CN106031120A - 密钥管理 - Google Patents
密钥管理 Download PDFInfo
- Publication number
- CN106031120A CN106031120A CN201480075841.7A CN201480075841A CN106031120A CN 106031120 A CN106031120 A CN 106031120A CN 201480075841 A CN201480075841 A CN 201480075841A CN 106031120 A CN106031120 A CN 106031120A
- Authority
- CN
- China
- Prior art keywords
- pki
- node
- equipment
- encrypted
- encryption key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
根据本发明的一个示例实施例,提供了一种装备,该装备包括:接收机,被配置为接收包括公钥和秘密密钥的加密密钥对,所述公钥被加密签名;存储器,被配置为存储所述秘密密钥;以及发射机,被配置为发送被加密签名的公钥到通信节点并至少部分基于所述加密密钥对来参与建立加密网络协议会话。
Description
技术领域
本发明涉及加密的通信会话和加密密钥管理的领域。
背景技术
数字信息可以以明文或未加密形式或加密形式传输。明文形式处理起来简单,因为不需要特定的处理来获得明文。但另一方面,在通信中使用明文的情况下,窃听者简单地通过获得对用于传达明文的传输介质的访问,就可以发现通信的内容。
可以采用加密来使窃听者更难以获得对通信的内容的访问。代替传送人不需帮助即可读的明文,密文被通过传输介质传送。密文是使用加密算法从明文衍生的,加密算法被设计为使窃听者难以反转操作并从密文获得明文。
加密算法可以使用明文和密钥作为输入,其中,在相反方向使用算法,也就是从密文获得明文,这被称为解密,在没有密钥的情况下是很难的。
在对称加密学中,使用相同密钥来将明文加密为密文以及将密文解密为明文。因为通过从传输介质获得的密钥和密文窃听者可以访问明文,需要以窃听者不能获得对其访问的方式在发送者和接收者之间传送密钥。该密钥,在加密类型之后被称为对称密钥,可以在带外传送,例如,经由挂号信、私人拜访或外交邮袋。这被称为安全密钥交换。
在公钥加密学(也被称为非对称加密学)中,存在两种密钥,即成对存在的公钥和秘密密钥。公钥加密系统的秘密密钥可替代地被称为私钥。第一用户可以自由分享他的公钥,同时小心保留他的秘密密钥。第二用户可以使用该公钥将明文加密为密文。公钥加密系统被设计以便只使用秘密密钥就可从密文获得明文。由于该特性,窃听者不能获得明文,即使他从传输介质获得密文和公钥。因此,不同于对称加密学,非对称加密学在加密和解密中采用不同密钥,并且避免对安全密钥交换的需要。
公钥加密算法基于目前承认没有有效解决方案的数学问题,这些数学问题在特定整数分解、离散对数和椭圆曲线关系中是固有的。对于第一用户来说,生成个人公钥和秘密密钥对并将它们用于加密和解密在计算上是简单明了的。该算法的优势事实上在于,从它对应的公钥确定正确生成的秘密密钥在计算上是不可行的。因此,公钥可以予以公布而不影响安全性,而秘密密钥则不能透露给未授权读取消息或进行数字签名的任何人。公钥加密算法的例子是ElGamal算法。
发明内容
根据本发明的第一方面,提供了一种装备,所述装备包括:接收机,被配置为接收包括公钥和秘密密钥的加密密钥对,所述公钥被加密签名;存储器,被配置为存储所述秘密密钥;以及发射机,被配置为发送被加密签名的公钥到通信节点(correspondent node)并且至少部分基于所述加密密钥对来参与建立加密网络协议会话。
在根据所述第一方面的各种实施例中,包括来自以下项目列表的至少一个特征:
·所述接收机被配置为通过短距无线接口接收所述加密密钥对
·所述短距无线接口包括近场通信或蓝牙或ZigBee接口
·所述装备被配置为从固定到位置的固定设备接收所述加密密钥对
·所述加密网络协议包括安全外壳协议、安全虚拟专用网络协议和传输层安全协议TLS或其前身、安全套接字层SSL协议中的至少一种。
·所述装备被配置为至少部分地通过使用所述秘密密钥对通过所述加密网络协议会话接收的信息进行解密来充当所述加密网络协议会话的端点
·所述装备被配置为接收所述通信节点的加密形式的公钥,使用所述秘密密钥对所述通信节点的公钥进行解密,并在使用所述加密网络协议会话将其发送到所述通信节点前使用所述通信节点的解密后的公钥来对信息进行加密。
根据本发明的第二方面,提供了一种方法,所述方法包括:接收包括公钥和秘密密钥的加密密钥对,所述公钥被加密签名;存储所述秘密密钥;以及发送所述公钥到通信节点,并且至少部分基于所述加密密钥对来参与建立加密网络协议会话。
在根据所述第二方面的各种实施例中,包括对应于结合所述第一方面布置的前述项目列表的至少一个特征的至少一个特征。
根据本发明的第三方面,提供了一种装备,所述装备包括:接收机,被配置为接收节点处于通信范围内的指示;至少一个处理核心,被配置为获得包括秘密密钥和公钥的加密密钥对并且对所述公钥进行加密签名;以及发射机,被配置为提供所述加密密钥对到所述节点。
在根据所述第三方面的各种实施例中,包括来自以下项目列表的至少一个特征:
·所述接收机被配置为通过短距无线接口接收所述指示
·所述短距无线接口包括近场通信或蓝牙或ZigBee接口
·所述装备包括短距节点
·所述装备包括近场通信标签。
根据本发明的第四方面,提供了一种方法,所述方法包括:接收节点处于通信范围内的指示;获得包括秘密密钥和公钥的加密密钥对并且对所述公钥进行加密签名;以及提供所述加密密钥对到所述节点。
在根据所述第四方面的各种实施例中,包括对应于结合所述第三方面布置的前述项目列表的至少一个特征的至少一个特征。
根据本发明的第五方面,提供了一种装备,所述装备包括:用于接收包括公钥和秘密密钥的加密密钥对的装置,所述公钥被加密签名;用于存储所述秘密密钥的装置;以及用于发送所述公钥到通信节点并且至少部分基于所述加密密钥对来参与建立加密网络协议会话的装置。
根据本发明的第六方面,提供了一种装备,所述装备包括:用于接收节点处于通信范围内的指示的装置;用于获得包括秘密密钥和公钥的加密密钥对并且用于加密签名所述公钥的装置;以及用于提供所述加密密钥对到所述节点的装置。
根据本发明的第七方面,提供了一种非临时性计算机可读介质,所述非临时性计算机可读介质在其上存储了计算机可读指令集,所述计算机可读指令集当由至少一个处理器执行时促使装备至少:接收包括公钥和秘密密钥的加密密钥对,所述公钥被加密签名;存储所述秘密密钥;以及发送所述公钥到通信节点,并且至少部分基于所述加密密钥对来参与建立加密网络协议会话。
根据本发明的第八方面,提供了一种非临时性计算机可读介质,所述非临时性计算机可读介质在其上存储了计算机可读指令集,所述计算机可读指令集当由至少一个处理器执行时促使装备至少:接收节点处于通信范围内的指示;获得包括秘密密钥和公钥的加密密钥对并且对所述公钥进行加密签名;以及提供所述加密密钥对到所述节点。
工业实用性
本发明的至少一些实施例在提供高可用性和/或高安全性加密通信中具有实用性。
附图说明
图1示出能够支持本发明的至少一些实施例的示例系统;
图2示出能够支持本发明的至少一些实施例的第二示例系统;
图3示出能支持本发明的至少一些实施例的示例装备;
图4示出根据本发明的至少一些实施例的信令;
图5示出根据本发明的至少一些实施例的第一方法的第一流程图,以及
图6示出根据本发明的至少一些实施例的第二方法的第二流程图。
具体实施方式
通过经由短距交互以局部方式提供加密密钥,可以方便安全协议连接的设置,因为可以假设发起协议连接的设备处于特定位置。在所述特定位置被访问控制的情况下,诸如像公司总部或研究部门,可以假定用户被授权并且输入密码的单独步骤可被省略。由此,加密连接可以以用户友好的方式予以设置。
图1示出能够支持本发明的至少一些实施例的示例系统。所示出的是基站130,其可以包括蜂窝或非蜂窝基站。非蜂窝基站可被称为接入点,但术语基站在下文中用于清楚起见。基站130可以被布置为根据蜂窝通信标准操作,诸如像宽带码分多址、WCDMA或长期演进LTE。基站130可以被布置为根据非蜂窝通信标准操作,诸如像无线局域网,WLAN,也被称为Wi-Fi,或全球微波接入互操作,WiMAX。基站130可以被配置为根据基站130被布置为根据其操作的任何标准建立与移动设备的无线链路。
基站130可被配置为控制至少一个小区。基站130可被配置为控制多于一个小区,每个小区特征在于小区覆盖区域。在小区在不同操作频率操作的情况下,重叠小区覆盖区域将是可能的。在移动单元移动到由基站130控制的小区的小区覆盖区域中的情况下,基站130可以接收移动单元到它经由切换过程控制的小区中。
基站130可以经由连接135被可操作地连接到网络节点140。网络节点140可以包括例如基站控制器、无线网络控制器、移动性管理实体或其他节点。网络节点140可以反过来经由连接145可操作地连接到网关150。网关150可以经由连接155提供连接到进一步的网络,例如在一些实施例中,到互联网。连接135、145和155可以各自是有线线路连接、或至少部分地无线。连接135、145和155的每个不必是同一类型。
图1还示出移动台110,移动台110可以包括例如蜂窝电话、智能电话、平板电脑、平板手机设备、膝上型计算机或具有有线或无线通信能力的其他电子设备。在图示的例子中,移动台110与基站130具有无线链路115。无线链路115可以根据移动台110和基站130均被配置为支持的无线标准操作。无线链路115可以包括用于从移动台110传送信息到基站130的上行链路。无线链路115可以包括用于从基站130传送信息到移动台110的下行链路。无线链路115可以被布置为根据例如时分多址TDMA、码分多址CDMA,或WLAN原则操作。移动台110可以被配置为当被置于基站130控制的小区的小区覆盖区域内时寻求到这种小区的连接。
图1还示出了短距节点120。短距节点120可以包括例如近场通信NFC、标签、蓝牙标签、WLAN设备或其他短距通信设备。在一些实施例中,通信的短距可以通过固定的、短长度的连接线来提供。短长度可以例如为5厘米、50厘米、2米或10米。短距节点120被示出为经由无线连接125处于移动台110的无线范围内。
图1还示出了移动台160,移动台160可被设置在基站130控制的小区的小区覆盖范围内,但不在短距节点120的通信范围内。
当移动台110的用户希望与通信节点建立加密网络协议会话时,可以执行加密密钥的交换。移动台110可被配置有所需的密钥,在该情况中,已经执行了加密密钥的交换,并且移动台110和通信节点可以进行到开始建立会话而无需进一步的密钥交换。然而,预配置必要的密钥可能是复杂的,因为往往很难预测未来在哪些节点间需要哪些会话。
移动台110可被配置为从短距节点120获得公钥加密密钥对。该对包括公钥和秘密密钥,所述公钥和秘密密钥被链接在一起以便使用秘密密钥可解密用公钥加密的密文。实践中,移动台110可以响应于用户例如通过移动台110敲击NFC标签,来完成这个。短距节点120可以响应于接收该请求生成所述对,或者替代地短距节点可以存储多个密钥对,所述多个密钥对是它被配置为响应于提供它们的请求或机会提供的。在一些实施例中,秘密密钥在短距节点120提供的所有密钥对中是相同的。加密签名可以被短距节点120结合生成和/或提供公钥例如通过使用存储在短距120中的秘密密钥来应用于公钥。加密中使用的秘密密钥可以包括可用于通过加密签名提供(furnish)公钥的数字信息序列。这种序列的例子是非对称加密学中使用的单独秘密密钥或类密码关键字。签名现在可以包括相应地使用非对称加密学和/或哈希函数,诸如像基于哈希的消息认证码HMAC。HMAC函数的例子是HMAC-MD5。
在接收到公钥加密密钥对时,移动台110可以存储它们,或者至少秘密密钥,并且参与与通信节点交换信令。详细地,移动台110可以向通信节点发送消息,所述消息包括移动台110已从短距节点120接收的公钥。来自移动台110的包括公钥的消息可以例如沿着朝向通信节点的路线,穿越无线链路115、基站130、连接135、网络节点140、连接145、网关150和连接155。在接收到包含公钥的消息时,通信节点可以使用通信节点具有的信息验证公钥的签名。例如,在短距节点120上存储的用于签名公钥的秘密密钥包括短距节点120的秘密密钥时,通信节点可以使用短距节点120的公钥来验证从移动台110接收的公钥的签名是正确的,以及公钥还没有被篡改。替代地,短距节点120的关键字可被用来验证签名,例如结合使用基于哈希的验证解决方案。实际上,可以基于所签名的公钥在通信节点中建立与移动台110的信任。
使用秘密密钥执行的公钥上的签名可被用于确定公钥的起源、短距节点120的身份、以及公钥还未被移动台110或沿移动台110和通信节点之间的通信路径设置的任何节点以任何方式篡改。使用秘密密钥施加的签名可以使用与秘密密钥相关联的公钥来验证。相同的公钥和秘密密钥对一方面可被用于加密和解密,另一方面可被用于签名和签名验证。
由于短距节点120具有短距,在一些实施例中通信甚至需要与短距节点120触摸,通信节点可以确信移动台110处于特定位置,即短距节点120的位置,诸如像访问控制的位置,以及用户已结合进入访问控制的位置被认证。
公钥可以包括指示当短距节点120中获得了公钥时的时间的时间戳,所述时间戳也在公钥的已签名部分的签名的范围内。这使得通信节点能够验证移动台110最近从短距节点120获得了公钥。最近获得的密钥可被认为是新鲜的。由于时间戳在签名的范围内,也使得通信节点能够检测时间戳已被篡改的情况。在一些实施例中,移动台110可以使用存储在短距节点120中的秘密密钥提供附加数据、或密钥到短距节点120用于签名。在签名该附加数据后,短距节点120可以提供签名的附加数据到移动台110,移动台110反过来可以将它提供给通信节点或另一节点。
一旦确认签名以及在一些实施例中公钥的新鲜度,通信节点可以继续建立加密网络协议会话的过程,其可以包括例如安全外壳会话。在加密网络协议会话包括TLS或SSL会话的情况下,建立它可以包括使用服务器侧证书和客户侧证书的至少一个。例如,通信节点可以生成会话中要使用的对称会话密钥,使用从移动台110接收的公钥加密对称会话密钥,并且传输加密对称会话密钥到移动台110。移动台110然后可以使用移动台110中从短距节点120接收的秘密密钥解密对称会话密钥。移动台110和通信节点随后可以使用对称加密和对称加密密钥用于加密网络协议会话。这可能是可取的,因为对称加密可能会比非对称加密执行更快。替代发送加密对称会话密钥,通信节点可以传输用公钥加密的信息,使移动台110能够生成对称会话密钥的相同副本。
图2示出能够支持本发明的至少一些实施例的第二示例系统。图2的系统类似于图1的系统,但在图2的实施例中一些连接是有线线路,而不是无线的。详细地,可以包括例如膝上型计算机、平板计算机或桌上型计算机的计算机210,可以使用电缆225与短距节点220接口。反过来,计算机210可以经由网络电缆215、集线器230、网络电缆235、第一网关240、连接245、第二网关250和连接255与通信节点进行通信。在一些实施例中,不存在第二网关250。在图2的一些实施例中,连接225是基于触摸的连接,诸如NFC,而不是电缆。在图2的实施例中,计算机210可以发挥类似于图1的实施例中的移动台110发挥的作用。
图3示出能支持本发明的至少一些实施例的示例装备。所示出的是设备300,其可以包括例如移动通信设备,诸如图1的移动台110或图2的计算机210。设备300中包括处理器310,处理器310可以包括例如单核或多核处理器,其中单核处理器包括一个处理核心,多核处理器包括多于一个处理核心。处理器310可以包括例如Qualcomm Snapdragon 800处理器。处理器310可以包括多于一个处理器。处理核心可以包括例如由英特尔公司制造的Cortex-A8处理核心或由Advanced Micro Devices Corporation制造的Brisbane处理核心。处理器310可以包括至少一个专用集成电路ASIC。处理器310可以包括至少一个现场可编程门阵列FPGA。处理器310可以是用于执行设备300中的方法步骤的装置。
设备300可以包括存储器320。存储器320可以包括随机存取存储器和/或永久性存储器。存储器320可以包括至少一个RAM芯片。存储器320可以包括例如磁、光和/或全息存储器。存储器320对于处理器310可以是至少部分地可访问的。存储器320可以包括处理器310被配置为要执行的计算机指令。存储器320可以是用于存储信息的装置。
设备300可以包括发射机330。设备300可以包括接收机340。发射机330和接收机340可被配置为根据至少一个蜂窝或非蜂窝标准分别发送和接收信息。发射机330可以包括多于一个发射机。接收机340可以包括多于一个接收机。发射机330和/或接收机340可被配置为根据例如全球移动通信系统GSM、宽带码分多址WCDMA、长期演进LTE、IS-95、无线局域网WLAN、以太网和/或全球微波接入互通WiMAX标准操作。
设备300可以包括近场通信NFC、收发器350。NFC收发器350可以支持至少一个NFC技术,诸如NFC、蓝牙、Wibree或类似技术。
设备300可以包括用户界面UI 360。UI 360可以包括显示器、键盘、触摸屏、被设置成通过促使设备300振动向用户通知信号的振动器、扬声器和麦克风中的至少一个。用户可以能够通过UI 360操作设备300,例如接受来电、发起呼叫或视频电话、浏览互联网、通过发射机330和接收机340或经由NFC收发器350管理存储器320中存储的或可访问云端上的数字文件、和/或玩游戏。
设备300可以包括或者被布置为接受用户身份模块370。用户身份模块370可以包括例如订户身份模块,可安装在设备300中的SIM卡。用户身份模块370可以包括加密信息,所述加密信息可用于验证设备300的用户的身份和/或促进所传送的信息的加密以及经由设备300实现的通信的计费。在设备300包括没有蜂窝通信能力的计算机或其它设备的情况下,用户身份模块370可以不存在。
处理器310可以配有被布置为从处理器310经由设备300内部电引线输出信息到设备300中包括的其他设备的发射机。这种发射机可以包括被布置成例如经由至少一个电引线输出信息到存储器320以存储在其中的串行总线发射机。替代串行总线,发射机可以包括并行总线发射机。同样,处理器310可以包括被布置成在处理器310中经由设备300内部电引线从设备300中包括的其他设备接收信息的接收机。这种接收机可以包括被布置为例如经由至少一个电引线从接收机340接收信息用于在处理器310中处理的串行总线接收机。替代串行总线,接收机可以包括并行总线接收机。
设备300可以包括图3中未示出的另外设备。举例来说,在设备300包括智能电话的情况下,它可以包括至少一个数字相机。一些设备300可以包括后置摄像头和前置摄像头,其中后置摄像头旨在用于数字摄影,前置摄像头旨在用于视频电话。设备300可以包括被布置为至少部分地认证设备300的用户的指纹传感器。在一些实施例中,设备300缺少上述的至少一个设备。例如,一些设备300可能缺少NFC收发器350和/或用户身份模块370。
处理器310、存储器320、发射机330、接收机340、NFC收发器350、UI 360和/或用户身份模块370可以通过设备300内部电引线以许多不同方式互连。例如,上述各设备的每一个可单独连接到设备300内部的主总线,以允许这些设备交换信息。然而,如本领域技术人员将理解的,这仅仅是一个例子,并且取决于根据实施例,互连上述设备的至少两个的不同方式可以在不背离本发明范围的前提下进行选择。
图4示出根据本发明的至少一些实施例的信令。所示出的是在垂直轴上,从左至右,短距节点120、移动台110、网络NW、以及最后通信节点CN。替代地,前两个垂直轴可以例如对应于图2的短距节点220和计算机210。在下文图4的描述中,术语移动台110和短距节点120用作示例。
在阶段410中,移动台110可以向短距节点120指示它需要加密密钥对。替代地,移动台110可以简单地使短距节点120能够知道移动台110处于短距节点120的通信范围内。
在阶段420,短距节点120可以获得加密密钥对。可在短距节点120中通过从短距节点120内部的存储器中检索它来获得加密密钥对。替代地,短距节点120通过响应阶段410生成公钥和秘密密钥以形成加密密钥对来获得加密密钥对。加密密钥对中包括的公钥可由短距节点120使用秘密密钥来签名,其中所述秘密密钥可以包括例如短距节点120的单独秘密密钥。在一些实施例中,短距节点120的秘密密钥是与加密密钥对中包括的秘密密钥不相同的秘密密钥。在其他实施例中,相同秘密密钥可以是短距节点120的秘密密钥和加密密钥对中包括的秘密密钥。
加密密钥对包括公钥和秘密密钥,所述公钥和秘密密钥被链接在一起使得通过公钥加密的密文使用秘密密钥可解密。
在阶段430,短距节点120提供加密密钥对到移动台110。阶段410和430的消息收发可以通过诸如像NFC、蓝牙或有限长度的电缆的合适短距通信接口发生。
在阶段440,移动台110和通信节点建立加密网络协议会话,诸如像加密虚拟专用网络的安全外壳会话,VPN会话。阶段440的消息收发可以是双向的。阶段440的消息收发可以遍历节点的网络,所述节点例如基站130、网络节点140、网关150、和沿移动台110和通信节点之间的通信路径的进一步节点。
在可选阶段450中,通信节点可以通知移动台110撤销短距节点120的秘密密钥或另一密钥。响应于阶段450的消息,移动台110可以在可选阶段460中向短距节点120传达撤销。例如,移动台110可以向用户显示需要与短距节点120的交互的消息,并且当用户响应地将移动台110带到短距节点120的通信范围,阶段460的消息可被用来向短距节点120传达撤销的信息。
图5示出根据本发明的至少一些实施例的第一方法的第一流程图。所示出的方法的阶段可以例如在移动台110或计算机210中执行。阶段510包括接收包括公钥和秘密密钥的加密密钥对,所述公钥被加密签名。阶段520包括存储所述秘密密钥。最后,阶段530包括发送加密签名的公钥到通信节点并且至少部分地基于加密密钥对参与建立加密网络协议会话。加密密钥对包括公钥和秘密密钥,公钥和秘密密钥被链接在一起使得用公钥加密的密文使用秘密密钥可解密。
图6示出根据本发明的至少一些实施例的第二方法的第二流程图。所示出的方法的阶段可以例如在短距节点120或220中执行。阶段610包括接收节点处于通信范围内的指示。阶段610可以包括在短距节点内部接收指示,所述指示诸如像在短距节点中包括的处理核心中接收它。阶段620包括获得包括秘密密钥和公钥的加密密钥对和加密签名所述公钥。最后,阶段630包括提供加密密钥对到该节点。
加密密钥对包括公钥和秘密密钥,公共和秘密密钥被链接在一起使得用公钥加密的密文使用秘密密钥可解密。
应该理解,所公开的本发明实施例并不限定于特定结构、处理步骤、或本文所公共的材料,而是扩展到相关领域普通技术人员可以识别的其等同物。还应当理解,本文采用的术语仅用于描述特定实施例的目的,并不旨在进行限制。
贯穿本说明书中对“一个实施例”或“实施例”的引用是指特定特征、结构、或结合实施例描述的特性被包括在本发明的至少一个实施例中。因此,贯穿本说明书不同位置处出现的短语“在一个实施例中”或“在实施例中”不一定都指相同实施例。
如本文所使用的,多个项目、结构元件、组成元件和/或材料可以出于方便以共同列表呈现。然而,这些列表应该被解释就好像列表的每个部件被个体地标识为单独且唯一的部件。因此,这种列表的个体部件不应仅基于他们在公共组中的呈现而不指示其相反面被解释为相同列表的任何其他部件的实际等同物。另外,本文可以与各种组件的替代物一起指代本发明的各种实施例和示例。可以理解,这种实施例、示例和替代物不应被解释为彼此的实际等同物,而是被认为是本发明的单独和自发表示。
此外,可以在一个或多个实施例中以任何适合方式组合所描述的特征、结构或特性。在以下描述中,提供了许多具体细节,诸如像长度、宽度、形状等的例子,以提供对本发明的实施例的透彻理解。然而,本领域技术人员将认识到,可以在没有所述具体细节的一个或多个的情况下,或者通过其它方法、组件、材料等,实践本发明。在其它实例中,没有详细示出或描述公知的结构、材料、或操作,以避免模糊本发明的各方面。
虽然前述示例是在一个或多个特定应用中说明本发明的原则,对本领域普通技术人员将显而易见的是,可以在不背离本发明的原理和概念的情况下,对实现的形式、用法和细节作出许多修改,无需创造性劳动。因此,除非下面的权利要求书中所指出的之外,不是要用来限制本发明的。
Claims (27)
1.一种装备,该装备包括:
接收机,被配置为接收包括公钥和秘密密钥的加密密钥对,所述公钥被加密签名;
存储器,被配置为存储所述秘密密钥;以及
发射机,被配置为发送被加密签名的公钥到通信节点并且至少部分基于所述加密密钥对来参与建立加密网络协议会话。
2.根据权利要求1所述的装备,其中,所述接收机被配置为通过短距无线接口接收所述加密密钥对。
3.根据权利要求2所述的装备,其中,所述短距无线接口包括近场通信、蓝牙以及ZigBee接口中的至少一个。
4.根据前述权利要求中任一项权利要求所述的装备,其中,所述装备被配置为从固定到位置的固定设备接收所述加密密钥对。
5.根据前述权利要求中任一项权利要求所述的装备,其中,所述加密网络协议包括安全外壳协议、安全虚拟专用网络协议、传输层安全协议和安全套接字层协议中的至少一种。
6.根据前述权利要求中任一项权利要求所述的装备,其中,所述装备被配置为至少部分通过使用所述秘密密钥对通过所述加密网络协议会话接收的信息进行解密来充当所述加密网络协议会话中的端点。
7.根据权利要求6所述的装备,其中,所述装备被配置为接收所述通信节点的加密形式的公钥,使用所述秘密密钥对所述通信节点的公钥进行解密,并在使用所述加密网络协议会话将其发送到所述通信节点前使用所述通信节点的解密后的公钥来对信息进行加密。
8.一种方法,该方法包括:
接收包括公钥和秘密密钥的加密密钥对,所述公钥被加密签名;
存储所述秘密密钥;以及
发送被加密签名的公钥到通信节点,并且至少部分基于所述加密密钥对来参与建立加密网络协议会话。
9.根据权利要求8所述的方法,其中,所述接收包括通过短距无线接口接收所述加密密钥对。
10.根据权利要求9所述的方法,其中,所述短距无线接口包括近场通信、蓝牙以及ZigBee接口中的至少一个。
11.根据权利要求8至10中任一项权利要求所述的方法,其中,所述接收包括从固定到位置的固定设备接收所述加密密钥对。
12.根据权利要求8至11中任一项权利要求所述的方法,其中,所述加密网络协议包括安全外壳协议、安全虚拟专用网络协议、传输层安全协议以及安全套接字层协议中的至少一种。
13.根据权利要求8至12中任一项权利要求所述的方法,该方法进一步包括至少部分通过使用所述秘密密钥对通过所述加密网络协议会话接收的信息进行解密来充当所述加密网络协议会话中的端点。
14.根据权利要求13所述的方法,该方法进一步包括接收所述通信节点的加密形式的公钥,使用所述秘密密钥对所述通信节点的公钥进行解密,并在使用所述加密网络协议会话将其发送到所述通信节点前使用所述通信节点的解密后的公钥来对信息进行加密。
15.一种装备,该装备包括:
接收机,被配置为接收节点处于通信范围内的指示;
至少一个处理核心,被配置为获得包括秘密密钥和公钥的加密密钥对并且对所述公钥进行加密签名;以及
发射机,被配置为提供所述加密密钥对到所述节点。
16.根据权利要求15所述的装备,其中,所述接收机被配置为通过短距无线接口接收所述加密密钥对。
17.根据权利要求16所述的装备,其中,所述短距无线接口包括近场通信、蓝牙以及ZigBee接口中的至少一个。
18.根据权利要求17所述的装备,其中,所述装备包括近场通信标签。
19.一种方法,该方法包括:
接收节点处于通信范围内的指示;
获得包括秘密密钥和公钥的加密密钥对并且对所述公钥进行加密签名;以及
提供所述加密密钥对到所述节点。
20.根据权利要求19所述的方法,其中,所述接收包括通过短距无线接口接收所述指示。
21.根据权利要求20所述的方法,其中,所述短距无线接口包括近场通信、蓝牙以及ZigBee接口中的至少一个。
22.根据权利要求21所述的方法,该方法包括在近场通信标签中执行所述方法。
23.一种装备,该装备包括:
用于接收包括公钥和秘密密钥的加密密钥对的装置,所述公钥被加密签名;
用于存储所述秘密密钥的装置;以及
用于发送被加密签名的公钥到通信节点并且至少部分基于所述加密密钥对来参与建立加密网络协议会话的装置。
24.一种装备,该装备包括:
用于接收节点处于通信范围内的指示的装置;
用于获得包括秘密密钥和公钥的加密密钥对并且对所述公钥进行加密签名的装置;以及
用于提供所述加密密钥对到所述节点的装置。
25.一种计算机程序,该计算机程序被配置为促使执行根据权利要求8至14或19至22中至少一项权利要求所述的方法。
26.一种非临时性计算机可读介质,该非临时性计算机可读介质具有在其上存储的计算机可读指令集,所述计算机可读指令集在由至少一个处理器执行时促使装备至少:
接收包括公钥和秘密密钥的加密密钥对,所述公钥被加密签名;
存储所述秘密密钥;以及
发送被加密签名的公钥到通信节点,并且至少部分基于所述加密密钥对来参与建立加密网络协议会话。
27.一种非临时性计算机可读介质,该非临时性计算机可读介质具有在其上存储的计算机可读指令集,所述计算机可读指令集当由至少一个处理器执行时促使装备至少:
接收节点处于通信范围内的指示;
获得包括秘密密钥和公钥的加密密钥对并且对所述公钥进行加密签名;以及
提供所述加密密钥对到所述节点。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/FI2014/050118 WO2015124825A1 (en) | 2014-02-18 | 2014-02-18 | Key management |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106031120A true CN106031120A (zh) | 2016-10-12 |
| CN106031120B CN106031120B (zh) | 2019-08-02 |
Family
ID=53877660
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480075841.7A Active CN106031120B (zh) | 2014-02-18 | 2014-02-18 | 密钥管理 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10212140B2 (zh) |
| EP (1) | EP3108633B1 (zh) |
| CN (1) | CN106031120B (zh) |
| WO (1) | WO2015124825A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110061996A (zh) * | 2019-04-25 | 2019-07-26 | 深圳市元征科技股份有限公司 | 一种数据传输方法、装置、设备及可读存储介质 |
| CN112187726A (zh) * | 2020-09-04 | 2021-01-05 | 宇龙计算机通信科技(深圳)有限公司 | 数据传输方法、装置、存储介质及终端 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9699655B1 (en) * | 2016-02-23 | 2017-07-04 | T-Mobile Usa, Inc. | Cellular device authentication |
| US11216542B2 (en) | 2016-06-08 | 2022-01-04 | Nokia Technologies Oy | Sensor-based interaction |
| US10218694B2 (en) | 2016-11-22 | 2019-02-26 | Bank Of America Corporation | Securely orchestrating events initiated at remote servers using a certificate server |
| US11403408B2 (en) | 2017-07-10 | 2022-08-02 | 3D Bridge Solutions Inc. | Systems, devices and methods for protecting 3D rendered designs |
| WO2020072440A1 (en) | 2018-10-02 | 2020-04-09 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| CA3115107A1 (en) | 2018-10-02 | 2020-04-09 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US11451402B1 (en) | 2021-07-29 | 2022-09-20 | IPAssets Technology Holdings Inc. | Cold storage cryptographic authentication apparatus and system |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1996832A (zh) * | 2006-12-01 | 2007-07-11 | 上海复旦微电子股份有限公司 | 用于近场通讯手机的对称密钥初始化方法 |
| CN101785240A (zh) * | 2007-08-21 | 2010-07-21 | 索尼公司 | 家庭系统音频视频设备的近场注册 |
| CN102170300A (zh) * | 2010-02-26 | 2011-08-31 | 通用汽车环球科技运作有限责任公司 | 配对域中的多个近场通信标签 |
| CN202918290U (zh) * | 2011-06-07 | 2013-05-01 | 美国博通公司 | Nfc通信装置及加密通信的系统 |
| US20130343545A1 (en) * | 2012-06-25 | 2013-12-26 | At&T Intellectual Property I, L.P. | Secure socket layer keystore and truststore generation |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1635508A1 (en) | 2004-09-08 | 2006-03-15 | Koninklijke Philips Electronics N.V. | Secure pairing for wireless communications devices |
| US8086859B2 (en) * | 2006-03-02 | 2011-12-27 | Microsoft Corporation | Generation of electronic signatures |
| US20080137859A1 (en) * | 2006-12-06 | 2008-06-12 | Ramanathan Jagadeesan | Public key passing |
| US8769284B2 (en) * | 2006-12-29 | 2014-07-01 | Nokia Corporation | Securing communication |
| US8176328B2 (en) * | 2008-09-17 | 2012-05-08 | Alcatel Lucent | Authentication of access points in wireless local area networks |
| US8621203B2 (en) * | 2009-06-22 | 2013-12-31 | Nokia Corporation | Method and apparatus for authenticating a mobile device |
| US8112066B2 (en) | 2009-06-22 | 2012-02-07 | Mourad Ben Ayed | System for NFC authentication based on BLUETOOTH proximity |
| US8458776B2 (en) * | 2009-10-21 | 2013-06-04 | Microsoft Corporation | Low-latency peer session establishment |
| US20110291803A1 (en) | 2010-05-27 | 2011-12-01 | Zeljko Bajic | Rfid security and mobility architecture |
| US20140244998A1 (en) * | 2010-11-09 | 2014-08-28 | Secure64 Software Corporation | Secure publishing of public-key certificates |
| WO2012070992A1 (en) | 2010-11-25 | 2012-05-31 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and arrangement for providing a service |
| FR2988942B1 (fr) * | 2012-03-27 | 2015-08-28 | Commissariat Energie Atomique | Methode et systeme d'etablissement d'une cle de session |
| US8804964B2 (en) | 2012-06-18 | 2014-08-12 | Htc Corporation | Access control method and related wireless communication system |
| US9173085B2 (en) * | 2012-07-06 | 2015-10-27 | Blackberry Limited | Methods and apparatus for use in transferring an assignment of a secure chip subscription managers |
| US9246678B2 (en) * | 2013-03-14 | 2016-01-26 | Intel Corporation | Secure cloud storage and encryption management system |
-
2014
- 2014-02-18 EP EP14883296.7A patent/EP3108633B1/en active Active
- 2014-02-18 WO PCT/FI2014/050118 patent/WO2015124825A1/en active Application Filing
- 2014-02-18 CN CN201480075841.7A patent/CN106031120B/zh active Active
- 2014-02-18 US US15/112,376 patent/US10212140B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1996832A (zh) * | 2006-12-01 | 2007-07-11 | 上海复旦微电子股份有限公司 | 用于近场通讯手机的对称密钥初始化方法 |
| CN101785240A (zh) * | 2007-08-21 | 2010-07-21 | 索尼公司 | 家庭系统音频视频设备的近场注册 |
| CN102170300A (zh) * | 2010-02-26 | 2011-08-31 | 通用汽车环球科技运作有限责任公司 | 配对域中的多个近场通信标签 |
| CN202918290U (zh) * | 2011-06-07 | 2013-05-01 | 美国博通公司 | Nfc通信装置及加密通信的系统 |
| US20130343545A1 (en) * | 2012-06-25 | 2013-12-26 | At&T Intellectual Property I, L.P. | Secure socket layer keystore and truststore generation |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110061996A (zh) * | 2019-04-25 | 2019-07-26 | 深圳市元征科技股份有限公司 | 一种数据传输方法、装置、设备及可读存储介质 |
| CN112187726A (zh) * | 2020-09-04 | 2021-01-05 | 宇龙计算机通信科技(深圳)有限公司 | 数据传输方法、装置、存储介质及终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3108633A1 (en) | 2016-12-28 |
| US20160337325A1 (en) | 2016-11-17 |
| WO2015124825A1 (en) | 2015-08-27 |
| EP3108633A4 (en) | 2017-08-16 |
| US10212140B2 (en) | 2019-02-19 |
| CN106031120B (zh) | 2019-08-02 |
| EP3108633B1 (en) | 2018-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106031120A (zh) | 密钥管理 | |
| CN105684344B (zh) | 一种密钥配置方法和装置 | |
| CN104980928B (zh) | 一种用于建立安全连接的方法、设备及系统 | |
| US8285994B2 (en) | Two-way authentication between two communication endpoints using a one-way out-of-band (OOB) channel | |
| CN109428874B (zh) | 基于服务化架构的注册方法及装置 | |
| CN104540132B (zh) | 蓝牙设备的通讯方法、移动设备、电子签名设备和服务器 | |
| CN108347417B (zh) | 一种网络认证方法、用户设备、网络认证节点及系统 | |
| CN107809411A (zh) | 移动网络的认证方法、终端设备、服务器和网络认证实体 | |
| CN104661219B (zh) | 一种无线设备的通讯方法、无线设备和服务器 | |
| KR20160121546A (ko) | 네트워크에서의 지원된 디바이스 프로비져닝 | |
| WO2016161583A1 (zh) | 一种gprs系统密钥增强的方法、sgsn设备、ue、hlr/hss及gprs系统 | |
| CN107579826A (zh) | 一种网络认证方法、中转节点及相关系统 | |
| CN104253801B (zh) | 实现登录认证的方法、装置和系统 | |
| CN109644134A (zh) | 用于大型物联网组认证的系统和方法 | |
| CN109905348B (zh) | 端到端认证及密钥协商方法、装置及系统 | |
| CN112994873B (zh) | 一种证书申请方法及设备 | |
| CN106105131A (zh) | 设备配对 | |
| WO2018161862A1 (zh) | 私钥生成方法、设备以及系统 | |
| CN109728913A (zh) | 一种设备合法性验证方法、相关设备以及系统 | |
| US20180205545A1 (en) | Token based authentication | |
| CN109309566A (zh) | 一种认证方法、装置、系统、设备及存储介质 | |
| US10944577B2 (en) | Certificate verification | |
| US11070546B2 (en) | Two-user authentication | |
| CN108011856A (zh) | 一种传输数据的方法和装置 | |
| CN103812644A (zh) | 一种信息配置方法、设备及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |