使用终端用户联合登录来检测密钥交换加密信道中的破坏制造技术

公开了用于认证第一对等设备和第二对等设备之间的密钥交换的方法和系统。在一方面，第一对等设备将用户的联合登录凭证和第一标识符发送到第一联合登录提供方，从第一联合登录提供方接收第一认证响应，从第二对等设备接收第二认证响应，向第二联合登录提供方认证第二认证响应，将第一认证响应发送到第二对等设备，从第二对等设备接收指示第二对等设备已经向联合登录提供方认证第一认证响应的确认，向第二对等设备发送指示第一对等设备已经认证第二认证响应的确认，并且基于来自第二对等设备的确认来认证密钥交换。

【技术实现步骤摘要】
【国外来华专利技术】相关申请的交叉引用本专利申请要求于2014年3月5日提交的题为“USING END-USER FEDERATED LOGIN TO DETECT A BREACH IN A DIFFIE-HELLMAN KEY EXCHANGE ENCRYPTED CHANNEL(使用终端用户联合登录来检测DIFFIE-HELLMAN密钥交换加密信道中的破坏)”的美国临时申请No.61/948,433的权益，该临时申请已被转让给本申请受让人并由此通过援引明确地整体纳入于此。
本文描述的各种实施例一般涉及使用终端用户联合登录来检测密钥交换加密信道中的破坏。背景因特网是使用标准网际协议套件(例如，传输控制协议(TCP)和网际协议(IP))来彼此通信的互联的计算机和计算机网络的全球系统。物联网(IoT)基于日常对象(不仅是计算机和计算机网络)可经由IoT通信网络(例如，自组织(ad-hoc)系统或因特网)可读、可识别、可定位、可寻址、以及可控制的理念。数个市场趋势正推动IoT设备的开发。例如，增加的能源成本正推动政府在智能电网以及将来消费支持(诸如电动车辆和公共充电站)中的战略性投资。增加的卫生保健成本和老龄化人口正推动对远程/联网卫生保健和健康服务的开发。家庭中的技术革命正推动对新的“智能”服务的开发，包括由营销‘N’种活动(‘N’play)(例如，数据、语音、视频、安全性、能源管理等)并扩展家庭网络的服务提供者所进行的联合。作为降低企业设施的运作成本的手段，建筑物正变得更智能和更方便。存在用于IoT的数个关键应用。例如，在智能电网和能源管理领域，公共事业公司可以优化能源到家庭和企业的递送，同时消费者能更好地管理能源使用。在家庭和建筑物自动化领域，智能家居和建筑物可具有对家或办公室中的实质上任何设备或系统的集中式控制，从电器到插入式电动车辆(PEV)安全性系统。在资产跟踪领域，企业、医院、工厂和其他大型组织能准确跟踪高价值装备、患者、车辆等的位置。在卫生和健康领域，医生能远程监视患者的健康，同时人们能跟踪健康例程的进度。概述以下呈现了涉及与本文公开的使用终端用户联合登录来检测密钥交换加密信道中的破坏的机制相关联的一个或多个方面和/或实施例的简要概述。如此，以下概述既不应被视为与所有构想的方面和/或实施例相关的详尽纵览，以下概述也不应被认为标识与所有构想的方面和/或实施例相关的关键性或决定性要素或描绘与任何特定方面和/或实施例相关联的范围。相应地，以下概述的唯一目的是在以下给出的详细描述之前以简化形式呈现与关于本文所公开的机制的一个或多个方面和/或实施例相关的某些概念。公开了用于认证第一对等设备和第二对等设备之间的密钥交换的系统和方法。一种认证第一对等设备与第二对等设备之间的密钥交换的方法包括：由第一对等设备将第一对等设备的用户的联合登录凭证和第一标识符发送到第一联合登录提供方，其中第二对等设备将该用户的联合登录凭证和第二标识符发送到第二联合登录提供方；由第一对等设备从第一联合登录提供方接收第一认证响应，其中第二对等设备从第二联合登录提供方接收第二认证响应；由第一对等设备从第二对等设备接收第二认证响应；由第一对等设备向第二联合登录提供方认证第二认证响应；由第一对等设备将第一认证响应发送到第二对等设备，其中第二对等设备向第一联合登录提供方认证第一认证响应；由第一对等设备从第二对等设备接收指示第二对等设备已经认证第一认证响应的确认；由第一对等设备向第二对等设备发送指示第一对等设备已经认证第二认证响应的确认；以及由第一对等设备基于来自第二对等设备的确认来认证密钥交换，其中第二对等设备基于来自第一对等设备的确认来认证密钥交换。一种用于认证第一对等设备与第二对等设备之间的密钥交换的装置包括：被配置成由第一对等设备将第一对等设备的用户的联合登录凭证和第一标识符发送到第一联合登录提供方的逻辑，其中第二对等设备将该用户的联合登录凭证和第二标识符发送到第二联合登录提供方；被配置成由第一对等设备从第一联合登录提供方接收第一认证响应的逻辑，其中第二对等设备从第二联合登录提供方接收第二认证响应；被配置成由第一对等设备从第二对等设备接收第二认证响应的逻辑；被配置成由第一对等设备向第二联合登录提供方认证第二认证响应的逻辑；被配置成由第一对等设备将第一认证响应发送到第二对等设备的逻辑，其中第二对等设备向第一联合登录提供方认证第一认证响应；被配置成由第一对等设备从第二对等设备接收指示第二对等设备已经认证第一认证响应的确认的逻辑；被配置成由第一对等设备向第二对等设备发送指示第一对等设备已经认证第二认证响应的确认的逻辑；以及被配置成由第一对等设备基于来自第二对等设备的确认来认证密钥交换的逻辑，其中第二对等设备基于来自第一对等设备的确认来认证密钥交换。一种用于认证第一对等设备与第二对等设备之间的密钥交换的装备包括：用于由第一对等设备将第一对等设备的用户的联合登录凭证和第一标识符发送到第一联合登录提供方的装置，其中第二对等设备将该用户的联合登录凭证和第二标识符发送到第二联合登录提供方；用于由第一对等设备从第一联合登录提供方接收第一认证响应的装置，其中第二对等设备从第二联合登录提供方接收第二认证响应；用于由第一对等设备从第二对等设备接收第二认证响应的装置；用于由第一对等设备向第二联合登录提供方认证第二认证响应的装置；用于由第一对等设备将第一认证响应发送到第二对等设备的装置，其中第二对等设备向第一联合登录提供方认证第一认证响应；用于由第一对等设备从第二对等设备接收指示第二对等设备已经认证第一认证响应的确认的装置；用于由第一对等设备向第二对等设备发送指示第一对等设备已经认证第二认证响应的确认的装置；以及由第一对等设备基于来自第二对等设备的确认来认证密钥交换的装置，其中第二对等设备基于来自第一对等设备的确认来认证密钥交换。一种用于认证第一对等设备与第二对等设备之间的密钥交换的非瞬态计算机可读介质包括：用于由第一对等设备将第一对等设备的用户的联合登录凭证和第一标识符发送到第一联合登录提供方的至少一条指令，其中第二对等设备将该用户的联合登录凭证和第二标识符发送到第二联合登录提供方；用于由第一对等设备从第一联合登录提供方接收第一认证响应的至少一条指令，其中第二对等设备从第二联合登录提供方接收第二认证响应；用于由第一对等设备从第二对等设备接收第二认证响应的至少一条指令；用于由第一对等设备向第二联合登录提供方认证第二认证响应的至少一条指令；用于由第一对等设备将第一认证响应发送到第二对等设备的至少一条指令，其中第二对等设备向第一联合登录提供方认证第一认证响应；用于由第一对等设备从第二对等设备接收指示第二对等设备已经认证第一认证响应的确认的至少一条指令；用于由第一对等设备向第二对等设备发送指示第一对等设备已经认证第二认证响应的确认的至少一条指令；以及用于由第一对等设备基于来自第二对等设备的确认来认证密钥交换的至少一条指令，其中第二对等设备基于来自第一对等设备的确认来认证密钥交换。基于附图和详细描述，与本文公开的各机制相关联的其它目标和优点对本领域的技术人员而言将是显而易见的。附图简述对本公开的各方面及其许多伴随优点的更完整领会将因其在参考结合附图考本文档来自技高网...

【技术保护点】
一种认证第一对等设备与第二对等设备之间的密钥交换的方法，包括：由所述第一对等设备将所述第一对等设备的用户的联合登录凭证和第一标识符发送到第一联合登录提供方，其中所述第二对等设备将所述用户的所述联合登录凭证和第二标识符发送到第二联合登录提供方；由所述第一对等设备从所述第一联合登录提供方接收第一认证响应，其中所述第二对等设备从所述第二联合登录提供方接收第二认证响应；由所述第一对等设备从所述第二对等设备接收所述第二认证响应；由所述第一对等设备向所述第二联合登录提供方认证所述第二认证响应；由所述第一对等设备将所述第一认证响应发送到所述第二对等设备，其中所述第二对等设备向所述第一联合登录提供方认证所述第一认证响应；由所述第一对等设备从所述第二对等设备接收指示所述第二对等设备已经认证所述第一认证响应的确认；由所述第一对等设备向所述第二对等设备发送指示所述第一对等设备已经认证所述第二认证响应的确认；以及由所述第一对等设备基于来自所述第二对等设备的确认来认证所述密钥交换，其中所述第二对等设备基于来自所述第一对等设备的确认来认证所述密钥交换。

【技术特征摘要】
【国外来华专利技术】2014.03.05 US 61/948,433;2015.03.04 US 14/638,2901.一种认证第一对等设备与第二对等设备之间的密钥交换的方法，包括：由所述第一对等设备将所述第一对等设备的用户的联合登录凭证和第一标识符发送到第一联合登录提供方，其中所述第二对等设备将所述用户的所述联合登录凭证和第二标识符发送到第二联合登录提供方；由所述第一对等设备从所述第一联合登录提供方接收第一认证响应，其中所述第二对等设备从所述第二联合登录提供方接收第二认证响应；由所述第一对等设备从所述第二对等设备接收所述第二认证响应；由所述第一对等设备向所述第二联合登录提供方认证所述第二认证响应；由所述第一对等设备将所述第一认证响应发送到所述第二对等设备，其中所述第二对等设备向所述第一联合登录提供方认证所述第一认证响应；由所述第一对等设备从所述第二对等设备接收指示所述第二对等设备已经认证所述第一认证响应的确认；由所述第一对等设备向所述第二对等设备发送指示所述第一对等设备已经认证所述第二认证响应的确认；以及由所述第一对等设备基于来自所述第二对等设备的确认来认证所述密钥交换，其中所述第二对等设备基于来自所述第一对等设备的确认来认证所述密钥交换。2.如权利要求1所述的方法，其特征在于，接收所述第一认证响应包括接收具有所述第一认证响应的HTML重定向。3.如权利要求2所述的方法，其特征在于，所述第一对等设备向所述第二对等设备发送所述第一认证响应，而不是遵循所述HTML重定向。4.如权利要求1所述的方法，其特征在于，进一步包括：在将所述用户的所述联合登录凭证和所述第一标识符发送到所述第一联合登录提供方之前使用所述密钥交换来建立所述第一对等设备与所述第二对等设备之间的安全会话。5.如权利要求4所述的方法，其特征在于，所述安全会话使用Diffie-Helman密钥交换来建立。6.如权利要求1所述的方法，其特征在于，所述第一联合登录提供方和所述第二联合登录提供方是不同的联合登录提供方，并且其中所述第一联合登录提供方和所述第二联合登录提供方包括OpenID提供方、OAuth提供方或FaceConnect提供方。7.如权利要求1所述的方法，其特征在于，所述第一联合登录提供方和所述第二联合登录提供方是相同的联合登录提供方。8.如权利要求1所述的方法，其特征在于，所述第一对等设备包括控制方对等设备，而所述第二对等设备包括受控方对等设备。9.如权利要求1所述的方法，其特征在于，进一步包括：由所述第一对等设备生成供进行所述密钥交换的第一公钥；由所述第一对等设备将所述第一公钥发送到所述第二对等设备；以及由所述第一对等设备从所述第二对等设备接收第二公钥。10.如权利要求9所述的方法，其特征在于，所述第一标识符包括第一公钥、所述第一公钥和所述第二公钥的组合、所述第一公钥和所述第二公钥的散列、或者使用伪随机函数(PRF)计算出的所述第一公钥和所述第二公钥的验证符。11.如权利要求1所述的方法，其特征在于，所述第一标识符和所述第二标识符是相同的标识符，并且其中所述第一标识符和所述第二标识符包括共用的散列或计算出的验证符。12.如权利要求1所述的方法，其特征在于，所述第一标识符和所述第二标识符是不同的标识符，并且其中所述第一标识符包括由所述第一对等设备生成的第一公钥，而所述第二标识符包括由所述第二对等设备生成的第二公钥。13.如权利要求1所述的方法，其特征在于，基于来自所述第二对等设备的确认来认证所述密钥交换包括基于接收到来自所述第二对等设备的确认来认证所述密钥交换。14.一种用于认证第一对等设备与第二对等设备之间的密钥交换的装置，包括：被配置成由所述第一对等设备将所述第一对等设备的用户的联合登录凭证和第一标识符发送到第一联合登录提供方的逻辑，其中所述第二对等设备将所述用户的所述联合登录凭证和第二标识符发送到第二联合登录提供方；被配置成由所述第一对等设备从所述第一联合登录提供方接收第一认证响应的逻辑，其中所述第二对等设备从所述第二联合登录提供方接收第二认证响应；被配置成由所述第一对等设备从所述第二对等设备接收所述第二认证响应的逻辑；被配置成由所述第一对等设备向所述第二联合登录提供方认证所述第二认证响应的逻辑；被配置成由所述第一对等设备将所述第一认证响应发送到所述第二对等设备的逻辑，其中所述第二对等设备向所述第一联合登录提供方认证所述第一认证响应；被配置成由所述第一对等设备从所述第二对等设备接收指示所述第二对等设备已经认证所述第一认证响应的确认的逻辑；被配置成由所述第一对等设备向所述第二对等设备发送指示所述第一对等设备已经认证所述第二认证响应的确认的逻辑；以及被配置成由所述第一对等设备基于来自所述第二对等设备的确认来认证所述密钥交换的逻辑，其中所述第二对等设备基于来自所述第一对等设备的确认来认证所述密钥交换。15.如权利要求14所述的装置，其特征在于，被配置成接收所述第一认证响应的逻辑包括被配置成接收具有所述第一认证响应的HTML重定向的逻辑。16.如权利要求15所述的装置，其特征在于，所述第一对等设备向所述第二对等设备发送所述第一认证响应，而不是遵循所述HTML重定向。17...

【专利技术属性】
技术研发人员：P·T·恩古延，C·A·G·麦克唐纳德，G·伯恩斯，
申请(专利权)人：高通股份有限公司，
类型：发明
国别省市：美国;US