  11. 제1항에 있어서,
    비-인증 공유 비밀(5)로부터 파생된 데이터의 인증은 비-인증 공유 비밀(5)로부터 파생된 데이터로부터 생성된 도함수와 사용자 및/또는 시스템의 인증된 비밀을 비교함으로써 외부 인증 시스템(2)을 사용하여 수행되는 것을 특징으로 하는 보안 데이터 채널 인증 방법.
  12. 제1항에 있어서,
    비-인증 공유 비밀(5)로부터 파생된 데이터의 인증은 사용자 및/또는 시스템 및/또는 외부 인증 시스템(2)을 사용하는 시스템의 일시적으로 인증된 서명 키를 사용하는 암호화 서명을 사용하는 외부 인증 시스템(2)을 사용하여 수행되는 것을 특징으로 하는 보안 데이터 채널 인증 방법.
  13. 제1항에 있어서,
    비-인증 공유 비밀(5)로부터 파생된 데이터의 인증은 사용자 및/또는 시스템의 인증 도중에 인증된 일시적인 암호화 키를 사용 및/또는 외부 인증 시스템을 사용하는 암호화에 의해 외부 인증 시스템을 사용하여 수행되는 것을 특징으로 하는 보안 데이터 채널 인증 방법.
  14. 제1항에 있어서,
    비-인증 공유 비밀(5)로부터 파생된 데이터의 인증은 비-인증 공유 비밀(5)로부터 파생된 데이터로부터 생성된 도함수와 외부 인증 시스템(2)을 사용하는 시스템 및/또는 사용자의 일시적으로 인증된 비밀을 비교함으로써 외부 인증 시스템(2)을 사용하여 수행되는 것을 특징으로 하는 보안 데이터 채널 인증 방법.
  15. 제1항에 있어서,
    비-인증 공유 비밀(5)로부터 파생된 데이터의 인증은 외부 인증 시스템(2)을 사용하여, 데이터 채널(1)의 비-인증 공유 비밀(5)로부터 파생되어 넘겨진 데이터는 질의-응답식의 인증 프로토콜을 사용하여 질의를 치환하는 방식으로 사용자를 인증하기 위해 외부 인증 시스템(2)에 의해 사용되는 방식으로 외부 인증 시스템(2)을 사용하여 수행되는 것을 특징으로 하는 보안 데이터 채널 인증 방법.
KR1020157036277A 2013-05-22 2014-05-21 공유 비밀을 암시하는 보안 데이터 채널 인증 KR20160013135A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CZPV2013-373 2013-05-22
CZ2013-373A CZ2013373A3 (cs) 2013-05-22 2013-05-22 Způsob autentizace bezpečného datového kanálu
PCT/CZ2014/000058 WO2014187436A1 (en) 2013-05-22 2014-05-21 Secured data channel authentication implying a shared secret

Publications (1)

Publication Number Publication Date
KR20160013135A true KR20160013135A (ko) 2016-02-03

Family

ID=51211457

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020157036277A KR20160013135A (ko) 2013-05-22 2014-05-21 공유 비밀을 암시하는 보안 데이터 채널 인증

Country Status (9)

Country Link
US (1) US10091189B2 (ko)
EP (1) EP3000216B1 (ko)
JP (1) JP2016522637A (ko)
KR (1) KR20160013135A (ko)
CN (1) CN105612728B (ko)
BR (1) BR112015028638A2 (ko)
CZ (1) CZ2013373A3 (ko)
RU (1) RU2645597C2 (ko)
WO (1) WO2014187436A1 (ko)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CZ2013373A3 (cs) 2013-05-22 2014-12-03 Anect A.S. Způsob autentizace bezpečného datového kanálu
CZ309308B6 (cs) 2013-07-12 2022-08-17 Aducid S.R.O. Způsob zadávání tajné informace do elektronických digitálních zařízení
CZ2015472A3 (cs) 2015-07-07 2017-02-08 Aducid S.R.O. Způsob navazování chráněné elektronické komunikace, bezpečného přenášení a zpracování informací mezi třemi a více subjekty
JP2018023029A (ja) * 2016-08-04 2018-02-08 株式会社 エヌティーアイ 通信システム、通信用クライアント、通信用サーバ、通信方法、プログラム
CZ307156B6 (cs) * 2016-12-23 2018-02-07 Aducid S.R.O. Způsob vícefaktorové autentizace
CZ2020271A3 (cs) 2020-05-14 2021-11-24 Aducid S.R.O. Programový systém a způsob autentizace
CZ2021366A3 (cs) 2021-08-04 2023-02-15 Aducid S.R.O. Systém a způsob pro řízený přístup k cílové aplikaci

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7386878B2 (en) * 2002-08-14 2008-06-10 Microsoft Corporation Authenticating peer-to-peer connections
JP4430915B2 (ja) * 2003-10-09 2010-03-10 日本電信電話株式会社 タグ装置、個人認証装置、リーダー装置、タグ認証方法及びプログラム
US20050120213A1 (en) * 2003-12-01 2005-06-02 Cisco Technology, Inc. System and method for provisioning and authenticating via a network
US7761710B2 (en) * 2005-04-05 2010-07-20 Mcafee, Inc. Captive portal system and method for use in peer-to-peer networks
US7814538B2 (en) * 2005-12-13 2010-10-12 Microsoft Corporation Two-way authentication using a combined code
JP4978166B2 (ja) * 2006-11-21 2012-07-18 ソニー株式会社 発券管理システム,提供サーバ及び利用管理サーバ
JP4963425B2 (ja) * 2007-02-23 2012-06-27 日本電信電話株式会社 セッション鍵共有システム、第三者機関装置、要求側装置、および応答側装置
RU2367007C2 (ru) * 2007-08-30 2009-09-10 Станислав Антонович Осмоловский Способ передачи и комплексной защиты информации
US8776176B2 (en) * 2008-05-16 2014-07-08 Oracle America, Inc. Multi-factor password-authenticated key exchange
US8156334B2 (en) * 2008-08-12 2012-04-10 Texas Instruments Incorporated Public key out-of-band transfer for mutual authentication
US8260883B2 (en) * 2009-04-01 2012-09-04 Wimm Labs, Inc. File sharing between devices
JP2012060366A (ja) * 2010-09-08 2012-03-22 Nec Corp 通信システム、通信方法、およびコンピュータ・プログラム
JP5889525B2 (ja) * 2010-12-21 2016-03-22 パナソニックIpマネジメント株式会社 認証システム
CZ2013373A3 (cs) 2013-05-22 2014-12-03 Anect A.S. Způsob autentizace bezpečného datového kanálu

Also Published As

Publication number Publication date
JP2016522637A (ja) 2016-07-28
EP3000216A1 (en) 2016-03-30
CZ2013373A3 (cs) 2014-12-03
RU2645597C2 (ru) 2018-02-21
CN105612728A (zh) 2016-05-25
BR112015028638A2 (pt) 2017-07-25
CN105612728B (zh) 2019-04-23
US10091189B2 (en) 2018-10-02
WO2014187436A1 (en) 2014-11-27
RU2015150542A (ru) 2017-06-27
EP3000216B1 (en) 2018-01-31
US20160119317A1 (en) 2016-04-28

Similar Documents

Publication Publication Date Title
US11757662B2 (en) Confidential authentication and provisioning
RU2715163C1 (ru) Способ, устройство и система передачи данных
EP2905719B1 (en) Device and method certificate generation
US20150350196A1 (en) Terminal authentication system, server device, and terminal authentication method
KR20160013135A (ko) 공유 비밀을 암시하는 보안 데이터 채널 인증
US8397281B2 (en) Service assisted secret provisioning
US20110179478A1 (en) Method for secure transmission of sensitive data utilizing network communications and for one time passcode and multi-factor authentication
CN103873487A (zh) 一种基于智能家居设备安全挂件的家居信任组网的实现方法
US9215230B2 (en) Method for authentication, RF chip document, RF chip reader and computer program products
KR20110083886A (ko) 휴대용 단말기에서 다른 휴대용 단말기를 인증하는 장치 및 방법
CN110838919B (zh) 通信方法、存储方法、运算方法及装置
US9876774B2 (en) Communication security system and method
TWI657350B (zh) App認證的系統和方法
US10984080B2 (en) Method for authenticating a user and a secure module, associated electronic apparatus and system
EP3185504A1 (en) Security management system for securing a communication between a remote server and an electronic device
JP5841954B2 (ja) セキュア認証方法
CN114760043A (zh) 一种身份鉴别方法和装置
WO2016096574A1 (en) Security management system for authenticating a token device by a service provider server
KR101536594B1 (ko) 보안성 향상을 위한 서비스 사업자 서버를 통한 공인 인증서를 안전하게 사용하는 방법 및 공인 인증서 사용 시스템
CN114760027A (zh) 一种身份鉴别方法和装置
CN118631580A (zh) 一种设备认证方法、系统、终端及存储介质
CN114760038A (zh) 一种身份鉴别方法和装置

Legal Events

Date Code Title Description
PA0105 International application

Patent event date: 20151222

Patent event code: PA01051R01D

Comment text: International Patent Application

PG1501 Laying open of application
A201 Request for examination
PA0201 Request for examination

Patent event code: PA02012R01D

Patent event date: 20190429

Comment text: Request for Examination of Application

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20200801

Patent event code: PE09021S01D

E601 Decision to refuse application
PE0601 Decision on rejection of patent

Patent event date: 20201028

Comment text: Decision to Refuse Application

Patent event code: PE06012S01D

Patent event date: 20200801

Comment text: Notification of reason for refusal

Patent event code: PE06011S01I