A wireless communication system enables unilateral authentication of the responder device (120) by the initiator device (110) and mutual authentication of the two devices. An embodiment of the initiator may have a message unit (116) and a state machine (117). The initiator starts by acquiring the responder's public key via the out of band action, and sends the authentication request. The responder sends an authentication response including responder authentication data based on the responder's private key and mutual progress status indicating that mutual authentication is in progress so that the responder device can obtain the initiator's public key via the responder's out of band action. The initiator state machine is arranged to provide a mutual authentication state, which is participating when receiving a mutual progress state for waiting for mutual authentication. Thus, a long time-out period during wireless communication is avoided, and at the same time, the initiator can report communication errors to the user in a short time.
【技术实现步骤摘要】
【国外来华专利技术】相互认证系统
本专利技术涉及被布置用于根据通信协议进行无线通信的发起者设备和响应者设备,以及用于这种设备的方法和计算机程序产品。通信协议包括用于容纳认证的认证协议,所述认证是以下之一:-由发起者设备对响应者设备的单侧认证,以及-由发起者设备对响应者设备和由响应者设备对发起者设备的相互认证。响应者设备包括:响应者收发机,其被布置用于根据通信协议进行无线通信;以及响应者处理器,其被布置用于处理通信协议。发起者设备包括:发起者收发机,其被布置用于根据通信协议进行无线通信;以及发起者处理器,其被布置用于处理通信协议。本专利技术涉及短程无线通信系统领域,例如,室内通信系统,并且更具体地,提供用于基于认证响应者设备和/或发起者设备来安全地建立无线连接的各种设备和方法。Wi-Fi,参见参考文献[1],提供了通信协议和建立无线设备连接的机制的范例。
技术介绍
公共密钥可以用作识别和认证无线通信中的设备的手段。应该在每个设备内生成与公共密钥相关联的私有密钥,并保护其免于泄露。设备使用公共密钥加密技术来认证对等设备,其中,设备必须证明拥有与其公共密钥对应的私有密钥,并建立用于进一步安全通信的共享密钥。此安全体系结构简化了设备之间安全连接的建立,并为供应和连接设备的改进的可用性提供了基础。启动认证协议的设备扮演发起者的角色。响应发起者请求的设备扮演响应者的角色。认证协议可以向发起者提供响应者的认证,并且任选地向响应者提供发起者的认证。这假设发起者已获得响应者的自举(bootstrapping)密钥以执行单向认证,并且双方已 ...
【技术保护点】
1.一种发起者设备,被布置用于根据通信协议与响应者设备进行无线通信,/n所述通信协议包括用于容纳认证的认证协议,所述认证是以下各项中的一项:/n-由所述发起者设备对所述响应者设备的单侧认证,以及/n-由所述发起者设备对所述响应者设备和由所述响应者设备对所述发起者设备的相互认证;/n所述响应者设备(120)包括:/n-响应者收发机,其被布置用于根据所述通信协议进行无线通信,以及/n-响应者处理器,其被布置用于处理所述通信协议,/n其中,所述发起者设备(110)包括:/n-发起者收发机(111),其被布置用于根据所述通信协议进行无线通信,/n-发起者处理器(112),其被布置用于处理所述通信协议,并且所述发起者处理器具有:/n-发起者消息单元(116),其用于创建要被发送到所述响应者设备的消息并且根据所述认证协议分解从所述响应者设备接收的消息;以及/n-发起者状态机(117),其用于依据用户交互和从所述响应者设备接收的消息根据所述认证协议提供发起者状态,所述发起者状态包括:/n初始状态(IST),其用于通过经由发起者带外动作从所述响应者设备获取响应者公共密钥来进行自举,/n自举状态(BST ...
【技术特征摘要】
【国外来华专利技术】20170320 EP 17161856.41.一种发起者设备,被布置用于根据通信协议与响应者设备进行无线通信,
所述通信协议包括用于容纳认证的认证协议,所述认证是以下各项中的一项:
-由所述发起者设备对所述响应者设备的单侧认证,以及
-由所述发起者设备对所述响应者设备和由所述响应者设备对所述发起者设备的相互认证;
所述响应者设备(120)包括:
-响应者收发机,其被布置用于根据所述通信协议进行无线通信,以及
-响应者处理器,其被布置用于处理所述通信协议,
其中,所述发起者设备(110)包括:
-发起者收发机(111),其被布置用于根据所述通信协议进行无线通信,
-发起者处理器(112),其被布置用于处理所述通信协议,并且所述发起者处理器具有:
-发起者消息单元(116),其用于创建要被发送到所述响应者设备的消息并且根据所述认证协议分解从所述响应者设备接收的消息;以及
-发起者状态机(117),其用于依据用户交互和从所述响应者设备接收的消息根据所述认证协议提供发起者状态,所述发起者状态包括:
初始状态(IST),其用于通过经由发起者带外动作从所述响应者设备获取响应者公共密钥来进行自举,
自举状态(BST),其指示已经通过获取所述响应者公共密钥成功地执行了所述自举,以及
已认证状态(ATD),其指示已经成功地执行了所述认证;
所述发起者消息单元被布置为创建包括以下项的消息:
-认证请求(ARQ),其要在所述自举状态下被发送并且包括用于验证发起者公共密钥的发起者验证器(H(BI))和用于验证所述响应者公共密钥的响应者验证器(H(BR));
并且所述发起者消息单元被布置为分解包括以下项的消息:
-认证响应(ARP1),其包括基于对应于所述响应者公共密钥(BR)的响应者私有密钥(bR)的响应者单侧认证数据({R-auth1}k1)以及指示所述相互认证正在进展以使所述响应者设备能够经由响应者带外动作从所述发起者设备获取所述发起者公共密钥的相互进展状态(MPS);并且
所述发起者消息单元被布置为分解:
-相互认证响应(ARP2),其包括基于所述发起者公共密钥(BI)和所述响应者私有密钥(bR)的相互响应者认证数据({R-auth2}k2);
并且所述发起者消息单元被布置为创建:
-相互认证确认(ACF2),其包括指示对所述相互认证的确认的相互确认状态(MCS)以及基于所述响应者公共密钥(BR)和对应于所述发起者公共密钥(BI)的发起者私有密钥(bI)的相互发起者认证数据({I-auth2}k2)。
2.根据权利要求1所述的发起者设备,其中,所述发起者状态机被布置为提供相互认证状态,所述相互认证状态在接收到所述相互进展状态时是参与的,以用于等待相互认证。
3.根据权利要求2所述的发起者设备,其中,所述发起者状态机被布置为在接收到所述相互认证响应(ARP2)并且所述发起者处理器基于所述响应者公共密钥和对应于所述发起者公共密钥(BI)的发起者私有密钥(bI)成功地处理所述相互响应者认证数据时参与所述已认证状态。
4.根据权利要求1所述的发起者设备,其中,
所述发起者消息单元被布置为在所述单侧认证的情况下分解单侧认证响应(ARP1),所述单侧认证响应包括基于对应于所述响应者公共密钥(BR)的响应者私有密钥(bR)的单侧响应者认证数据({R-auth1}k1)以及指示所述单侧认证的单侧状态;并且
所述发起者状态机被布置为在所述发起者处理器基于所述响应者公共密钥以及对应于发起者公共密钥(PI)的发起者私有密钥(pI)成功地处理所述单侧响应者认证数据({R-auth1}k1)时参与所述已认证状态。
5.根据权利要求3或4中的任一项所述的发起者设备,其中,
所述发起者状态机被布置为在接收到所述认证响应(ARP1)并且所述发起者处理器未成功地处理所述响应者单侧认证数据({R-auth1}k1)时参与所述自举状态或所述初始状态。
6.根据权利要求3至5中的任一项所述的发起者设备,其中,
所述发起者状态机被布置为在接收到所述相互认证响应(ARP2)并且所述发起者处理器未成功地处理所述相互响应者认证数据({R-auth2}k2)时参与所述自举状态或所述初始状态。
7.根据权利要求3至6中的任一项所述的发起者设备,其中,
所述发起者消息单元被布置为在接收到所述相互进展状态时创建包括相互等待状态(MAS)的等待认证确认(ACF1)。
8.一种响应者设备,被布置用于根据通信协议与发起者设备进行无线通信,
所述通信协议包括用于容纳认证的认证协议,所述认证是以下各项中的一项:
-由所述发起者设备对所述响应者设备的单侧认证,以及
-由所述发起者设备对所述响应者设备和由所述响应者设备对所述发起者设备的相互认证;
所述发起者设备(110)包括:
-发起者收发机(111),其被布置用于根据所述通信协议进行无线通信,
-发起者处理器(112),其被布置用于处理所述通信协议,并且
其中,所述响应者设备(120)包括:
-响应者收发机(121),其被布置用于根据所述通信协议进行无线通信,
-响应者处理器(122),其被布置用于处理所述通信协议,并且所述响应者处理器具有:
-响应者消息单元(126),其用于创建要发送到所述发起者设备的消息,并且根据所述认证协议分解从所述发起者设备接收的消息,
-响应者状态机(127),其用于依据用户交互和从所述发起者设备接收的消息根据所述认证协议提供响应者状态,所述响应者状态包括:
等待状态(AWG),其用于从所述发起者接收消息,以及
响应者已认证状态(ATD),其指示已经成功地执行了所述认证;
所述响应者消息单元被布置为创建包括以下项的消息:
-认证响应(ARP1),其包括基于对应于所述响应者公共密钥(BR)的响应者私有密钥(bR)的单侧响应者认证数据({R-auth1}k1)以及指示所述相互认证正在进展的相互进展状态;
并且所述响应者消息单元被布置为分解包括以下项的消息:
-认证请求(ARQ),其包括用于验证发起者公共密钥的发起者验证器(H(BI))和用于验证所述响应者公共密钥的响应者验证器(H(BR));
所述响应者状态机被布置为在所述响应者处理器基于所述发起者公共密钥(BI)和所述响应者私有密钥(bR)成功地处理所述发起者认证数据({I-auth2})时参与所述响应者已认证状态。
9.根据权利要求8所述的响应者设备,其中,所述响应者状态机被布置为:
-提供相互响应者认证状态(AR2),以用于使所述响应者设备能够经由响应者带外动作从所述发起者设备获取发起者公共密钥;并且
所述响应者消息单元被布置为创建:
-相互认证响应(ARP2),其要在所述相互响应者认证状态下被发送并且包括基于所述发起者公共密钥(BI)和对应于所述响应者公共密钥(BR)的响应者私有密钥(bR)的相互响应者认证数据({R-auth2}k2);
并且所述响应者消息单元被布置为分解:
-相互认证确认(ACF2),其包括指示对所述相互认证的确认的相互确认状态以及基于所述响应者公共密钥(BR)和对应于所述发起者公共密钥(BI)的发起者私有密钥(bI...
【专利技术属性】
技术研发人员:J·A·C·伯恩森,F·A·M·范德拉尔,R·F·A·林德斯,
申请(专利权)人:皇家飞利浦有限公司,
类型:发明
国别省市:荷兰;NL
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。