NL1011600C2 - Werkwijze voor het inrichten van beveiligd dataverkeer in een computernetwerk. - Google Patents

Werkwijze voor het inrichten van beveiligd dataverkeer in een computernetwerk. Download PDF

Info

Publication number
NL1011600C2
NL1011600C2 NL1011600A NL1011600A NL1011600C2 NL 1011600 C2 NL1011600 C2 NL 1011600C2 NL 1011600 A NL1011600 A NL 1011600A NL 1011600 A NL1011600 A NL 1011600A NL 1011600 C2 NL1011600 C2 NL 1011600C2
Authority
NL
Netherlands
Prior art keywords
computer
access control
key
algorithm
control device
Prior art date
Application number
NL1011600A
Other languages
English (en)
Inventor
Ronald Alexander Brockmann
Arnoud Roderick Zwemmer
Maarten Hoeben
Original Assignee
No Wires Needed B V
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by No Wires Needed B V filed Critical No Wires Needed B V
Priority to NL1011600A priority Critical patent/NL1011600C2/nl
Priority to AT00200980T priority patent/ATE257955T1/de
Priority to EP00200980A priority patent/EP1039363B1/en
Priority to DE60007678T priority patent/DE60007678T2/de
Application granted granted Critical
Publication of NL1011600C2 publication Critical patent/NL1011600C2/nl

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2211/00Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
    • G06F2211/007Encryption, En-/decode, En-/decipher, En-/decypher, Scramble, (De-)compress
    • G06F2211/008Public Key, Asymmetric Key, Asymmetric Encryption
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

Werkwijze voor het inrichten van beveiligd dataverkeer in een computernetwerk
De uitvinding heeft betrekking op een werkwijze voor het inrichten van beveiligd dataverkeer in een computernetwerk, welke is voorzien van een centraal toegangscontrole-orgaan en verspreid opgestelde en in het netwerk af- en aan-5 koppelbare computers, waarbij iedere computer voorzien is van een sleutel die voor het aankoppelen van de computer in het netwerk door het toegangscontrole-orgaan op authenticiteit wordt getoetst teneinde de aankoppeling toe te staan of te weigeren.
10 Een dergelijke werkwijze is sinds lang bekend in de praktijk van het gebruik van computernetwerken. In dergelijke computernetwerken die draadloos of bedraad kunnen zijn uitgevoerd, is het wenselijk om ter bewaking van de integriteit van het netwerk slechts geauthentiseerde computers toe te 15 laten tot het netwerk. Gebruikelijk is daartoe dat gebruikers van de computers een password of dergelijke invoeren dat door het toegangscontrole-orgaan wordt gecontroleerd op juistheid, en dat de toegang tot het netwerk geweigerd wordt wanneer het password onjuist is.
20 Aan een dergelijk systeem kleven aanzienlijke nade len. Zo is het in het bekende systeem nodig om in het toegangscontrole-orgaan een register bij te houden van toegelaten passwords. Voor de gebruikers is bovendien nadelig dat deze het risico lopen om het password te vergeten, waardoor 25 de toegang tot het netwerk onmogelijk kan worden. In bepaalde omstandigheden is een dergelijke situatie zeer onwenselijk, bijvoorbeeld wanneer in een crisissituatie toegang wordt gezocht tot informatie die slechts via het netwerk beschikbaar is. Daarbij valt bijvoorbeeld te denken aan een in een zie-30 kenhuis of een kerncentrale toegepast informatienetwerk.
Een belangrijk nadeel is verder de continue manage-mentaandacht die nodig is voor het beheer van het computernetwerk in verband met onder andere latere computers die tevens geauthentiseerd dienen te worden. Deze problemen spelen 35 met name een rol in draadloze netwerken, maar zijn daartoe *1011600 2 niet beperkt. Met name in draadloze netwerken is tengevolge van de communicatie via de ether het karakter van het netwerk meer open dan in geval van een bedraad netwerk. Tengevolge van dit open karakter is het risico bovendien groter dat toe-5 gangssleutels worden afgeluisterd, zodat ongeauthoriseerden zich met gebruik van afgeluisterde sleutels toegang tot het netwerk kunnen verschaffen.
Met de uitvinding is nu beoogd te voorzien in een werkwijze van beveiligd dataverkeer dat deze problemen niet 10 kent, en dat zich in haar gebruik eenvoudig laat implementeren .
Daartoe wordt de werkwijze volgens de uitvinding erdoor gekenmerkt, dat de sleutel van iedere computer geheim is en slechts in de desbetreffende computer aanwezig is, dat 15 van deze sleutel door die computer een publieke sleutel wordt afgeleid met een in de computer aanwezig voorafbepaald algoritme dat tevens aanwezig is in het toegangscontrole-orgaan, dat de publieke sleutel door die computer wordt bericht aan het toegangscontrole-orgaan dat de ontvangen publieke sleutel 20 verwerkt in het algoritme tot een controlewaarde, dat het toegangscontrole-orgaan een controlesleutel zendt naar de computer die de controlesleutel te zamen met de sleutel van die computer volgens het algoritme verwerkt tot een antwoord dat de computer zendt aan het toegangscontrole-orgaan, en dat 25 het toegangscontrole-orgaan de computer toelaat tot het netwerk wanneer het antwoord gelijk is aan de controlewaarde, en dat het algoritme zo is ingericht dat iedere uitkomst van het algoritme afleidbaar is uit een veeltal mogelijke ingangs-grootheden van het algoritme, terwijl slechts de in de compu-30 ter aanwezige sleutel de controlewaarde oplevert.
Zoals opgemerkt, dient de sleutel geheim te zijn; uniciteit is gewenst maar niet noodzakelijk. Aangezien het aantal mogelijke sleutels zeer groot is, is de kans klein dat twee verschillende computers dezelfde sleutel hebben mits 35 deze willekeurig gekozen zijn.
Het is wenselijk dat de sleutel die in iedere computer aanwezig is, niet toegankelijk is voor gebruikers van de computer en daaruit niet betrokken kan worden. Dit is bijvoorbeeld mogelijk door deze geheime sleutel op te slaan in »1011600 3 read only memory in een gedeelte dat niet toegankelijk is voor gebruikers. De desbetreffende sleutel kan in de computer eenmalig worden ingebracht tijdens de produktie daarvan, evenals het algoritme waarvan de computer gebruik maakt in de 5 werkwijze volgens de uitvinding. Zoals hierboven toegelicht, maakt dit algoritme tevens deel uit van het toegangscontrole-orgaan. De publieke sleutel die door de computer afleidbaar is uit haar geheime sleutel kan tengevolge van de uitvinding vrijelijk bekend gesteld worden, aangezien door het karakter 10 van het algoritme dat iedere uitkomst daarvan afleidbaar is uit een veeltal mogelijke ingangsgrootheden, het vrijwel onmogelijk is om met kennis van de publieke sleutel en het algoritme de geheime sleutel te bepalen. Door het berichtenverkeer dat na ontvangst van de publieke sleutel door het toe-15 gangscontrole-orgaan volgens de uitvinding wordt geïnitieerd tussen het toegangscontrole-orgaan en de computer, en waarin een controlesleutel naar de computer wordt gezonden die dit verwerkt te zamen met haar geheime sleutel tot een antwoord dat moet identificeren met een door het toegangscontrole-or-20 gaan op basis van de publieke sleutel afgeleide controlewaar-de, vindt uiteindelijk een toets plaats of de desbetreffende computer de juiste geheime sleutel bezit.
De charme van de werkwijze volgens de uitvinding is dat de toegelaten publieke sleutels vrij bekend gesteld kun-25 nen worden, zonder dat daarmee de geheime sleutels van de in het netwerk aankoppelbare computers gecompromitteerd worden. De grootste veiligheid van het netwerk kan daarbij worden verkregen wanneer alle toegelaten publieke sleutels vooraf in het toegangscontrole-orgaan zijn opgenomen.
30 De werkwijze volgens de uitvinding laat zich echter voordelig ook zo realiseren dat het toegangscontrole-orgaan bij een eerste poging tot aankoppeling van een computer de door deze computer gezonden publieke sleutel authentiseert als toegelaten publieke sleutel. Dit brengt de beheersproble-35 matiek van het beveiligde netwerk zeer vergaand terug, waarbij nog slechts in het toegangscontrole-orgaan en in de voor het netwerk geproduceerde computers het juiste algoritme dient te worden geplaatst, en in de desbetreffende computers geheime sleutels dienen te worden voorzien.
1011600 4
De resultaten van de uitvinding worden in het bijzonder bereikt in de uitvoering die erdoor gekenmerkt is, dat de computer de publieke sleutel uit haar geheime sleutel af-leidt volgens het algoritme pb = gpv mod p, waarin p een voor-5 afbepaald priemgetal is, en g een voorafbepaald grondtal is, en dat het toegangscontrole-orgaan de ontvangen publieke sleutel pb verwerkt tot een controlewaarde cw volgens het algoritme cw = (pb)x mod p, waarin x een voorafbepaald controlegetal is, en dat het toegangscontrole-orgaan een controle-10 sleutel cs naar de computer zendt die is bepaald volgens het algoritme cs = (g)x mod p, dat de computer de controlesleutel cs verwerkt in het algoritme a = (cs)pv mod p, waarin a het antwoord is dat de computer bericht aan het toegangscontrole-orgaan, dat het toegangscontrole-orgaan het antwoord a ver-15 gelijkt met de controlewaarde cw en bij identiteit daarvan de computer toelaat tot het netwerk.
In een verder aspect van de uitvinding, waarin de werkwijze kan worden toegepast wanneer twee of meer toegangscontrole -organen aanwezig zijn, is het wenselijk dat de toe-20 gangscontrole-organen met elkaar in informatiedelend contact staan, zodat na een aankoppeling van een computer via een eerste toegangscontrole-orgaan, de computer vrij kan schakelen naar een verder toeganscontrole-orgaan.
De uitvinding zal nu nader worden toegelicht aan de 25 hand van een niet-beperkend uitvoeringsvoorbeeld onder verwijzing naar de bijgaande fig. 1 en 2.
Fig. 1 toont een stroomschema van een communicatieverloop tussen een computer en het toegangscontrole-orgaan van het netwerk.
30 Fig. 2 toont de in fig. 1 getoonde communicatieaf- loop in een getoonde opstelling van een computer (station) en een toegangscontrole-orgaan (access point).
De communicatieafloop tussen de computer en het toegangscontrole-orgaan zal nu onder verwijzing naar fig. l wor-35 den toegelicht, waarbij telkens met een cijfer 1-7 een in fig. 2 weergegeven stap wordt aangeduid.
In fig. 1 is aangeduid dat in het toegangscontrole-orgaan (access point) voorafbepaalde waarden gegeven zijn aan een controlegetal x, een priemgetal p, en een grondtal g. Het *10116 00 5 priemgetal p is tevens aanwezig in de computer (station) die toegang zoekt tot het netwerk via het toegangscontrole-orgaan. Deze computer kent tevens een slechts aan deze computer bekende geheime sleutel pv. Tevens is aan de computer het 5 grondtal g bekend. Voor het verkrijgen van toegang leidt de computer in stap 1 uit de geheime sleutel pv een publieke sleutel pb af volgens het algoritme pb = gpv mod p. Deze publieke sleutel pb zendt de computer in stap 2 naar het toegangscontrole -orgaan. Het toegangscontrole-orgaan verwerkt in 10 stap 3 de publieke sleutel pb tot een controlewaarde cw volgens de formule cw = (pb)x mod p. Deze controlewaarde is daarmee gelijk aan (gpv)x mod p (formule 1). Vervolgens zendt in stap 4 het toegangscontrole-orgaan een controlesleutel cs naar de computer die is bepaald volgens het algoritme 15 cs = (g)x mod p. De computer verwerkt in stap 5 de waarde cs in het algoritme a = (cs)pv mod p en zendt in stap 6 het antwoord a terug aan het toegangscontrole-orgaan. De waarde van het antwoord a is gelijk aan (gsc)pv mod p, zoals aangegeven in formule 2. Het toegangscontrole-orgaan vergelijkt in stap 7 20 de waarde van het antwoord a met de waarde van cw, en in geval van identiteit (vergelijk formule 1 en formule 2), hetgeen bepaald wordt door de juiste waarde van de geheime sleutel pv, verschaft het toegangscontrole-orgaan aan de computer toegang tot het netwerk.
25 Voor de vakman is duidelijk dat een ander algoritme dan in dit uitvoeringsvoorbeeld is toegelicht, tevens kan beantwoorden aan de eis dat iedere uitkomst van het algoritme afleidbaar is uit een veeltal mogelijke ingangsgrootheden daarvan, terwijl slechts de in de computer aanwezige sleutel · 30 de controlewaarde op levert. Het uitvoeringsvoorbeeld dient derhalve niet beperkend te worden opgevat. Bij een bepaalde keuze van het algoritme zal het voor de vakman tevens duidelijk zijn dat de keuze van de geheime sleutel pv, het priemgetal p, het grondtal g, en het controlegetal x naar keuze 35 vooraf instelbaar zijn en niet beperkt zijn tot bepaalde waarden.
»10116 0 0

Claims (5)

1. Werkwijze voor het inrichten van beveiligd dataverkeer in een computernetwerk, welke is voorzien van een centraal toegangscontrole-orgaan en verspreid opgestelde en in het netwerk af- en aankoppelbare computers, waarbij iedere 5 computer voorzien is van een sleutel die voor het aankoppelen van de computer in het netwerk door het toegangscontrole-orgaan op authenticiteit wordt getoetst teneinde de aankoppe-ling toe te staan of te weigeren, met het kenmerk, dat de sleutel (pv) van iedere computer geheim is en bij voorkeur 10 slechts in de desbetreffende computer aanwezig is, dat van deze sleutel (pv) door die computer een publieke sleutel (pb) wordt afgeleid met een in de computer aanwezig voorafbepaald algoritme dat tevens aanwezig is in het toegangscontrole-orgaan, dat de publieke sleutel (pb) door die computer wordt 15 bericht aan het toegangscontrole-orgaan dat de ontvangen publieke sleutel (pb) verwerkt in het algoritme tot een contro-lewaarde, dat het toegangscontrole-orgaan een controlesleutel zendt naar de computer die de controlesleutel te zamen met de sleutel (pv) van die computer volgens het algoritme verwerkt 20 tot een antwoord dat de computer zendt aan het toegangscontrole -orgaan, en dat het toegangscontrole-orgaan de computer toelaat tot het netwerk wanneer het antwoord gelijk is aan de controlewaarde, en dat het algoritme zo is ingericht dat iedere uitkomst van het algoritme afleidbaar is uit een veeltal 25 mogelijke ingangsgrootheden van het algoritme, terwijl slechts de in de computer aanwezige sleutel de controlewaarde oplevert.
2. Werkwijze volgens conclusie 1, met het kenmerk, dat de in een computer aanwezige sleutel daarin eenmalig vast 30 wordt ingeprogrammeerd.
3. Werkwijze volgens conclusie 1 of 2, met het kenmerk, dat het toegangscontrole-orgaan bij een eerste poging tot aankoppeling van een computer de door deze computer gezonden publieke sleutel (pb) authentiseert als toegelaten 35 publieke sleutel. »10116 00
4. Werkwijze volgens een der conclusies 1-3, met het kenmerk, dat de computer de publieke sleutel (pb) uit haar geheime sleutel (pv) afleidt volgens het algoritme pb = gpv mod p 5 waarin p een voorafbepaald priemgetal is, en g een voorafbepaald grondtal is, en dat het toegangscontrole-orgaan de ontvangen publieke sleutel (pb) verwerkt tot een controlewaarde (cw) volgens het algoritme cw = (pb)x mod p 10 waarin x een voorafbepaald controlegetal is, en dat het toegangscontrole-orgaan een controlesleutel (cs) naar de computer zendt die is bepaald volgens het algoritme cs = (g)x mod p dat de computer de controlesleutel cs verwerkt in het algo-15 ritme a = (cs)pv mod p waarin a het antwoord is dat de computer bericht aan het toegangscontrole-orgaan, dat het toegangscontrole-orgaan het antwoord a vergelijkt met de controlewaarde cw en bij identi-20 teit daarvan de computer toelaat tot het netwerk.
5. Werkwijze volgens een der conclusies 1-4, waarbij twee of meer toegangscontrole-organen aanwezig zijn, met het kenmerk, dat de toegangscontrole-organen met elkaar in informatiedelend contact staan, zodat na een aankoppeling van een 25 computer via een eerste toegangscontrole-orgaan, de computer vrij kan schakelen naar een verder toeganscontrole-orgaan. <3 ” »10116 0 0
NL1011600A 1999-03-19 1999-03-19 Werkwijze voor het inrichten van beveiligd dataverkeer in een computernetwerk. NL1011600C2 (nl)

Priority Applications (4)

Application Number Priority Date Filing Date Title
NL1011600A NL1011600C2 (nl) 1999-03-19 1999-03-19 Werkwijze voor het inrichten van beveiligd dataverkeer in een computernetwerk.
AT00200980T ATE257955T1 (de) 1999-03-19 2000-03-17 Verfahren um einen gesicherten datenverkehr in einem rechnernetzwerk zu liefern
EP00200980A EP1039363B1 (en) 1999-03-19 2000-03-17 Method of providing secured data traffic in a computer
DE60007678T DE60007678T2 (de) 1999-03-19 2000-03-17 Verfahren um einen gesicherten Datenverkehr in einem Rechnernetzwerk zu liefern

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
NL1011600 1999-03-19
NL1011600A NL1011600C2 (nl) 1999-03-19 1999-03-19 Werkwijze voor het inrichten van beveiligd dataverkeer in een computernetwerk.

Publications (1)

Publication Number Publication Date
NL1011600C2 true NL1011600C2 (nl) 2000-09-20

Family

ID=19768866

Family Applications (1)

Application Number Title Priority Date Filing Date
NL1011600A NL1011600C2 (nl) 1999-03-19 1999-03-19 Werkwijze voor het inrichten van beveiligd dataverkeer in een computernetwerk.

Country Status (4)

Country Link
EP (1) EP1039363B1 (nl)
AT (1) ATE257955T1 (nl)
DE (1) DE60007678T2 (nl)
NL (1) NL1011600C2 (nl)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8244916B1 (en) 2002-02-14 2012-08-14 Marvell International Ltd. Method and apparatus for enabling a network interface to support multiple networks
EP2024894A4 (en) 2006-05-12 2016-09-21 Samsung Electronics Co Ltd APPARATUS AND METHOD FOR MANAGING SECURITY DATA

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2318486A (en) * 1996-10-16 1998-04-22 Ibm Data communications using public key cryptography
WO1998025375A1 (en) * 1996-12-04 1998-06-11 V-One Corporation Token distribution and registration system and method

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5604801A (en) * 1995-02-03 1997-02-18 International Business Machines Corporation Public key data communications system under control of a portable security device

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2318486A (en) * 1996-10-16 1998-04-22 Ibm Data communications using public key cryptography
WO1998025375A1 (en) * 1996-12-04 1998-06-11 V-One Corporation Token distribution and registration system and method

Also Published As

Publication number Publication date
DE60007678D1 (de) 2004-02-19
DE60007678T2 (de) 2004-12-09
ATE257955T1 (de) 2004-01-15
EP1039363A1 (en) 2000-09-27
EP1039363B1 (en) 2004-01-14

Similar Documents

Publication Publication Date Title
US11096052B2 (en) Quorum-based secure authentication
CN102598577B (zh) 使用云认证进行认证的装置和系统
CN105516195B (zh) 一种基于应用平台登录的安全认证系统及其认证方法
EP2515497B1 (en) Method for performing authentication in a distributed authentication system and authentication system
US6167517A (en) Trusted biometric client authentication
US8933777B2 (en) Gate control system and method of remote unlocking by validated users
US20090187962A1 (en) Methods, devices, and computer program products for policy-driven adaptive multi-factor authentication
US20060037073A1 (en) PIN recovery in a smart card
US20170317993A1 (en) User authentication based on tracked activity
JP2004185623A (ja) ネットワーク・ロケーション中のサブ・ロケーションについてのユーザの認証の方法およびシステム
JPH05500876A (ja) 分散したユーザの認証プロトコル
EP0781427B1 (en) Secure computer network
CN101588352B (zh) 一种确保操作环境安全的方法及系统
US10964145B2 (en) Access control system using blockchain ledger
JP2003091503A (ja) ポートアクセスを利用した認証方法及び同方法を適用するサーバ機器
CN103853950A (zh) 一种基于移动终端的认证方法及移动终端
WO1996008756A9 (en) Secure computer network
CN109660514A (zh) 一种智能设备系统的实现方法、智能设备控制方法及系统
CN108920919A (zh) 交互智能设备的控制方法、装置和系统
CN113055185A (zh) 一种基于token的认证方法及装置、存储介质、电子装置
CN102972004B (zh) 机密信息泄露防止系统、机密信息泄露防止方法和机密信息泄露防止程序
NL1011600C2 (nl) Werkwijze voor het inrichten van beveiligd dataverkeer in een computernetwerk.
EP4040316A1 (en) Multi-factor authentication system and method
EP3338427B1 (en) Identity token based security system and method
CN104009963A (zh) 远程密码的安全认证机制

Legal Events

Date Code Title Description
PD2B A search report has been drawn up
VD1 Lapsed due to non-payment of the annual fee

Effective date: 20091001