用于认证系统的电子装置制造方法及图纸

一种电子装置，包括：处理器，其被构造为接收在终端装置产生的认证消息，基于数据和认证消息获得认证密钥，以及基于认证密钥验证认证消息；以及存储器，其被构造为存储数据、认证消息和认证密钥。这里，利用与基于数据和认证消息获得的认证密钥相对应的对应认证密钥在终端装置产生认证消息。

Electronic device for authentication system

An electronic device includes a processor configured to receive authentication messages generated in a terminal device, obtain authentication keys based on data and authentication messages, and verify authentication messages based on authentication keys; and a memory configured to store data, authentication messages and authentication keys. Here, the authentication message is generated in the terminal device using the corresponding authentication key corresponding to the authentication key obtained based on the data and authentication message.

【技术实现步骤摘要】
用于认证系统的电子装置相关申请的交叉引用本申请要求于2017年4月24日在韩国知识产权局提交的韩国专利申请No.10-2017-0052509的优先权，该申请的公开以引用方式全文并入本文中。
根据本文公开的专利技术构思的示例性实施例的设备和方法涉及电子装置，更具体地说，涉及认证系统。
技术介绍
随着信息技术的发展，个人信息可通过电子装置等存储和处理。因此，认证系统已发展为保护用户的个人信息免于恶意攻击。认证系统可基于编码技术。编码技术是一种用于防止具有特定知识的除用户之外的人获得特定信息的技术。因此，编码技术包括用于利用复杂算法转换指示特定信息的数据值的技术。编码技术包括基于对称密钥的编码技术和基于非对称密钥的编码技术。在基于对称密钥的编码技术中，在编码数据和解码编码的数据的处理中使用相同密钥。因此，用于基于对称密钥的编码技术中的对称密钥是不应该暴露于第三方的秘密密钥。相比之下，在基于非对称密钥的编码技术中使用两种不同类型的密钥(公钥和私钥)。公钥暴露于第三方是没关系的。公钥用于编码消息。私钥不应该暴露于第三方。私钥用于解码编码的消息。随着物联网(IoT)系统应用于日常生活，编码技术变得更加重要。IoT系统可执行信息交换和处理交换的信息，而不用人的介入。在IoT系统中包括低功率终端装置。因此，在IoT系统中使用的认证系统使用不需要高运算能力的基于对称密钥的编码技术。然而，如果对称密钥暴露，则严重威胁基于对称密钥的编码技术的安全性。
技术实现思路
本专利技术构思的示例性实施例提供了一种用于认证终端装置的认证系统。根据示例性实施例的一方面，提供了一种电子装置，诸如包括处理器和存储器的集线器。处理器可被构造为接收在终端装置产生的认证消息、基于数据和认证消息获得认证密钥以及基于认证密钥验证认证消息。这里，可利用与基于数据和认证消息获得的认证密钥相对应的对应认证密钥在终端装置产生认证消息。根据示例性实施例的一方面，提供了一种电子装置，其为一种终端装置，该终端装置包括：安全模块，其被构造为基于认证密钥生成认证消息；存储器，其被构造为存储与认证消息关联的数据；以及发送器，其被构造为将认证消息发送至集线器，以验证。这里，安全模块可通过以下步骤生成认证消息：对与集线器共享的验证标识符和指示产生形成认证消息的消息的时间的时间戳中的至少一个进行编码；以及利用认证密钥生成消息认证码。附图说明以上及其它方面和特点将从以下参照附图的描述中变得清楚，其中，除非另有说明，否则相同标号在各个附图中始终指代相同部件，附图中：图1是示出根据本专利技术构思的示例性实施例的认证系统的示例的示意图；图2是示出根据本专利技术构思的示例性实施例的认证系统的示例的框图；图3是示出用于产生认证密钥的协议的示例的框图；图4是示出在图1的终端装置中产生认证消息的协议的示例的框图；图5是示出从认证消息获得数据的方法的示例的框图；图6是示出在图1的集线器中用于验证认证消息的协议的示例的框图；图7是示出根据本专利技术构思的示例性实施例的通过认证系统验证认证消息的方法的示例的流程图；图8是示出根据本专利技术构思的示例性实施例的用于实施图1的终端装置和集线器的电子装置的示例的框图；以及图9是示出根据本专利技术构思的示例性实施例的用于实施认证系统的物联网系统的示例的概念示意图。具体实施方式下面，详细和清楚地描述本专利技术构思的示例性实施例，以使得本领域普通技术人员可容易地实施本专利技术构思。图1是示出根据本专利技术构思的示例性实施例的认证系统的示例的示意图。参照图1，认证系统100可包括密钥管理系统(KMS)110、终端装置120和集线器130。终端装置120可基于安全元件(SE)121提供安全功能。集线器130可基于可信执行环境(TEE)131提供安全功能。密钥管理系统110可生成盐值(salt)、装置标识符(ID)、标识符和秘密密钥。密钥管理系统110可基于盐值、装置ID、标识符和秘密密钥生成认证密钥。将参照图3描述用于生成认证密钥的详细协议。例如，密钥管理系统110可随机生成指定位数的数据，并且可使用生成的数据作为标识符。可替换地，密钥管理系统110可生成指示与终端装置120关联的信息(例如，与终端装置120所属的产品组关联的信息)的数据，并且可使用生成的数据作为标识符。例如，密钥管理系统110可随机生成指定位数的数据，并且可使用生成的数据作为盐值。当利用哈希(Hash)函数从特定数据计算哈希值时可使用盐值。可通过不同的盐值从相同的数据和相同的哈希函数中计算出彼此不同的哈希值。例如，密钥管理系统110可生成与和终端装置120关联的信息(例如，终端装置120的制造商名称)关联的数据，并且可使用生成的数据作为装置ID。可替换地，密钥管理系统110可生成与和包括在终端装置120中的安全模块关联的信息(例如，安全模块的型号名称)关联的数据，并且可使用生成的数据作为装置ID。例如，秘密密钥可为能够用于执行基于对称密钥的编码操作的对称密钥。秘密密钥可用于基于承诺协议转换特定数据的编码操作。在制造终端装置120时(即，在用户使用终端装置120之前)，密钥管理系统110可将盐值、装置ID和认证密钥发送至终端装置120。从密钥管理系统110接收的盐值、装置ID和认证密钥可存储在终端装置120中。通过基于SE121提供的安全功能，可将认证密钥存储在终端装置120中。另外，在制造集线器130时(即，在用户使用集线器130之前)，密钥管理系统110可将标识符和秘密密钥发送至集线器130。通过基于TEE131提供的安全功能，可将从密钥管理系统110接收到的标识符和秘密密钥存储在集线器130中。例如，密钥管理系统110可包括用于生成和管理将用于认证系统100中的数据的一组计算装置。因此，密钥管理系统110可包括一个或多个处理器、一个或多个存储器、一个或多个贮存器等。将参照图8描述密钥管理系统110的示例实施方式。终端装置120可从密钥管理系统110接收盐值、装置ID和认证密钥。终端装置120可基于接收到的盐值、装置ID和认证密钥生成认证消息。将参照图4描述用于生成认证消息的详细协议。终端装置120可将生成的认证消息发送至集线器130。例如，终端装置120可通过安全信道将生成的认证消息发送至集线器130。可替换地，终端装置120可通过正常信道将生成的认证消息发送至集线器130。例如，终端装置120可包括基于SE121提供安全功能的安全模块。例如，安全模块可包括贮存器。基于SE121提供的安全功能可仅允许被验证了的用户访问安全模块。将参照图8描述基于SE121在安全模式下操作的安全模块。集线器130可从密钥管理系统110接收标识符和秘密密钥。集线器130可基于标识符和秘密密钥获得认证密钥。将参照图3描述用于获得认证密钥的详细协议。集线器130可从终端装置120接收认证消息。集线器130可从接收到的认证消息中获得认证所需的数据。集线器130可基于获得的数据和认证密钥验证接收到的认证消息。将参照图6描述用于认证接收到的认证消息的详细协议。例如，集线器130可包括基于TEE131提供安全功能的处理器。例如，处理器可包括存储器。基于TEE131提供的安全功能可仅允许被验证了的用户访问处理器。将参照图8描述基于TEE131在安全模式本文档来自技高网...

【技术保护点】
1.一种电子装置，包括：处理器，其被构造为：基于第一数据和第一认证消息获得第一认证密钥，基于第一认证密钥验证第一认证消息，基于第二数据和第二认证消息获得第二认证密钥，以及基于第二认证密钥验证第二认证消息；以及存储器，其被构造为存储第一数据、第一认证消息、第一认证密钥、第二数据、第二认证消息和第二认证密钥，其中，第二认证消息与第一认证消息不同，第二认证密钥与第一认证密钥不同，第一认证密钥与第一终端装置关联，并且第二认证密钥与第二终端装置关联。

【技术特征摘要】
2017.04.24 KR 10-2017-00525091.一种电子装置，包括：处理器，其被构造为：基于第一数据和第一认证消息获得第一认证密钥，基于第一认证密钥验证第一认证消息，基于第二数据和第二认证消息获得第二认证密钥，以及基于第二认证密钥验证第二认证消息；以及存储器，其被构造为存储第一数据、第一认证消息、第一认证密钥、第二数据、第二认证消息和第二认证密钥，其中，第二认证消息与第一认证消息不同，第二认证密钥与第一认证密钥不同，第一认证密钥与第一终端装置关联，并且第二认证密钥与第二终端装置关联。2.根据权利要求1所述的电子装置，其中，处理器被构造为基于包括在第一认证消息中的消息认证码以及与第一终端装置共享的验证标识符和电子装置接收到认证消息的时间中的至少一个验证第一认证消息。3.根据权利要求1所述的电子装置，其中，处理器被构造为响应于包括在认证消息中的消息认证码与从包括在第一认证消息中的编码的消息中获得的消息认证码一致、与终端装置共享的验证标识符与从编码的消息中获得的验证标识符一致、电子装置接收到第一认证消息的时间与第一终端装置生成编码的消息的时间之间的差小于参考时长来验证第一认证消息。4.根据权利要求3所述的电子装置，其中，第一认证密钥包括编码密钥和消息认证密钥，并且其中，编码密钥用于从包括在编码的消息中的加密的消息中获得验证标识符和关于生成编码的消息的时间的信息，并且其中，消息认证密钥用于从编码的消息中获得消息认证码。5.根据权利要求1所述的电子装置，其中，第一数据包括与标识符关联的数据和与秘密密钥关联的数据，并且其中，第一认证消息包括哈希消息认证码和编码的消息，编码的消息包括加密的消息，并且加密的消息包括与在第一终端装置生成加密的消息的时间关联的数据。6.根据权利要求5所述的电子装置，其中，第一认证密钥包括编码密钥和消息认证密钥，并且其中，处理器被构造为基于编码密钥和加密的消息获得与时间关联的数据和与验证标识符关联的数据，以及利用消息认证密钥和编码的消息获得哈希消息认证码。7.根据权利要求5所述的电子装置，其中，处理器被构造为验证与时间关联的数据、与验证标识符关联的数据和哈希消息认证码。8.一种电子装置，包括：安全模块，其被构造为基于第一认证密钥生成第一认证消息；以及存储器，其被构造为存储与第一认证消息关联的数据，其中，第一认证密钥与安全模块关联，其中，第一认证密钥与和另一安全模块关联的第二认证密钥不同，并且其中，第一认证消息与和第二认证密...

【专利技术属性】
技术研发人员：全商勋，金亨燮，李元宰，
申请(专利权)人：三星电子株式会社，
类型：发明
国别省市：韩国,KR