CN105530238A - 用于安全对话建立和数据的加密交换的计算机实现***和方法 - Google Patents

用于安全对话建立和数据的加密交换的计算机实现***和方法 Download PDF

Info

Publication number
CN105530238A
CN105530238A CN201510684791.9A CN201510684791A CN105530238A CN 105530238 A CN105530238 A CN 105530238A CN 201510684791 A CN201510684791 A CN 201510684791A CN 105530238 A CN105530238 A CN 105530238A
Authority
CN
China
Prior art keywords
key
server
random number
customer equipment
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510684791.9A
Other languages
English (en)
Other versions
CN105530238B (zh
Inventor
阿比简·巴特查里亚
图利卡·玻斯
索玛·斑德尤帕迪亚
阿吉特·优科尔
阿潘·潘尔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tata Consultancy Services Ltd
Original Assignee
Tata Consultancy Services Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tata Consultancy Services Ltd filed Critical Tata Consultancy Services Ltd
Publication of CN105530238A publication Critical patent/CN105530238A/zh
Application granted granted Critical
Publication of CN105530238B publication Critical patent/CN105530238B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0637Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

公开了一种用于安全对话建立和数据的安全加密交换的(各)***和(各)方法。该***满足通用联网/通信***的认证要求。其容易与已经使用类似DTLS-PSK的方案的***集成。该***遵循在类似应用层的轻型较高层执行对话建立的跨层方法。然后,该***将包含对话密钥的这种对话建立的结果参数传送到较低层。***利用类似传输层的较低层执行通道加密,以通过安全对话,根据跨层方法,交换加密数据。由于数据的交换变成类似传输层的较低层的责任,所以可以防止数据被重放攻击,因为传输层记录加密机制提供这种保护。

Description

用于安全对话建立和数据的加密交换的计算机实现***和方法
技术领域
本公开涉及服务器与客户之间的安全认证和数据的加密交换。
本说明书所用术语的定义
本说明书在下面使用的表述“IoT”指物联网,其中在互联网结构中虚拟表示唯一可识别对象。
本说明书在下面使用的表述“M2M”指既允许无线***又允许有线***与异类设备通信的机器对机器技术。
本说明书在下面使用的表述“随机数(nonce)”指仅一次性使用的随机数。
本说明书在下面使用的表述“数据报传输”指无连接传输协议,其示例性实现和通用实现是用户数据报协议(UDP)。
本说明书在下面使用的表述“准备阶段”指在通信前准备并且装备客户端和服务器端的过程。其包括类似嵌入预共享密钥(pre-shared-secretkey)的步骤。
本说明书在下面使用的表述“对话启动程序(sessioninitiator)”指通过将初始的“你好(HELLO)”消息(对话启动请求)发送到服务器来启动对话的设备/客户。
本说明书在下面使用的表述“对话密钥元组(sessionkeytuple)”指在对话时进行数据加密交换的客户设备和服务器需要的元素的有序列表。
本说明书在下面使用的表述“受限设备”指具有包括时间和功率的受限处理资源的设备。
本说明书在下面使用的表述“传输层安全方案”指在通过因特网通信的设备之间确保隐私(privacy)的协议。
本说明书在下面使用的表述“DTLS方案”指对面向数据报的传输协议提供通信安全的数据报传输层安全协议。通过防止类似窃听、篡改和消息伪造的网络攻击,其使得在基于数据报的应用之间安全通信。
本说明书在下面使用的表述“DTLS-PSK”指提供基于预共享密钥(PSKs)的安全通信的DTLS协议的变型。在通信设备之间事先共享这些预共享密钥,并且这些预共享密钥的性质对称。
本说明书在下面使用的表述“应用层”指规定通信网络中的服务器使用的共享协议和接口方法的抽象层。其提供服务以确保网络中的不同应用之间能有效通信。
本说明书在下面使用的表述“传输层”指网络部件和协议的分层体系结构中的应用的端对端通信。其确保消息可靠到达,并且提供错误检验机制和数据流控制。
本说明书在下面使用的表述“跨层方法(crosslayerapproach)”指去除联网模型在层之间形成的边界的技术,以便通过允许一层访问另一层的数据并且由此在层之间能够交互和交换信息,使层之间能够通信。
这些定义是本技术领域内所表述定义以外的定义。
背景技术
在网络通信世界中,IoT/M2M通信终端已经是网络应用的主要形式。物联网(IoT)是物体、动物或者人有能力通过网络传输数据,而不要求人与人或者人与计算机交互或者M2M通信的情况。物联网中的物可以是具有心脏监视植入物的人、安装于街角的无线摄像头、具有内置传感器从而当轮胎压力低时向驾驶员报警的汽车、也可以是能够分配IP地址并且能够通过网络传输数据的任何其他自然的或者人造的物体。
IoT/M2M通信面对的挑战是鲁棒(robust)并且安全传输数据,因为泄漏这些数据能够深刻影响我们的安全、健康、环境和金融。
在处理功率、能量和带宽要求方面,类似公共密钥密码***、传输层安全方案和IP层安全的传统通信安全解决方案成本高,因为IoT中的“物”是小型设备,具有有限的处理功率和电池容量。
尽管存在类似在资源受限设备中用于通过万维网传输数据的CoAP的轻型(lightweight)应用层协议,但是其没有任何内在安全能力。因此,为了实现安全通信,CoAP托管DTLS的使用。DTLS具有几种配置,其中最大资源消耗变型采用基于利用公共密钥架构的认证的证书,而DTLS的最小资源消耗变型是预共享密钥(PSK)模式。这些变型/配置提供端点认证。但是,这种认证建立要求的交换并不是非常轻型的。
因此,存在对安全发送受限设备的数据并且利用较少的处理资源、带宽和功率且提高生成量的***的需要。
发明内容
本说明书在下面描述了本公开的一些旨在改进现有技术的一个或者多个问题或者至少提供有用替换的目的:
本公开的一个目的是提供一种在利用较少的处理资源、带宽、时间和功率的受限设备之间实现轻型安全对话建立的***。
本公开的另一个目的是提供一种能够与如在DTLS中使用的传统传输层加密机制集成,从而通过安全对话进行加密数据交换,并且因此确保通道安全。
本公开的另一个目的是提供一种轻型***,用于在受限设备之间实现安全对话建立,该受限设备提供包括端点之间的互相认证认证和加密数据交换的密钥协商的安全对话建立。
本公开的又一个目的是提供一种轻型***,用于实现安全对话建立并且通过防止“重放攻击”和“中途相遇攻击”的安全传输通道通信。
当结合附图阅读时,根据下面的描述,本公开的其他目的和优点更加显而易见,附图不旨在限制本公开的范围。
发明内容
本公开涉及一种用于在端点之间实现轻型安全对话建立和安全加密数据交换的计算机实现***和方法。在实施例中,该***可以在网络中工作。所述端点可以是多个客户设备和多个服务器。此***可以对与网络关联的应用层中的安全对话建立部件以及与***协议的网络关联的传输层中的安全加密数据交换部件编组,以利用跨层方法实现该***。存在于在多个客户设备与多个服务器之间实现安全对话建立的***中的部件可以包括:在每个客户设备中构造的第一密钥发生器、第一随机数发生器和第二随机数发生器以及在多个服务器中的每个中构造的第三随机数发生器和第二密钥发生器,从而有助于利用互相认证实现安全对话建立。存在于在多个客户设备与多个服务器之间实现安全加密数据交换的***中的部件可以包括对话密钥元组生成器,该对话密钥元组生成器具有对话初始化向量生成器,其中可以构造对话密钥元组生成器,以生成并且将对话密钥元组发送到互相认证的客户设备和服务器,从而使得能够在客户设备与服务器之间实现安全加密数据交换。
提供本发明内容,以引入与提供基于全局语境的仪器有关的概念,从而维护软件质量,下面将在具体实施方式中做进一步描述。本发明内容不旨在指明要求保护的主题的实质特征,也不旨在用于确定或者限定要求保护的主题的范围。
附图说明
现在将借助附图描述本公开的***,其中:
图1示出了在端点之间实现轻型安全对话建立并且进行加密数据交换的***的一个实施例的原理图。
图2示出了用于建立安全对话和加密消息交换的***流程。
图3示出了在服务器与客户信号交换(handshake)期间对话建立中包含的步骤。
图4示出了获得如在传统DTLS记录加密机制中使用的AES加密要求的服务器和客户初始化向量的示例性方法。
图5示出了在客户与服务器端点之间通过CoAP的对话建立和通过UDP传输的后续加密消息交换的示例性实现。
图6示出了类似于如在DTLS-PSK中使用的记录加密机制,将由安全对话建立获得的对话参数映射到对话参数结构。
图7示出了利用示例性协议在应用层的对话建立过程与传输层的通道加密过程之间提供接口的***的实施例的流程图。
具体实施方式
现在将参考附图所示的实施例描述本公开的***。该实施例不限制本公开的范围和界限。本说明书仅涉及所公开的***的示例和优选实施例及其建议应用。
在下面的描述中将参考非限制性实施例解释本说明书中的***及其各种特征和有利细节。为免不必要地妨碍理解本说明书中的实施例,省略了对众所周知的参数和处理技术的描述。本说明书中采用的例子仅旨在有助于理解可以实施本说明书中的实施例并且进一步使本技术领域内的技术人员能够实施本说明书中的实施例的方式。因此,不应当将例子理解为是对本说明书中的实施例的范围的限制。
根据本公开,本***提供了轻型并且鲁棒的基于挑战-响应的方案,以建立与和典型受限的IoT/M2M环境的密钥共享机制集成的端点的互相认证安全对话。该***满足通用联网/通信***的认证要求。还容易与已经使用类似DTLS-PSK的方案的***集成。在该***中,对话建立责任由采用建议的通用方案的类似CoAP的轻型应用层承担。将包括对话密钥的这种对话建立过程的结果参数传送到传输层记录加密机制(如类似DTLS方案使用的),以通过安全对话执行加密数据的交换。因此,交换数据变成传输层的责任。作为传输层记录加密机制,防止数据受到重放攻击的这种方式提供这种保护。
参考附图,图1示出了在端点之间实现轻型安全对话建立并且进行数据加密交换的***100的一个实施例。在该实施例中,客户设备和服务器为其间进行安全对话建立和加密数据交换的端点。在一实施例中,在网络中的工作的***100包括在应用层编组的对话建立部件和在传输层编组的用于安全加密数据交换的部件。这样使得在应用层与传输层之间能够划分对话建立责任和加密交换责任。***100包括:第一密钥发生器102、多个客户设备104、多个服务器106以及对话密钥元组生成器108。在准备阶段,在安全对话建立之前,第一密钥发生器102产生密钥并且将密钥发送到服务器106和客户设备104。每个客户设备104都具有唯一标识符,并且包括第一处理器110,该第一处理器110根据预定的第一组规则将第一组处理命令送到存在于客户设备104中的部件。每个服务器106都包括第二处理器130,该第二处理器130根据预定的第二组规则将第二组处理命令送到存在于服务器106中的部件。客户设备104为了启动与服务器106的对话将对话启动请求发送到服务器106。对话启动请求由对话启动器114通过与第一随机数发生器112合作产生。第一随机数发生器112产生第一随机数,并且将其发送到对话启动器114。然后,对话启动器114产生包括第一随机数和客户设备104的相应唯一标识符的对话启动请求。该对话启动请求由存在于服务器106中的识别器134接收。服务器106包括第一***信息存储库132,该第一***信息存储库132存储对应于客户设备104的多个唯一标识符。收到对话启动请求后,识别器134使在对话启动请求中收到的唯一标识符与第一***信息存储库132中存储的唯一标识符匹配,以识别客户设备104。一旦识别了客户设备104,挑战代码发生器140就会产生挑战代码,该挑战代码包括:在对话启动请求中收到的第一随机数、第二密钥发生器136产生的客户密钥以及第三随机数发生器138产生的第三随机数。然后,第一加密器142利用第一密钥发生器102预共享的密钥对该生成的挑战代码加密。然后,存在于服务器106内的第一加密器142将加密的挑战代码发送到客户设备104。存在于客户设备104中的第一解密器116接收该加密挑战代码,并且利用第一密钥发生器102预共享的密钥解密该挑战代码,以获得存在于挑战代码中的客户密钥和第三随机数。将获得的客户密钥存储于第二***信息存储库118中。客户设备104包括产生第二随机数的第二随机数发生器122。然后,存在于客户设备104中的响应发生器120产生响应代码,该响应代码包括产生的第二随机数和解密之后收到的第三随机数。利用存储于第二***信息存储库118中的客户密钥,第二加密器124对该响应代码加密。然后,存在于客户设备104中的第二加密器124将此加密的响应代码发送到服务器106。存在于服务器中的第二解密器144接收利用客户密钥加密的该响应代码,并且利用第二密钥发生器136产生的客户密钥对该加密的响应代码解密。成功解密后,第二解密器144获得存在于响应代码中的第三随机数和第二随机数。存在于服务器106中的第一比较器146将这样获得的第三随机数与第三随机数发生器138产生的第三随机数进行比较。如果所比较的第三随机数匹配,则服务器106认证该客户设备104。
成功认证后,为了实现互相认证,存在于服务器106中的第三加密器148产生最终消息并且对该最终消息加密。该最终消息包括:在响应代码中收到的第二随机数、第三随机数和第二密钥发生器136产生的服务器密钥。该最终消息由第三加密器148利用第一密钥发生器102产生的密钥加密。然后,服务器106将加密的最终消息发送到客户设备104。存在于客户设备104中的第三解密器126接收该加密的最终消息,并且利用先前从第一密钥发生器102收到的密钥对该最终消息解密。成功解密后,第三解密器126从该最终消息获得第三随机数、第二随机数和服务器密钥。将该服务器密钥存储于第二***信息存储库118中供将来使用。存在于客户设备104中的第二比较器128将解密之后获得的第二随机数与第二随机数发生器122产生的第二随机数进行比较。如果两个比较的第二随机数匹配,则客户设备104认证该服务器106,由此,在服务器106与客户设备104之间建立数据交换的安全对话。现在,客户设备104和服务器106二者都具有客户密钥和服务器密钥。
一旦建立安全对话,对话密钥元组生成器108就会接收:客户密钥、服务器密钥、第二随机数和第三随机数。对话密钥元组生成器108包括初始化向量生成器150,该初始化向量生成器150根据收到的第二随机数和收到的第三随机数产生服务器初始化向量和客户初始化向量。根据这些初始化向量以及客户密钥和服务器密钥,对话密钥元组生成器108生成对话密钥元组,该对话密钥元组含有:客户密钥、服务器密钥、客户初始化向量和服务器初始化向量,并且将该对话密钥元组发送到客户设备104和服务器106,从而有助于使得能够在客户设备104与服务器106之间进行安全加密数据交换。客户设备104在收到对话密钥元组后,利用客户密钥和客户初始化向量对数据加密,并且利用服务器密钥和服务器初始化向量对数据解密。同样,服务器106在收到对话密钥元组后利用服务器密钥和服务器初始化向量对数据加密,并且利用客户密钥和客户初始化向量对数据解密,由此允许安全加密数据交换。
参考附图,图2示出了用于通过安全通道建立安全对话和加密消息交换的***流程。本公开的***提供基于对称密钥的安全机制,其中密钥管理与认证集成。其还对给定端点的正向通信通道和反向通信通道保持独立密钥。服务器和客户是两个端点,在准备阶段,这两个端点都配置有预共享保密(pre-sharedsecret)(Y)。通过利用对客户唯一的标识符(ID)和被称为“hello_rand”200的随机数将HELLO消息发送到服务器,客户发起安全通道建立请求。服务器在收到该消息后首先在预配置数据库中查看ID。但是,为了防止恶性客户电子欺骗,服务器还通过产生包括附有服务器随机数“server_rand”的唯一密钥K_c(客户写密钥(client-write-key))来形成挑战代码。密钥K_c是用于从客户到服务器的通道的加密和解密的对称密钥,并且利用“hello_rand”掩蔽,以防止密钥受到流量分析攻击。利用预共享保密(Y)和由“hello_rand”202形成的随机数,对这样获得的挑战代码加密。在一个实施例中,通过将hello_rand用作进行AES_CCM_128加密所要求的并且发送到客户的随机数,利用AES_CCM_128对挑战代码加密。
合法客户能够对挑战代码进行解密/解码,并且获得服务器204提供的server_rand和密钥(K_c)。作为响应,客户形成还含有对服务器的挑战的响应消息。对服务器的挑战/响应消息包含附加到server_rand的客户生成随机数“client_rand”。然后,利用K_c206对此响应消息加密。在一个实施例中,采用的加密方法是使用server_rand的AES_CCM_128,以将要求的随机数用于加密。
服务器对来自客户的响应解密,并且使server_rand与其拥有的拷贝匹配,从而检验客户响应是否满足服务器挑战208。如果二者匹配,则服务器认证客户210,否则,则不认证客户212。在认证客户时,服务器利用最终消息响应客户挑战。最终消息包含利用server_rand掩蔽的并且附加到client_rand的服务器生成密钥K_s((server-write-key)服务器写密钥)。然后,利用Y(预共享密钥)214对该最终消息加密。在一个实施例中,利用使用client_rand的AES_CCM_128提供加密要求的随机数。服务器使该密钥K_s包含在最终消息中,以让客户知晓该服务器将在成功认证后将该密钥用于加密消息。收到该消息后,客户检验服务器响应是否满足客户挑战216。如果客户能够解密并且能够使client_rand与其拥有的拷贝匹配,则客户认证服务器218,否则,不认证服务器220。
该交换之后,两个端点(客户和服务器)已经收到密钥对(服务器写密钥、客户写密钥),并且建立安全通道。一旦建立了安全通道,包含密钥的对话参数就会被送到跨层接口(如附图中的图7所示),并且接着送到传输层,以安全交换信息。除了密钥对,记录加密还要求服务器初始化向量(ServerIV)和客户初始化向量(ClientIV)。在示例性实施例中,利用server_nonce和client_nonce,求得这些初始化向量(IVs)。步骤222中表示生成该IV。一旦获得包含密钥对和IVs的加密参数,就可以利用传输层安全进行加密消息交换224。
因此,利用本公开的确保防止重放攻击的***可以实现安全对话建立和事务。
下面是参考附图中的图3和图5使用的记数法:
Y:客户与服务器之间的共享保密(Sharedsecret)
AES{.}k:利用密钥k对明文进行AES运算
XOR
||:并置
参考附图,图3示出了在服务器与客户之间信号交换期间对话建立中所涉及的步骤。其示出了轻型安全对话建立算法,其中Ci代表客户,而S代表服务器。在安全对话建立处理开始之前,在准备阶段,在离线的Ci与S之间共享保密Y={0,1}128。然后,安全对话建立处理以客户Ci将“HELLO,#Ci”和hello_rand发送到服务器S300的对话启动开始。在此,#Ci是唯一客户设备ID,并且hello_rand={0,1}96。启动了对话后,服务器S通过将服务器挑战代码发送到服务器302响应,其中K_c={0,1}128,server_rand={0,1}96.ext_hello_rand=hello_rand||hello_rand[0:31]。客户Ci对挑战代码解密,并且通过发送另一个挑战代码“AES{(server_rand||client_rand)}K_c”304,做出响应,其中client_rand={0,1}96是客户响应和挑战。在服务器端,服务器检验client_rand,并且通过发送对客户做出响应,其中ext_server_rand=server_rand||server_rand[0:31].K_s。
在一个实施例中,可选地将AES加密实现为AES_128_CCM_8。对于每个加密和附加数据,CCM模式需要12位随机数。“hello_rand”、“server_rand”和“client_rand”在步骤302、304和306分别用作要求的随机数值。“附加数据”能够作为应用层协议的每个消息的标题(ex.CoAP)。
参考附图,图4示出了用于获得如在传统DTLS记录加密机制中使用的AES加密要求的服务器和客户初始化向量的示例性方法。本公开的***使得能够与安全传输层(DTLS)接口。实际上,接口生成被下面的安全层进行加密消息交换所使用的必需对话参数。对话参数的基本分量是K_c和K_s。可以以不同方式产生所要求的其他参数。将DTLS记录看作安全传送消息的示例性机制,在客户和服务器端都需要对话密钥参数元组“{K_c,K_s,Client_IV,Server_IV}”。在此,“在此,代表初始化向量。生成IVs存在几种选择。客户和服务器对相同的参数值采用相同的机制,以确保相同的{Client_IV,Server_IV}对。对于AES_128_CCM,加密DTLS记录IV为4字节长。图4所示为低计算开销的示例性机制。可以将本公开中公开的安全对话建立集成为嵌有CoAP的净荷载。将采用可确认(CON)数据传输模式的POST方法应用于在客户与服务器之间实现安全对话建立。在CoAP标题中引入新字段“AUTH”,使能够实施安全(认证)模式。该字段利用未使用的指出关键选择类的选项。还与“AUTH”一起引入了另一个被称为“AUTH_MSG_TYPE”的选项,以指出用于建立认证对话的不同消息。
在CoAP消息中,CoAP标题中的任选字段承载可选请求/响应特征。下面是为本公开定义的字段:
·AUTH:指出启动认证/关闭认证模式。能够对该字段设定真值或者假值。
·AUTH_MSG_TYPE:该字段可以是“0”或者“1”,其中0=auth_init,而1=“response_against_challenge”。
对于认证阶段交换的所有关联消息,可以通过利用标题中的常数“令牌环(Token)”值,在通过设定“AUTH=真”启动时保持认证对话。
参考附图,图5示出了在客户与服务器端点之间通过CoAP的对话建立和通过UDP传输的后续加密消息交换的示例性实施。下面的步骤描述流程:
·在启动时,客户将CON模式下的POST消息发送到专用服务器URI,该专用服务器URI专用于对话启动。例如,在净荷载400中,具有AUTH=“真”的/some_uri_for_session_initiation,并且AUTH_MSG_TYPE=auth_init、以及“设备标识符”(DevID)和随机数“hello_rand”。
·服务器从净荷载中获得设备标识符,并且在收到选项“AUTH”以及AUTH_MSG_TYPE的“auth_init”值后,确定与该设备标识符关联的预共享保密。然后,产生随机数,server_rand作为电话的挑战和客户写密钥K_c402。
·服务器利用指出已经创建新资源的响应代码对客户做出回响。该响应中的URI指出安全对话的对话ID。对于无效设备标识符,服务器发送响应代码“Unauthorized”。步骤402的加密净荷载可以寄生发送到客户,也可以单独发送到客户。
·客户对从服务器收到的响应解密,获得server_rand和“K_c”。客户还通过产生随机数client_rand生成挑战,之后,如在算法1的步骤3中所描述的,利用具有选项字段“AUTH=true”和AUTH_MSG_TYPE值作为“response_against_challenge”并且与最后POST消息中具有相同令牌环值的POST消息,发送净荷载404。
·利用“K_c”,服务器对在标题中具有上面提及的任选值的上述POST的净荷载进行解密,并且校验收到的server_rand。服务器发送校验响应代码“Changed”的响应,以当server_rand与其先前值(在步骤402产生的)相同时,指出资源中的变化被验证,否则,发送“Unauthorized”。该步骤完成客户验证406。
·客户利用Y对来自服务器的响应解密,并且使收到的client_rand与其拥有的拷贝匹配。此外,客户接收K_s。该步骤完成服务器认证。
·一旦对客户和服务器完成认证,服务器就会产生对话密钥元组{K_c,K_s,Client_IV,Server_IV}。如图4所示,实现IV生成。
·现在,与DTLS-PSK记录加密类似,客户和服务器可以任选地通过安全传输层通信。客户利用K_c和Client_IV加密408,服务器利用K_s和Server_IV加密410。
步骤400、402、404和406示出了安全对话建立-CoAP,而步骤408和410示出了利用重放保护的加密消息交换-DTLS。
安全对话建立时的AES加密可以任选地实现为AES_128_CCM_8。CCM模式需要每个加密的12位随机数和附加数据。“hello_rand”、“server_rand”和“client_rand”分别用作图3的步骤302、304和306中的要求随机数值。CCM加密要求的“附加数据”可以来自CoAP标题部。
参考附图,图6示出了作为如本公开所公开的安全对话建立结果的不同对话参数之间的映射以及如传统DTLS记录加密机制要求的对话参数结构。其示出DTLS-PSK记录加密的对话元组的元素,其中500、502和504代表用于安全对话建立的对话参数。
参考附图,图7示出了利用示例性协议在应用层的对话建立过程与传输层的通道加密过程之间提供接口的***的实施例的流程图。在该实施例中,在应用层(CoAP),***执行轻型安全对话建立。记录了安全对话后,获得包含客户密钥和服务器密钥的对话参数。将这些对话参数送到提供跨层接口的接口层。在该层,导出加密参数元组{客户写密钥(K_c)、服务器写密钥(K_s)、客户初始化向量(Client_IV)、服务器初始化向量(Server_IV)},并且与DTLS-PSK中的记录加密类似,将要求的加密参数映射到加密方案要求的对话参数704。这样使得利用与利用对称密钥的DTLS记录加密类似的机制在UDP传输层上通过安全通道对存在于应用层的数据进行加密交换706。

Claims (30)

1.一种在网络中运行,用于在多个客户设备与多个服务器之间进行轻型安全对话建立和安全加密数据交换的计算机实现***,所述***包括:
在与所述网络关联的应用层中编组的安全对话建立部件,其中所述安全对话建立部件包括:
在每个所述客户设备中构造的第一密钥发生器、第一随机数发生器和第二随机数发生器,以及在多个服务器中的每个中构造的第三随机数发生器和第二密钥发生器;
配置在所述应用层编组的部件的所述构造,从而有助于通过互相认证在所述客户设备与所述服务器之间实现安全对话建立;
以及
在与所述网络关联的传输层中编组的安全加密数据交换部件,其中所述安全加密数据交换部件包括:
对话密钥元组生成器,所述对话密钥元组生成器具有对话初始化向量生成器,构造所述对话密钥元组生成器,以生成对话密匙元组并且将该对话密钥元组发送到互相认证的客户设备和服务器;
配置在所述传输层编组的部件的所述构造,使得能够根据跨层方法在所述客户设备与所述服务器之间进行安全加密数据交换。
2.根据权利要求1所述的计算机实现***,其中构造所述第一密钥发生器,以在所述***中在客户设备与服务器之间建立安全对话之前,产生密匙并且将该密钥发送到所述服务器和所述客户设备。
3.根据权利要求1所述的计算机实现***,其中所述多个客户设备中的每个都包括如下所述:
第一处理器,构造所述第一处理器,以根据预定第一组规则,提供第一组处理命令;
所述第一随机数发生器,构造所述第一随机数发生器,以与所述第一处理器合作,并且进一步构造所述第一随机数发生器,以在所述第一组处理命令的作用下产生第一随机数;
对话启动器,构造所述对话启动器,以在第一组处理命令的作用下,产生含有所述第一随机数和预定唯一标识符的对话启动请求并且将该对话启动请求发送到服务器;
第一解密器,构造所述第一解密器,以与所述服务器合作接收加密挑战代码并且与所述第一密钥发生器合作接收密钥,并且进一步构造所述第一解密器,以利用所述收到的密钥并且在所述第一组处理命令的作用下解密所述加密挑战代码,以获得第三随机数和客户密钥;
第二***信息存储库,构造所述第二***信息存储库,以与所述第一解密器合作接收并且存储所述客户密钥;
所述第二随机数发生器,构造所述第二随机数发生器,以与所述第一处理器合作,并且在所述第一组处理命令的作用下产生第二随机数;
响应发生器,构造所述响应发生器,以与所述第一解密器合作接收所述第三随机数,并且与所述第二随机数发生器合作接收所述产生的第二随机数,并且进一步构造所述响应发生器,以根据所述收到的第三随机数和所述收到的第二随机数,产生响应代码;
第二加密器,构造所述第二加密器,以与所述第二***信息存储库合作接收所述客户密钥,并且与所述响应发生器合作接收所述响应代码,并且进一步构造所述第二加密器,以利用所述收到的客户密钥对所述响应代码加密,从而获得并且发送加密响应代码;
第三解密器,构造所述第三解密器,以与所述服务器合作接收加密最终消息,并且与所述第一密钥发生器合作接收所述密钥,并且进一步构造所述第三解密器,以利用所述收到的密钥并且在所述第一组处理命令的作用下解密所述加密最终消息,从而获得第二随机数和服务器密钥,并且将所述服务器密钥存储于所述第二***信息存储库中;以及
第二比较器,构造所述第二比较器,以与所述第三解密器合作接收所述获得的第二随机数,并且与所述第二随机数发生器合作接收所述产生的第二随机数,并且进一步构造所述第二比较器,以将所述产生的第二随机数与所述收到的第二随机数进行比较,以认证所述服务器,由此对与所述服务器的数据交换实现安全对话建立。
4.根据权利要求1所述的计算机实现***,其中所述多个服务器中的每个都包括如下所述:
第二处理器,构造所述第二处理器,以根据预定第二组规则提供第二组处理命令;
第一***信息存储库,构造所述第一***信息存储库,以存储多个唯一标识符,其中所述唯一标识符中的每个都对应于客户设备;
识别器,构造所述识别器,以与所述第二处理器、所述第一***信息存储库和客户设备合作,以分别接收所述第二组处理命令、所述存储唯一标识符以及含有第一随机数和唯一标识符的对话启动请求,并且进一步构造所述识别器,以使所述收到的唯一标识符与所述存储的唯一标识符匹配,从而识别所述客户设备;
所述第二密钥发生器,构造所述第二密钥发生器,以与所述第二处理器合作并且在所述第二组处理命令的作用下,产生且发送唯一客户密钥和唯一服务器密钥;
所述第三随机数发生器,构造所述第三随机数发生器,以与所述第二处理器合作,并且在所述第二组处理命令的作用下产生并且发送第三随机数;
挑战代码发生器,构造所述挑战代码发生器,以与所述识别器合作接收所述第一随机数,与所述第二密钥发生器合作接收所述客户密钥,与所述第三随机数发生器合作接收所述第三随机数,并且进一步构造所述挑战代码发生器,以根据所述第一随机数、所述客户密钥以及所述第三随机数,产生挑战代码;
第一加密器,构造所述第一加密器,以与所述挑战代码发生器合作接收所述产生的挑战代码并且与所述第一密钥发生器合作接收密钥,并且进一步构造所述第一加密器,以在所述第二组***处理命令的作用下,利用所述密钥对所述收到的挑战代码加密,从而获得并且发送加密挑战代码;
第二解密器,构造所述第二解密器,以与所述第二密钥发生器合作接收所述客户密钥,并且与所述客户设备合作接收加密响应代码,并且进一步构造所述第二解密器,以利用所述客户密钥对所述收到的加密响应代码解密,从而获得存在于所述响应代码中的第二随机数和第三随机数;
第一比较器,构造所述第一比较器,以与所述第二解密器合作接收所述获得的第三随机数,并且与所述第三随机数发生器合作接收所述产生的第三随机数,并且进一步构造所述第一比较器,以将所述产生的第三随机数与所述收到的第三随机数进行比较,以认证所述客户设备;以及
第三加密器,构造所述第三加密器,以与所述第二解密器、所述第一比较器以及所述第一密钥发生器合作,并且进一步构造所述第三加密器,以产生含有利用所述密钥加密的所述第三随机数、所述服务器密钥和所述第二随机数的最终消息并且对该最终消息加密,从而获得加密最终消息并且将该加密最终消息发送到所述客户设备,从而有助于对与所述客户设备的数据交换实现安全对话建立。
5.根据权利要求1所述的计算机实现***,其中构造所述对话密钥元组生成器,以在认证时,接收客户设备和服务器产生的客户密钥、服务器密钥和随机数,并且构造所述对话初始化向量生成器,以利用所述收到的随机数,生成客户初始化向量和服务器初始化向量,进一步构造所述对话密钥元组生成器,以生成含有所述收到的客户密钥、所述收到的服务器密钥、所述客户初始化向量和所述服务器初始化向量的对话密钥元组并且将该对话密钥元组发送到所述客户设备和所述服务器,从而使得能够在所述客户设备与所述服务器之间进行安全加密数据交换。
6.根据权利要求1所述的计算机实现***,其中客户设备与服务器之间的所述加密数据交换基于密钥建立,其中所述客户设备利用所述客户密钥和所述客户初始化向量对数据加密,并且利用所述服务器密钥和所述服务器初始化向量对所述数据解密,并且所述服务器利用所述服务器密钥和所述服务器初始化向量对数据加密并且利用所述客户密钥和所述客户初始化向量对数据解密,从而对所述客户设备和所述服务器保持独立加密和解密密钥。
7.根据权利要求2所述的计算机实现***,其中所述第一密钥发生器产生的所述密钥是在所述开始对话时产生的唯一密钥,并且仅在进行对话时有效。
8.根据权利要求3和4所述的计算机实现***,其中由所述第一随机数发生器、所述第二随机数发生器以及所述第三随机数发生器产生的所述随机数不能再生,并且从一个对话到另一个对话会改变。
9.根据权利要求1所述的计算机实现***,其中所述***与包含CoAP的受限设备的所述应用层集成,以实现安全对话建立。
10.根据权利要求1所述的计算机实现***,其中所述***与包含DTLS的所述传输层安全方案集成,以实现安全加密数据交换。
11.根据权利要求1所述的计算机实现***,其中所述***生成并且利用所述接口层映射所述对话密钥元组。
12.根据权利要求1所述的计算机实现***,其中利用采用消息认证的整体校验,所述***利用对称加密通过加密域中的应用层提供对话建立。
13.根据权利要求1所述的计算机实现***,其中所述***导出利用与DTLS-PSK记录加密类似的对话结构映射的对话参数。
14.根据权利要求1所述的计算机实现***,其中所述***通过包含CoAP的受限应用协议提供安全对话加密,并且在UDP传输时,通过安全通道提供后续加密数据交换。
15.根据权利要求1所述的计算机实现***,其中采用跨层方法的所述***利用包含所述应用层的上层建立安全对话,并且利用包含所述传输层的下层执行通道加密,从而对所述上层提供更多控制,使得所述***适合用于受限域中。
16.一种在网络中运行,用于在多个客户设备与多个服务器之间进行轻型安全对话建立和安全加密数据交换的计算机实现方法,所述方法包括如下步骤:
在与所述网络关联的应用层中编组部件,用于实现安全对话建立,其中实现安全对话建立的所述步骤包括所述如下步骤:
在所述方法中,在客户设备与服务器之间建立安全对话之前,产生密钥并且将该密钥发送到所述服务器和所述客户设备;
客户设备启动与服务器的对话并且利用所述发送的密钥认证所述服务器,从而利用互相认证,在所述服务器与所述客户设备之间建立数据交换的安全对话;
在服务器处接收来自客户设备的对话启动请求,并且利用所述发送的密钥识别并且认证所述客户设备;以及
构造在所述应用层中编组的所述部件,从而有助于通过互相认证在所述客户设备与所述服务器之间实现数据交换的安全对话建立;以
对与所述网络关联的所述传输层中的部件编组,用于实现安全加密数据交换,其中实现安全加密数据交换的所述步骤包括所述如下步骤:
生成对话密钥元组并且将该对话密钥元组发送到互相认证的客户设备和服务器;
构造在所述传输层中编组的所述部件,使得能够根据跨层方法在所述客户设备与所述服务器之间实现安全加密数据交换。
17.根据权利要求16所述的计算机实现方法,其中用于在多个客户设备与多个服务器之间实现安全对话建立的所述步骤包括如下所述:
·在所述方法中,在客户设备与服务器之间建立安全对话之前,产生密钥并且将该密钥发送到所述服务器和所述客户设备;
·由客户设备启动与服务器对话并且利用所述发送的密钥认证所述服务器,从而通过互相认证在所述服务器与所述客户设备之间建立数据交换的安全对话;
·在服务器处接收来自客户设备的对话启动请求,并且利用所述发送的密钥识别和认证所述客户设备,从而有助于在所述服务器与所述客户设备之间实现数据交换的安全对话建立。
18.根据权利要求16所述的计算机实现方法,其中在所述客户设备实现所述方法包括如下步骤:
根据预定第一组规则,提供第一组处理命令;
在所述第一组处理命令的作用下产生第一随机数;
在第一组处理命令的作用下,产生含有所述第一随机数和预定唯一标识符的对话启动请求并且将该对话启动请求发送到服务器;
接收加密挑战代码和密钥,并且利用所述收到的密钥并且在所述第一组处理命令的作用下解密所述加密挑战代码,以获得第三随机数和客户密钥;
存储所述获得的客户密钥;
在所述第一组处理命令的作用下产生第二随机数;
根据所述第三随机数和所述第二随机数,产生响应代码;
利用所述存储的客户密钥对所述响应代码加密,从而获得并且发送加密响应代码;
接收加密最终消息,并且利用所述收到的密钥并且在所述第一组处理命令的作用下解密所述加密最终消息,从而获得第二随机数和服务器密钥;
存储所述获得的服务器密钥;以及
将所述产生的第二随机数与所述获得的第二随机数进行比较,以认证所述服务器,从而对与所述服务器的数据交换实现安全对话建立。
19.根据权利要求16所述的计算机实现方法,其中在所述服务器实现的所述方法包括所述如下步骤:
根据预定第二组规则提供第二组处理命令;
存储多个唯一标识符,其中所述唯一标识符中的每个都对应于客户设备;
接收含有第一随机数和唯一标识符的对话启动请求,并且使所述收到的唯一标识符与所述存储的唯一标识符匹配,从而识别所述客户设备;
在所述第二组处理命令的作用下,产生唯一客户密钥和唯一服务器密钥;
在所述第二组处理命令的作用下产生和发送第三随机数;
利用所述第一随机数、所述客户密钥以及所述第三随机数,产生挑战代码;
在所述第二组***处理命令的作用下,利用所述密钥对所述产生的挑战代码加密,从而获得并且发送加密挑战代码;
接收加密的响应代码,并且利用所述客户密钥对所述收到的加密响应代码解密,从而获得存在于所述响应代码中的第二随机数和第三随机数;
将所述产生的第三随机数与所述获得的第三随机数进行比较,以认证所述客户设备;以及
产生含有利用所述密钥加密的所述第三随机数、所述服务器密钥和所述第二随机数的最终消息并且对该最终消息加密,从而获得加密最终消息并且将该加密最终消息发送到所述客户设备,从而有助于对与所述客户设备的数据交换实现安全对话建立。
20.根据权利要求16所述的计算机实现方法,其中生成并且发送所述对话密钥元组的所述步骤还包括所述如下步骤:
在认证时,接收客户设备和服务器产生的客户密钥、服务器密钥和随机数;
利用所述收到的随机数,生成客户初始化向量和服务器初始化向量;
生成含有所述收到的客户密钥、所述收到的服务器密钥、所述客户初始化向量和所述服务器初始化向量的所述对话密钥元组;以及
将所述生成的对话密钥元组发送到所述客户设备和所述服务器,从而使得能够在所述客户设备与所述服务器之间进行安全加密数据交换。
21.根据权利要求16所述的计算机实现方法,其中在客户设备与服务器之间交换加密数据的所述步骤基于利用所述对话密钥元组的密钥建立步骤,并且包括对客户设备和服务器保持独立加密和解密密钥的步骤,并且还包括如下步骤:
在所述客户设备,利用所述客户密钥和所述客户初始化向量对数据加密;
在所述客户设备,利用所述服务器密钥和所述服务器初始化向量对数据解密;
在所述服务器,利用所述服务器密钥和所述服务器初始化向量对数据加密;以及
在所述服务器,利用所述客户密钥和所述客户初始化向量对数据解密。
22.根据权利要求16所述的方法,其中产生所述密钥的所述步骤包含在所述开始对话时产生唯一密钥的所述步骤,其中所述唯一密钥仅在进行对话时有效。
23.根据权利要求17和18所述的方法,其中产生所述第一随机数、所述第二随机数以及所述第三随机数的步骤包含产生不能再生并且从一个对话到另一个对话会改变的随机数。
24.根据权利要求16所述的方法,其中所述方法与包含CoAP的受限设备的所述应用层集成,以实现安全对话建立。
25.根据权利要求16所述的方法,其中所述方法与包含DTLS的所述传输层安全方案集成,以实现安全加密数据交换。
26.根据权利要求16所述的方法,其中所述方法包含生成并且利用所述接口层映射所述对话密钥元组的步骤。
27.根据权利要求16所述的方法,其中所述方法包含利用采用消息认证的整体校验,利用对称加密通过加密域中的应用层建立对话的所述步骤。
28.根据权利要求16所述的方法,其中所述方法包括导出利用与DTLS-PSK记录加密类似的对话结构映射的对话参数的所述步骤。
29.根据权利要求16所述的方法,其中所述方法包含,通过包含CoAP的受限应用协议提供安全对话加密,并且在UDP传输时,后续通过安全通道交换加密数据的步骤。
30.根据权利要求16所述的方法,其中采用跨层方法的所述方法包含,利用包含所述应用层的上层建立对话,并且利用包含所述传输层的下层执行通道加密,从而对所述上层提供更多控制的步骤。
CN201510684791.9A 2014-10-20 2015-10-20 用于安全对话建立和数据的加密交换的计算机实现***和方法 Active CN105530238B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
IN3349/MUM/2014 2014-10-20
IN3349MU2014 2014-10-20

Publications (2)

Publication Number Publication Date
CN105530238A true CN105530238A (zh) 2016-04-27
CN105530238B CN105530238B (zh) 2020-10-02

Family

ID=54345406

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510684791.9A Active CN105530238B (zh) 2014-10-20 2015-10-20 用于安全对话建立和数据的加密交换的计算机实现***和方法

Country Status (4)

Country Link
US (1) US10015146B2 (zh)
EP (1) EP3016422B1 (zh)
JP (2) JP6850530B2 (zh)
CN (1) CN105530238B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110881041A (zh) * 2019-11-28 2020-03-13 杭州涂鸦信息技术有限公司 一种连接方法、mqtt客户端和mqtt服务端
CN112703500A (zh) * 2018-08-24 2021-04-23 耐瑞唯信有限公司 在低功率模式期间保护存储在IoT装置的存储器中的数据

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104765999B (zh) * 2014-01-07 2020-06-30 腾讯科技(深圳)有限公司 一种对用户资源信息进行处理的方法、终端及服务器
US10375030B2 (en) * 2016-06-24 2019-08-06 Combined Conditional Access Development & Support Initialization encryption for streaming content
EP3529963B1 (en) * 2016-10-21 2023-06-07 Telefonaktiebolaget LM Ericsson (PUBL) Methods and apparatus for facilitating real time multimedia communications
CN113630773B (zh) * 2017-01-24 2023-02-14 华为技术有限公司 安全实现方法、设备以及***
US20180376516A1 (en) * 2017-06-21 2018-12-27 Aruba Networks, Inc. Establishing a Datagram Transport Layer Security Connection between Nodes in a Cluster
US10819519B2 (en) * 2017-11-21 2020-10-27 Protegrity Corporation Multi-tenant data protection in a centralized network environment
US11582233B2 (en) 2017-11-22 2023-02-14 Aeris Communications, Inc. Secure authentication of devices for Internet of Things
WO2019104124A1 (en) 2017-11-22 2019-05-31 Aeris Communications, Inc. Secure authentication of devices for internet of things
CN112425115B (zh) * 2018-04-26 2024-04-16 塞克罗斯股份有限公司 匿名***中的多因素访问控制方法
CN109255247B (zh) * 2018-08-14 2020-08-14 阿里巴巴集团控股有限公司 多方安全计算方法及装置、电子设备
US11025413B2 (en) 2018-09-04 2021-06-01 International Business Machines Corporation Securing a storage network using key server authentication
US11038698B2 (en) * 2018-09-04 2021-06-15 International Business Machines Corporation Securing a path at a selected node
US11038671B2 (en) 2018-09-04 2021-06-15 International Business Machines Corporation Shared key processing by a storage device to secure links
US11991273B2 (en) 2018-09-04 2024-05-21 International Business Machines Corporation Storage device key management for encrypted host data
US11088829B2 (en) 2018-09-04 2021-08-10 International Business Machines Corporation Securing a path at a node
US11070363B1 (en) 2018-12-21 2021-07-20 Mcafee, Llc Sharing cryptographic session keys among a cluster of network security platforms monitoring network traffic flows
CN111385342B (zh) * 2018-12-29 2023-04-07 ***通信集团北京有限公司 一种物联网行业识别方法、装置、电子设备及存储介质
US11405203B2 (en) * 2020-02-17 2022-08-02 Eclypses, Inc. System and method for securely transferring data using generated encryption keys
US11848928B2 (en) * 2020-05-21 2023-12-19 Qwyit Llc Participant-managed, independent-trust authentication service for secure messaging
US20220377051A1 (en) * 2021-05-20 2022-11-24 Ford Global Technologies, Llc Vehicle network address assignment

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090271612A1 (en) * 2006-08-15 2009-10-29 Huawei Technologies Co., Ltd. Method, system and device for realizing multi-party communication security
CN102037707A (zh) * 2008-04-07 2011-04-27 交互数字专利控股公司 安全会话密钥生成
WO2013087039A1 (zh) * 2011-12-15 2013-06-20 华为技术有限公司 一种安全传输数据方法,装置和***
US20140115702A1 (en) * 2012-10-19 2014-04-24 Xiaoning Li Encrypted data inspection in a network environment

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7788480B2 (en) * 2003-11-05 2010-08-31 Cisco Technology, Inc. Protected dynamic provisioning of credentials
KR100651719B1 (ko) * 2004-11-04 2006-12-06 한국전자통신연구원 투명성을 보장하는 전송 계층에서의 보안 제공 방법 및 그장치
FR2901083B1 (fr) 2006-05-15 2012-12-14 Hajjeh Ibrahim Une methode de mise en place des reseaux prives virtuels et de control d'acces distant
US8578159B2 (en) 2006-09-07 2013-11-05 Motorola Solutions, Inc. Method and apparatus for establishing security association between nodes of an AD HOC wireless network
US9094206B2 (en) 2007-10-26 2015-07-28 Telcordia Technologies, Inc. Method and system for secure session establishment using identity-based encryption (VDTLS)
US8281134B2 (en) 2009-01-29 2012-10-02 Symbol Technologies, Inc. Methods and apparatus for layer 2 and layer 3 security between wireless termination points
IN2014CN00663A (zh) 2011-07-25 2015-04-03 Koninkl Philips Nv
US20130170645A1 (en) * 2011-12-29 2013-07-04 Mediatek Inc. Encryption and decryption devices and methods thereof
US8880885B2 (en) * 2012-10-09 2014-11-04 Sap Se Mutual authentication schemes
US9106413B2 (en) 2012-11-02 2015-08-11 Alcatel Lucent Method and apparatus for resilient end-to-end message protection for large-scale cyber-physical system communications
US8782774B1 (en) * 2013-03-07 2014-07-15 Cloudflare, Inc. Secure session capability using public-key cryptography without access to the private key
US9979625B2 (en) * 2014-02-05 2018-05-22 Apple Inc. Uniform communication protocols for communication between controllers and accessories
EP2903204A1 (en) * 2014-02-03 2015-08-05 Tata Consultancy Services Limited A computer implemented system and method for lightweight authentication on datagram transport for internet of things

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090271612A1 (en) * 2006-08-15 2009-10-29 Huawei Technologies Co., Ltd. Method, system and device for realizing multi-party communication security
CN102037707A (zh) * 2008-04-07 2011-04-27 交互数字专利控股公司 安全会话密钥生成
WO2013087039A1 (zh) * 2011-12-15 2013-06-20 华为技术有限公司 一种安全传输数据方法,装置和***
US20140115702A1 (en) * 2012-10-19 2014-04-24 Xiaoning Li Encrypted data inspection in a network environment

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ARIJIT UKIL等: "Lightweight Security Scheme for Vehicle Tracking System Using CoAP", 《PROCEEDINGS OF THE INTERNATIONAL WORKSHOP ON ADAPTIVE SECURITY,ASPI》 *
汤春明等: "无线物联网中CoAP协议的研究与实现", 《现代电子技术》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112703500A (zh) * 2018-08-24 2021-04-23 耐瑞唯信有限公司 在低功率模式期间保护存储在IoT装置的存储器中的数据
CN110881041A (zh) * 2019-11-28 2020-03-13 杭州涂鸦信息技术有限公司 一种连接方法、mqtt客户端和mqtt服务端

Also Published As

Publication number Publication date
EP3016422A1 (en) 2016-05-04
JP6844908B2 (ja) 2021-03-17
EP3016422B1 (en) 2019-10-30
JP6850530B2 (ja) 2021-03-31
JP2016082597A (ja) 2016-05-16
US20160112381A1 (en) 2016-04-21
US10015146B2 (en) 2018-07-03
JP2020202594A (ja) 2020-12-17
CN105530238B (zh) 2020-10-02

Similar Documents

Publication Publication Date Title
CN105530238A (zh) 用于安全对话建立和数据的加密交换的计算机实现***和方法
CN109347809B (zh) 一种面向自主可控环境下的应用虚拟化安全通信方法
CN108599925B (zh) 一种基于量子通信网络的改进型aka身份认证***和方法
CN108683501B (zh) 基于量子通信网络的以时间戳为随机数的多次身份认证***和方法
KR101297648B1 (ko) 서버와 디바이스간 인증방법
JP2009529832A (ja) 発見不可能、即ち、ブラック・データを使用するセキュアなデータ通信
WO2020186823A1 (zh) 区块链的数据查询方法、装置、***、设备及存储介质
CN110087240B (zh) 基于wpa2-psk模式的无线网络安全数据传输方法及***
CN108599926B (zh) 一种基于对称密钥池的HTTP-Digest改进型AKA身份认证***和方法
KR20110004870A (ko) 암호 수단을 분배하는 방법
CN105282179A (zh) 一种基于cpk的家庭物联网安全控制的方法
US20220141004A1 (en) Efficient Internet-Of-Things (IoT) Data Encryption/Decryption
CN101895881B (zh) 一种实现gba密钥的方法及终端可插拔设备
CN105978918B (zh) 一种适用于无线体域网通讯接入的双线性身份认证方法
CN108616350B (zh) 一种基于对称密钥池的HTTP-Digest类AKA身份认证***和方法
KR101424972B1 (ko) 모바일 카드를 이용한 컨텐츠 사용 방법, 호스트 장치, 및모바일 카드
KR20200099873A (ko) 드론(Unnamed Aerial vehicle)시스템을 위한 HMAC기반의 송신원 인증 및 비밀키 공유 방법 및 시스템
Leu et al. Improving security level of LTE authentication and key agreement procedure
CN113365264A (zh) 一种区块链无线网络数据传输方法、装置及***
Roselin et al. Lightweight authentication protocol (LAUP) for 6LoWPAN wireless sensor networks
CN114696999A (zh) 一种身份鉴别方法和装置
CN112069487B (zh) 一种基于物联网的智能设备网络通讯安全实现方法
JP2009065226A (ja) 認証付鍵交換システム、認証付鍵交換方法およびプログラム
JP2024500526A (ja) アイデンティティ認証方法、認証アクセスコントローラ及び要求機器、記憶媒体、プログラム、並びにプログラム製品
CN110572788B (zh) 基于非对称密钥池和隐式证书的无线传感器通信方法和***

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant