CN106067871A - 用于确保在网络中传送的数据的安全的方法和*** - Google Patents

用于确保在网络中传送的数据的安全的方法和*** Download PDF

Info

Publication number
CN106067871A
CN106067871A CN201610246837.3A CN201610246837A CN106067871A CN 106067871 A CN106067871 A CN 106067871A CN 201610246837 A CN201610246837 A CN 201610246837A CN 106067871 A CN106067871 A CN 106067871A
Authority
CN
China
Prior art keywords
session key
key
destination node
data
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610246837.3A
Other languages
English (en)
Other versions
CN106067871B (zh
Inventor
吉亚斯·阿尔-卡迪
彼得·波拉克
尤尔根·盖林斯
简-威廉·沃热尔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NXP BV
Original Assignee
NXP BV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NXP BV filed Critical NXP BV
Publication of CN106067871A publication Critical patent/CN106067871A/zh
Application granted granted Critical
Publication of CN106067871B publication Critical patent/CN106067871B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

根据本发明的第一方面,构想一种用于确保在网络中传送的数据的安全的方法,所述方法包括:通过所述网络中的目标节点接收由所述网络中的源节点发射的至少一个消息;通过所述目标节点通过执行单向函数来产生会话密钥,所述单向函数将所接收的上一消息中的至少一部分和初始密钥用作输入参数;通过所述目标节点将所述会话密钥用于对所述数据进行加密或解密。此外,根据本发明的第二方面,构想一种相对应的计算机程序产品。此外,根据本发明的第三方面,构想一种相对应的***。

Description

用于确保在网络中传送的数据的安全的方法和***
技术领域
本发明涉及一种用于确保在网络中传送的数据的安全的方法。此外,本发明涉及一种用于确保在网络中传送的数据的安全的相对应的计算机程序产品,且涉及一种用于确保在网络中传送的数据的安全的相对应的***。
背景技术
现今,电子装置通常是可联网装置。也就是说,此类装置通常可以并入到有线网络或无线网络中,所述有线网络例如以太网,所述无线网络例如蜂窝式网络、ZigBee网络、蓝牙网络和Wi-Fi网络。装置的网络的另一实例是车载网络。可联网装置可以经由有线或无线通信信道将大量数据发射到彼此。为了保护所发射的数据,通常对该数据进行加密。例如,可以通过执行加密算法来对该数据进行加密,所述加密算法将加密密钥和所述数据用作输入,或换句话说,可以用加密密钥对该数据进行加密。此类加密算法的实例是所谓的高级加密标准(AES)算法。在对称密钥加密算法的情况下,加密密钥是在数据传输中所涉及的源节点和目标节点之间共享的秘密密钥,且所述秘密密钥应该优选地具有有限的使用期限。因此,通常产生所谓的会话密钥。会话密钥仅可以在较短持续时间的特定会话期间使用,以便防止重放攻击。
发明内容
根据本发明的第一方面,构想一种用于确保在网络中传送的数据的安全的方法,该方法包括:通过网络中的目标节点接收由网络中的源节点发射的至少一个消息;通过所述目标节点通过执行单向函数来产生会话密钥,所述单向函数将所接收的上一消息中的至少一部分和初始密钥用作输入参数;通过所述目标节点将会话密钥用于对所述数据进行加密或解密。
在一个或多个实施例中,所接收的上一消息中的所述部分是消息认证码。
在一个或多个实施例中,单向函数是加密函数。
在一个或多个实施例中,会话密钥还由源节点产生,且会话密钥由源节点和目标节点用于对在其间传送的数据进行加密和解密。
在一个或多个实施例中,源节点是网络网关。
在一个或多个实施例中,初始密钥是秘密主密钥。
在一个或多个实施例中,通过执行所述单向函数来对数据进行加密和解密。
在一个或多个实施例中,产生会话密钥包括在执行单向函数之后执行密钥提取过程。
在一个或多个实施例中,该方法进一步包括:通过目标节点通过执行单向函数来产生新会话密钥,其中该单向函数将所接收的上一消息中的所述部分和会话密钥用作输入参数;通过目标节点将新会话密钥用于对所述数据进行加密或解密。
在一个或多个实施例中,新会话密钥还由源节点产生,且新会话密钥由源节点和目标节点用于对在其间传送的数据进行加密和解密。
根据本发明的第二方面,提供一种计算机程序产品,所述计算机程序产品包括可执行指令,所述可执行指令在由处理单元执行时使得所述处理单元执行或控制根据在前的任一项权利要求所述的方法。
根据本发明的第三方面,构想一种用于确保在网络中传送的数据的安全的***,该***包括:网络中的目标节点,所述目标节点被布置成从网络中的源节点接收消息;所述目标节点进一步被布置成通过执行单向函数来产生会话密钥,所述单向函数将所接收的上一消息中的至少一部分和初始密钥用作输入参数;所述目标节点进一步被布置成将会话密钥用于对所述数据进行加密或解密。
在一个或多个实施例中,源节点还被布置成产生会话密钥,且源节点和目标节点被布置成使用会话密钥来对在其间传送的数据进行加密和解密。
在一个或多个实施例中,目标节点进一步被布置成通过执行单向函数来产生新会话密钥,其中该单向函数将所接收的上一消息中的所述部分和会话密钥用作输入参数;且目标节点进一步被布置成将新会话密钥用于对所述数据进行加密或解密。
在一个或多个实施例中,源节点还被布置成产生新会话密钥,且源节点和目标节点被布置成使用新会话密钥来对在其间传送的数据进行加密和解密。
附图说明
将参考附图更详细地描述实施例,在附图中:
图1示出用于确保所传送的数据的安全的方法的说明性实施例;
图2示出用于确保所传送的数据的安全的方法的另一说明性实施例;
图3示出在硬件中以及可选地部分在软件中的用于确保所传送的数据的安全的方法的说明性实施方案;
图4示出在硬件中以及可选地部分在软件中的用于确保所传送的数据的安全的方法的另一说明性实施方案;
图5示出网关消息发射过程的说明性实施例;
图6示出网关消息接收过程的说明性实施例。
具体实施方式
如上文所提及,根据本发明的第一方面,构想一种用于确保在网络中传送的数据的安全的方法。该方法包括以下步骤。网络中的目标节点接收由网络中的源节点发射的至少一个消息。此外,目标节点通过执行单向函数来产生会话密钥,所述单向函数将所接收的上一消息中的至少一部分和初始密钥用作输入参数。随后,目标节点将此会话密钥用于对数据进行加密或解密。举例来说,目标节点可以用所产生的会话密钥对将传送回到源节点的数据进行加密。由此,可以避免用于产生会话密钥的相对较复杂的步骤,所述步骤是基于例如伪随机数产生器。这可以用于许多种类的网络,例如以太网、ZigBee网络、蓝牙Wi-Fi以及车载网络。取决于可联网装置的性能,可能相对较难以产生会话密钥。本发明所公开的方法和***可以简化会话密钥的产生。
应注意,在下文描述的说明性实施例中,所接收的上一消息中被单向函数用作输入参数的部分是消息认证码。将消息认证码用作输入参数可以实现相对较简单而又安全的实施方案。替代地,但非限制性地,所接收的上一消息中的另一部分可以用作输入参数。例如,可以使用已加密数据中被包括在所述消息中的一部分。此外,可以设想,终端用户选择将所接收的上一消息中的哪一部分用作输入参数。举例来说,终端用户可以选择以下选项中的一个选项:将消息认证码用作输入参数;将来自所接收的上一消息的前128位用作输入参数;将来自所接收的上一消息的后128位用作输入参数;将所接收的上一消息的偶数或奇数字节用作输入参数;将来自所接收的上一消息的前64位和后64位用作输入参数。用户可以经由网络网关的用户接口选择这些选项,且在网络网关的初始化阶段期间,用户可以将选定的选项传送到所有节点。此外,该选项可以通过***周期性地和自动地改变。
此外,应注意,在下文描述的实施例中,单向函数是加密函数,具体来说,单向函数是基于AES算法的加密函数。技术人员将了解,为实施本发明所公开的方法,还可以应用其它单向函数,例如,基于其它已知算法的加密函数。
图1示出用于确保所传送的数据的安全的方法100的说明性实施例。该方法包括,在106处,用初始密钥102对消息认证码104进行加密106。消息认证码(MAC)104是与由网络中的源节点发射的消息相关联的代码。例如,源节点可以将MAC 104附加到消息的有效负载,且目标节点可以从所述消息中提取MAC 104。在此实例中,所述加密106通过执行AES算法106来实现,所述AES算法将初始密钥102和MAC 104用作输入。加密106的结果是已加密密钥108,所述已加密密钥在需要时可以被输入到密钥提取110步骤,在该步骤中可以提取已加密密钥的一部分(例如,前128位),这样做产生会话密钥112。应注意,如果已加密密钥108具有适用于以下加密操作的合适的大小(例如,128位),那么可以省略密钥提取110步骤。在此实例中,输入数据114用所产生会话密钥112来加密116。所述加密116可以通过执行另一AES算法116实现。AES包括三个算法变体或分块密码,即,AES-128、AES-192以及AES-256。每个密码使用对应地具有128位、192位以及256位的长度的加密密钥来对128位的块中的数据进行加密和解密。密钥提取功能可以根据选定变体来配置。两个AES算法106和116可以相同,这可能产生尤其有效的实施方案。加密116产生已加密数据118,所述已加密数据可以经由网络来发射。举例来说,网络中的目标节点可以执行此方法100,以便产生会话密钥112,借助于所述会话密钥,所述目标节点对输入数据114进行加密116,使得所述目标节点可以将已加密数据118发送到源节点,所述目标节点已经从所述源节点接收到用于产生会话密钥112的MAC 104。源节点随后可以使用相同的会话密钥112来对已加密数据118进行解密,所述源节点可能已经通过执行此方法100的一部分,具体来说执行步骤106,且如果需要,执行步骤110,来产生所述会话密钥。尽管未明确地在图1中示出,但目标节点可以(例如)将所述会话密钥112用于对在第二消息中的从源节点接收的数据进行解密,而不是将所产生的会话密钥112用于对将被发射回到源节点的数据进行加密。在此情况下,假设源节点已经产生相同的会话密钥且所述源节点已经用所述会话密钥对所述数据进行加密;下文将参考图5解释此假设,其中所谓的网络网关示出为源节点的具体实例。
因此,源节点可以是网络网关。举例来说,在ZigBee网络中,所谓的“协调器”可以被视为此网络网关。初始密钥可以是所谓的主密钥。具体来说,初始密钥可以是可以在网络节点当中共享的秘密密钥,且所述秘密密钥可以通过网络网关分配给这些节点。
加密会话密钥通常借助于相对较困难的过程产生。例如,为产生会话密钥,可能必需部署在防篡改安全元件中实施或由防篡改安全元件执行的安全真随机数发生器。此外,由网络中的中心节点(例如网络网关)产生的会话密钥应该被安全地分配给其它节点,这可能需要相对较复杂的安全性措施。不幸的是,一些网络网关可能不配备有(例如)安全元件。此外,实施复杂的安全性措施可能对网络的性能具有负面影响。根据本发明所公开的方法和***,可以相对较简单的方式产生会话密钥。具体来说,初始密钥(例如,主密钥)并不用于对数据进行加密和解密,但会话密钥通过用初始密钥对来自源节点(例如网关)的最少接收消息中的一部分进行加密来产生。因此,例如,初始密钥是强加密密钥且所述初始密钥被安全地分配给其它节点可能不太重要。
在一个或多个实施例中,如上文所提及,会话密钥还可以由源节点产生,且会话密钥可以由源节点和目标节点用于对在其间传送的数据进行加密和解密。以此方式,会话密钥可以针对每一所发射的消息改变且因此提供高安全防护水平。
在一个或多个实施例中,产生会话密钥112可以包括在用初始密钥102对消息认证码104进行加密106之后执行密钥提取过程110。如果加密步骤106的输出并不适于用作加密步骤116的输入,那么执行密钥提取过程110可以是有用的。例如,如果加密步骤116是基于AES-128算法,那么会话密钥112应该具有128位的大小。如果已加密密钥108大于128位,那么密钥提取过程110可以例如从已加密密钥108提取前128位。顺便提一下,已加密密钥108可以小于128位;在此情况下,密钥提取过程110可以将填补位添加到已加密密钥108以便产生128位会话密钥112。
图2示出用于确保所传送的数据的安全的方法200的另一说明性实施例。如上文所提及,在一个或多个实施例中,目标节点可以通过用会话密钥对消息认证码进行加密来产生新会话密钥,且目标节点可以将新会话密钥用于对所传送的数据进行加密和解密。通过在迭代过程中产生会话密钥,安全防护水平可以相对较容易的方式增加,在所述迭代过程中,用当前会话密钥对所接收的上一消息的消息认证码进行加密,这样做会产生新会话密钥。图2示出在此迭代过程中的步骤。技术人员将了解,图2中示出的步骤可重复。具体来说,每当已经使用会话密钥时,可以通过执行这些步骤产生新会话密钥。同时,源节点还可能已经将包含新消息认证码的消息发送到目标节点。在此情况下,使用新消息认证码。
更确切地说,方法200包括与图1中示出的方法100相同的步骤。然而,在加密步骤106中,MAC 104不用初始密钥102而是用当前会话密钥进行加密。当前会话密钥可以例如是会话密钥112,所述会话密钥已经在第一迭代中通过用初始密钥102对MAC 104进行加密来产生,如图1中所示。当前会话密钥还可以是已经依赖于前一会话密钥产生的会话密钥。在任一情况下,MAC 104都可以用当前会话密钥进行加密106,这样做产生已加密密钥108。在此实例中,密钥提取过程110从已加密密钥108提取新会话密钥104。如上文所提及,密钥提取过程110是可选过程。随后,输入数据114用新会话密钥204来加密116,这样做产生已加密数据118。
图3示出在硬件中以及可选地部分在软件中的用于确保所传送的数据的安全的方法的说明性实施方案300。具体来说,示出图1的方法100的说明性实施方案300。实施方案300可以完全在硬件中实现。可选地,一些功能,例如AES功能302和密钥提取功能304,可以部分或完全在软件中实现。实施方案300包括多路复用器306、308、310,所述多路复用器通过选择信号控制。取决于选择信号的值,选择会话密钥产生过程(即,图1的步骤106和110)或数据加密过程(即,图1的步骤116)。
图4示出在硬件中以及可选地部分在软件中的用于确保所传送的数据的安全的方法的另一说明性实施方案400。具体来说,示出图2的方法200的说明性实施方案400。实施方案400可以完全在硬件中实现。可选地,一些功能,例如AES功能302和密钥提取功能304,可以部分或完全在软件中实现。实施方案400包括多路复用器306、308、310,所述多路复用器通过选择信号控制。取决于选择信号的值,选择新会话密钥产生过程(即,图2的步骤106和110)或数据加密过程(即,图2的步骤116)。
图5示出网关消息发射过程500的说明性实施例。具体来说,该图示出网络网关将包括已加密数据和MAC两者的消息发射到目标节点的方法,使得该目标节点可以取决于所述MAC视具体情况而产生会话密钥或新会话密钥,且使用会话密钥或新会话密钥对下一消息的已加密数据进行解密。应注意,为对当前消息的已加密数据进行解密,目标节点应该视具体情况仍使用初始密钥或先前产生的会话密钥。另外,目标节点可以根据图1或图2中示出的方法,使用所产生的会话密钥或所产生的新会话密钥来对新数据进行加密,所述新数据将被传送回到网关。因此,网关消息发射过程500包括步骤526,在所述步骤526中,网关计算与期望目标节点计算的会话密钥相同的会话密钥,使得,在网关消息接收过程(图6中详细地示出)中,网关将能够对从目标节点接收的已加密新数据进行解密。
更具体地说,网关消息发射过程500包括以下步骤。在502处,网关消息发射过程开始。在504处,例如通过网关中的处理单元从网关中的存储器单元读取纯数据。在506处,处理单元检查计数器值是否大于零。在508处,如果计数器值不大于零,那么从存储器单元读取初始密钥。在510处,如果计数器值大于零,那么读取先前产生的会话密钥。在512处,将所得密钥用作输入参数。在514处,用所得密钥对消息有效负载进行加密。在516处,使用散列函数基于已加密有效负载来计算MAC,且将所述MAC附加到已加密消息有效负载,这样做产生可发射消息。在520处,处理单元暂时地存储消息的MAC,以便使得能够在步骤526中计算会话密钥或新会话密钥。在522处,处理单元将消息发射到空中接口。在524处,处理单元检查发射是否已完成。如果是,在526处,处理单元计算且存储会话密钥以用于网关消息接收过程。在528处,处理单元使计数器值递增。在530处,处理单元检查是否应该发射更多的消息。如果是,那么过程500返回到步骤504。如果否,那么网关消息发射过程在532处结束。
图6示出网关消息接收过程的说明性实施例。
具体来说,该图示出网络网关使用在网关消息发射过程500中计算出的会话密钥或新会话密钥来对数据进行解密的方法,所述网络网关已从目标节点接收所述数据。更具体地说,网关消息接收过程在602处开始。在604处,网关从目标节点接收已加密消息。在606处,处理单元检查接收是否已完成。在608处,处理单元读取所存储的会话密钥或新会话密钥。在610处,处理单元用会话密钥或新会话密钥对消息进行解密。在612处,处理单元存储已解密数据。在614处,处理单元检查是否应该接收更多的消息。如果是,过程600返回到步骤604。如果否,网关消息接收过程在616处结束。
本文中所描述的***和方法可以由某一计算机程序或多个计算机程序实施,所述计算机程序可以在单一计算机***中或跨多个计算机***以激活和闲置两者呈多种形式而存在。例如,所述计算机程序可以作为由程序指令组成的软件程序存在于源代码、目标代码、可执行码或其它格式中以用于执行一些步骤。以上格式中的任一格式可以压缩或未压缩形式在计算机可读媒体上实施,所述计算机可读媒体可以包括存储装置和信号。
如本文中所使用,术语“移动装置”是指任何类型的便携式电子装置,包括蜂窝式电话、个人数字助理(PDA)、智能电话、平板计算机等。此外,术语“计算机”是指包括处理器(例如,通用中央处理单元(CPU)、专用处理器或微控制器)的任何电子装置。计算机能够接收数据(输入),能够对数据执行一系列预定操作,并且由此能够产生呈信息或信号形式的结果(输出)。取决于上下文,术语“计算机”将意指(具体来说)处理器或(更一般地说)与单一机箱或外壳内容纳的相关元件的组合相关联的处理器。
术语“处理器”是指数据处理电路,所述数据处理电路可以是微处理器、协同处理器、微控制器、微型计算机、中央处理单元、现场可编程门阵列(FPGA)、可编程逻辑电路、和/或基于存储于存储器中的可操作指令而控制信号(模拟信号或数字信号)的任何电路。术语“存储器”是指某一存储电路或多个存储电路,例如只读存储器、随机存取存储器、易失性存储器、非易失性存储器、静态存储器、动态存储器、快闪存储器、高速缓冲存储器和/或存储数字信息的任何电路。
如本文中所使用,“计算机可读媒体”或“存储媒体”可以是能够容纳、存储、传达、传播或传输计算机程序以供指令执行***、设备或装置使用或结合指令执行***、设备或装置使用的任何构件。计算机可读媒体可以是例如(但不限于)电子的、磁性的、光学的、电磁的、红外线的或半导体的***、设备、装置或传播媒体。计算机可读媒体的更加具体的实例(非穷尽性列表)可以包括以下各项:具有一根或多根导线的电连接、便携式计算机磁盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便携式光盘只读存储器(CDROM)、数字多功能光盘(DVD)、蓝光光盘(BD)以及存储卡。
应注意,已经参考不同标的物描述了以上实施例。具体来说,一些实施例可能已参考方法类的权利要求来描述,而其它实施例可能已参***类的权利要求来描述。然而,本领域的技术人员将从上述内容了解到,除非另外指明,否则除属于一种类型的标的物的特征的任意组合外,与不同标的物相关的特征的任意组合,特别是方法类的权利要求的特征和设备类的权利要求的特征的组合,也视为与此文档一起公开。
此外,应注意图式是示意性的。在不同图式中,类似或相同的元件具有相同的附图标记。此外,应注意,为了提供对说明性实施例的简洁描述,可能并未描述属于技术人员的习惯做法的实施细节。应了解,在任何此类实施方案的研发中,如在任何工程或设计项目中,必须制定大量实施方案特定的决策以便实现研发者的特定目标,例如遵守***相关的和商业相关的约束条件,所述约束条件在不同的实施方案中可能不同。此外,应了解,此类研发工作可能是复杂且耗时的,但不过是本领域技术人员进行设计、制造和生产的例行任务。
最后,应注意,技术人员将能够在不脱离所附权利要求书的范围的情况下设计许多替代实施例。在权利要求书中,置于圆括号之间的任何附图标记不应解释为限制权利要求。单词“包括”不排除在权利要求中列出那些元件或步骤之外的元件或步骤的存在。在元件之前的单词“一(a)”或“一(an)”不排除多个此类元件的存在。权利要求书中所叙述的措施可以借助于包括若干不同元件的硬件和/或借助于适当编程设计的处理器来实施。在列出若干构件的装置权利要求项中,可以通过硬件中的同一个物件实施若干这些构件。在彼此不同的从属权利要求中叙述某些措施这一单纯事实并不表示不能使用这些措施的组合来获得优势。
附图标记列表
100 用于确保所传送的数据的安全的方法
102 初始密钥
104 消息认证码
106 AES算法
108 已加密密钥
110 密钥提取
112 会话密钥
114 输入数据
116 AES算法
118 已加密数据
200 用于确保所传送的数据的安全的方法
202 新会话密钥
300 说明性实施方案
302 AES功能
304 密钥提取功能
306 多路复用器
308 多路复用器
310 多路复用器
400 说明性实施方案
500 网关消息发射过程
502 开始网关消息发射过程
504 读取纯数据
506 检查计数器是否大于零
508 读取初始密钥
510 读取会话密钥
512 所得密钥
514 对消息有效负载进行加密
516 使用散列函数来计算消息认证码
520 存储消息的消息认证码
522 将消息发射到空中接口
524 检查发射是否已完成
526 计算且存储网关消息接收过程的会话密钥
528 使计数器递增
530 检查是否应该发射更多的消息
532 结束网关消息发射过程
600 网关消息接收过程
602 开始网关消息接收过程
604 从目标节点接收已加密消息
606 检查接收是否已完成
608 读取所存储的会话密钥
610 用会话密钥对消息进行解密
612 存储已解密数据
614 检查是否应该接收更多的消息
616 结束网关消息接收过程

Claims (15)

1.一种用于确保在网络中传送的数据的安全的方法,其特征在于,包括:
通过所述网络中的目标节点接收由所述网络中的源节点发射的至少一个消息;
通过所述目标节点通过执行单向函数来产生会话密钥,所述单向函数将所接收的上一消息中的至少一部分和初始密钥用作输入参数;
通过所述目标节点将所述会话密钥用于对所述数据进行加密或解密。
2.根据权利要求1所述的方法,其特征在于,所述所接收的上一消息中的所述部分是消息认证码。
3.根据权利要求1或2所述的方法,其特征在于,所述单向函数是加密函数。
4.根据在前的任一项权利要求所述的方法,其特征在于,所述会话密钥还由所述源节点产生,并且其中所述会话密钥由所述源节点和所述目标节点用于对在其间传送的数据进行加密和解密。
5.根据在前的任一项权利要求所述的方法,其特征在于,所述源节点是网络网关。
6.根据在前的任一项权利要求所述的方法,其特征在于,所述初始密钥是秘密主密钥。
7.根据在前的任一项权利要求所述的方法,其特征在于,所述数据通过执行所述单向函数来加密或解密。
8.根据在前的任一项权利要求所述的方法,其特征在于,产生所述会话密钥包括在执行所述单向函数之后执行密钥提取过程。
9.根据在前的任一项权利要求所述的方法,其特征在于,进一步包括:
通过所述目标节点通过执行所述单向函数来产生新会话密钥,其中所述单向函数将所述所接收的上一消息中的所述部分和所述会话密钥用作输入参数;
通过所述目标节点将所述新会话密钥用于对所述数据进行加密或解密。
10.根据权利要求9所述的方法,其特征在于,所述新会话密钥还由所述源节点产生,并且其中所述新会话密钥由所述源节点和所述目标节点用于对在其间传送的数据进行加密和解密。
11.一种包括可执行指令的计算机程序产品,其特征在于,所述可执行指令在由处理单元执行时使得所述处理单元执行或控制根据在前的任一项权利要求所述的方法。
12.一种用于确保在网络中传送的数据的安全的***,其特征在于,包括:
所述网络中的目标节点,所述目标节点被布置成从所述网络中的源节点接收消息;
所述目标节点进一步被布置成通过执行单向函数来产生会话密钥,所述单向函数将所接收的上一消息中的至少一部分和初始密钥用作输入参数;
所述目标节点进一步被布置成将所述会话密钥用于对所述数据进行加密或解密。
13.根据权利要求12所述的***,其特征在于,所述源节点还被布置成产生所述会话密钥,并且其中所述源节点和所述目标节点被布置成使用所述会话密钥来对在其间传送的数据进行加密和解密。
14.根据权利要求12或13所述的***,其特征在于:
所述目标节点进一步被布置成通过执行所述单向函数来产生新会话密钥,其中所述单向函数将所述所接收的上一消息的所述部分和所述会话密钥用作输入参数;
所述目标节点进一步被布置成将所述新会话密钥用于对所述数据进行加密或解密。
15.根据权利要求14所述的***,其特征在于,所述源节点还被布置成产生所述新会话密钥,并且其中所述源节点和所述目标节点被布置成使用所述新会话密钥来对在其间传送的数据进行加密和解密。
CN201610246837.3A 2015-04-23 2016-04-20 用于确保在网络中传送的数据的安全的方法和*** Active CN106067871B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP15164793.0 2015-04-23
EP15164793.0A EP3086585B1 (en) 2015-04-23 2015-04-23 Method and system for securing data communicated in a network

Publications (2)

Publication Number Publication Date
CN106067871A true CN106067871A (zh) 2016-11-02
CN106067871B CN106067871B (zh) 2021-08-13

Family

ID=53039237

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610246837.3A Active CN106067871B (zh) 2015-04-23 2016-04-20 用于确保在网络中传送的数据的安全的方法和***

Country Status (3)

Country Link
US (1) US10050964B2 (zh)
EP (1) EP3086585B1 (zh)
CN (1) CN106067871B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114553412A (zh) * 2022-02-28 2022-05-27 百果园技术(新加坡)有限公司 一种数据传输方法、装置、设备及存储介质
WO2022144663A1 (en) * 2020-12-30 2022-07-07 International Business Machines Corporation Secure data movement

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3179690A1 (en) * 2015-12-11 2017-06-14 Gemalto Sa Mobile device having trusted execution environment
US10469265B2 (en) * 2016-03-31 2019-11-05 Intel Corporation Technologies for secure inter-enclave communications
JP6288219B1 (ja) * 2016-11-18 2018-03-07 Kddi株式会社 通信システム
US11418364B2 (en) * 2017-06-07 2022-08-16 Combined Conditional Access Development And Support, Llc Determining a session key using session data
CN111404666B (zh) * 2019-01-02 2024-07-05 ***通信有限公司研究院 一种密钥生成方法、终端设备及网络设备
CN112383522B (zh) * 2020-11-02 2023-02-24 浙江苍南仪表集团股份有限公司 函数参数数据传输加密方法、***、装置及可读存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1707450A (zh) * 2004-06-08 2005-12-14 侯方勇 保护存储设备中数据机密性与完整性的方法和装置
US20080112561A1 (en) * 2006-11-13 2008-05-15 Kim Woo Hwan Method of generating message authentication code using stream cipher and authentication/encryption and authentication/decryption methods using stream cipher
CN101478548A (zh) * 2009-01-22 2009-07-08 上海交通大学 数据传输的加密和完整性校验方法
CN102334307A (zh) * 2009-02-27 2012-01-25 爱特梅尔卢梭公司 密码***的密钥恢复机制
CN102469108A (zh) * 2010-11-12 2012-05-23 Nxp股份有限公司 用于汽车远程无钥匙进入***和联网的传感器设备的安全应答确认协议
CN102916805A (zh) * 2012-10-31 2013-02-06 飞天诚信科技股份有限公司 一种安全下载应用的方法
US20130219172A1 (en) * 2005-01-31 2013-08-22 Unisys Corporation System and method for providing a secure book device using cryptographically secure communications across secure networks

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5960086A (en) * 1995-11-02 1999-09-28 Tri-Strata Security, Inc. Unified end-to-end security methods and systems for operating on insecure networks
WO1998047259A2 (en) * 1997-03-10 1998-10-22 Fielder Guy L File encryption method and system
US7352867B2 (en) * 2002-07-10 2008-04-01 General Instrument Corporation Method of preventing unauthorized distribution and use of electronic keys using a key seed
US7657033B2 (en) * 2004-12-10 2010-02-02 Fiske Software Llc Cryptography related to keys
US20080313462A1 (en) * 2007-06-13 2008-12-18 Meiyuan Zhao Apparatus and method for deriving keys for securing peer links
US8898767B1 (en) * 2011-09-22 2014-11-25 Mountain Top Digital, L.L.C. Methods and apparatuses for digital content protection
EP2573948B1 (en) 2011-09-23 2017-03-15 Nxp B.V. System and method for commissioning devices
EP2602677B1 (en) 2011-12-05 2018-02-21 Nxp B.V. Localization method, computer program product and localization device
EP2624081B1 (en) 2012-01-31 2018-01-10 Nxp B.V. Configuration method, configuration device, computer program product and control system
EP2626755B1 (en) 2012-02-10 2019-04-10 Nxp B.V. Calibration method, calibration device and measurement device
EP2650820B1 (en) 2012-04-12 2014-10-08 Nxp B.V. Control method and computer program product
EP2665235B1 (en) 2012-05-15 2016-01-06 Nxp B.V. Method for establishing secure communication between nodes in a network, network node, key manager, installation device and computer program product
EP2704365B1 (en) 2012-08-31 2016-02-03 Nxp B.V. Method for establishing control relationships, configuration device, networked device and computer program product

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1707450A (zh) * 2004-06-08 2005-12-14 侯方勇 保护存储设备中数据机密性与完整性的方法和装置
US20130219172A1 (en) * 2005-01-31 2013-08-22 Unisys Corporation System and method for providing a secure book device using cryptographically secure communications across secure networks
US20080112561A1 (en) * 2006-11-13 2008-05-15 Kim Woo Hwan Method of generating message authentication code using stream cipher and authentication/encryption and authentication/decryption methods using stream cipher
CN101478548A (zh) * 2009-01-22 2009-07-08 上海交通大学 数据传输的加密和完整性校验方法
CN102334307A (zh) * 2009-02-27 2012-01-25 爱特梅尔卢梭公司 密码***的密钥恢复机制
CN102469108A (zh) * 2010-11-12 2012-05-23 Nxp股份有限公司 用于汽车远程无钥匙进入***和联网的传感器设备的安全应答确认协议
CN102916805A (zh) * 2012-10-31 2013-02-06 飞天诚信科技股份有限公司 一种安全下载应用的方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022144663A1 (en) * 2020-12-30 2022-07-07 International Business Machines Corporation Secure data movement
US11743241B2 (en) 2020-12-30 2023-08-29 International Business Machines Corporation Secure data movement
GB2617757A (en) * 2020-12-30 2023-10-18 Ibm Secure data movement
GB2617757B (en) * 2020-12-30 2024-03-06 Ibm Secure data movement
CN114553412A (zh) * 2022-02-28 2022-05-27 百果园技术(新加坡)有限公司 一种数据传输方法、装置、设备及存储介质
CN114553412B (zh) * 2022-02-28 2024-02-23 百果园技术(新加坡)有限公司 一种数据传输方法、装置、设备及存储介质

Also Published As

Publication number Publication date
EP3086585A1 (en) 2016-10-26
EP3086585B1 (en) 2019-12-11
CN106067871B (zh) 2021-08-13
US20160315937A1 (en) 2016-10-27
US10050964B2 (en) 2018-08-14

Similar Documents

Publication Publication Date Title
CN106067871A (zh) 用于确保在网络中传送的数据的安全的方法和***
US11615411B2 (en) POS system with white box encryption key sharing
US9166793B2 (en) Efficient authentication for mobile and pervasive computing
US10122690B2 (en) Data encryption and authentication using a mixing function in a communication system
KR20150129459A (ko) 화이트 박스 암호화 장치 및 그 방법
CN104579680A (zh) 一种安全分发种子的方法
CN106341384A (zh) 用于促进安全通信的方法
CN112948867A (zh) 加密报文的生成与解密方法、装置及电子设备
KR102315632B1 (ko) 신뢰 서버의 준동형 암호 기반 확장 가능한 그룹 키 생성 방법 및 시스템
US20210266175A1 (en) Device for data encryption and integrity
CN106254304A (zh) 用于促进安全通信的方法和***
US11126992B2 (en) Method for facilitating transactions, computer program product and mobile device
US10554640B2 (en) Method and system for facilitating secure communication
CN106161000A (zh) 对数据文件进行加密和解密的方法和***
CN116155483A (zh) 区块链签名机安全设计方法及签名机
CN114499825A (zh) 一种双控密钥管理方法、***、加密机和存储介质
KR102315560B1 (ko) 랜덤오라클 모델에서 공개키 암호로부터 동등성테스트가 가능한 공개키 암호로의 변환 기술
JP5945525B2 (ja) 鍵交換システム、鍵交換装置、その方法、及びプログラム
KR101092026B1 (ko) 암호화 방법
CN113254952B (zh) 一种基于Android***的密钥保护管理方法
US11003763B2 (en) Methods and apparatuses for achieving a security function, in particular in the environment of a device and/or installation controller
CN105282737A (zh) 一种无线网络***及其应用的安全认证方法
CN117176325A (zh) 一种加密处理方法、解密处理方法及相关装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant