CN107925573B - 提供受限设备之间的安全通信的方法和装置 - Google Patents

提供受限设备之间的安全通信的方法和装置 Download PDF

Info

Publication number
CN107925573B
CN107925573B CN201680050111.0A CN201680050111A CN107925573B CN 107925573 B CN107925573 B CN 107925573B CN 201680050111 A CN201680050111 A CN 201680050111A CN 107925573 B CN107925573 B CN 107925573B
Authority
CN
China
Prior art keywords
restricted
devices
cryptographic
code module
rights
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201680050111.0A
Other languages
English (en)
Other versions
CN107925573A (zh
Inventor
T·E·莫瑟斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Entrust Ltd
Original Assignee
Entrust Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Entrust Ltd filed Critical Entrust Ltd
Publication of CN107925573A publication Critical patent/CN107925573A/zh
Application granted granted Critical
Publication of CN107925573B publication Critical patent/CN107925573B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • H04L9/16Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms the keys or algorithms being changed during operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)
  • Storage Device Security (AREA)

Abstract

在一个示例中,诸如授权服务器的装置和用于受限设备之间的安全通信的方法在多个受限设备之间发布密码通信的权利。该多个受限设备中的每一个受限设备包括对于每个密码功能不多于一个密码算法代码模块。该方法包括响应于密码算法更新请求而接收与该多个受限设备中的至少第一受限设备相关联的密码通信的权利请求,并且包括提供响应,该响应包括该多个受限设备中具有与该多个受限设备中识别出的第一受限设备密码通信的权利的子集的标识。然后软件更新服务器更新该多个受限设备的该子集中的密码代码模块。

Description

提供受限设备之间的安全通信的方法和装置
相关申请
本申请要求于2015年7月21日提交的、发明人为Timothy E.Moses的、标题为“METHOD AND APPARATUS FOR PROVIDING SECURE COMMUNICATION AMONG CONSTRAINEDDEVICES”的临时申请序列号62/195,032的优先权,通过引用将该申请结合进本文中。
技术领域
本公开涉及用于提供网络中的设备(诸如受限设备)之间安全通信的方法和装置。
背景技术
在所提出的用于为物联网提供安全性的模型中,存在两个提出的认证基础架构,其中任一个或两者可以使用公钥基础架构(PKI)技术和证书。例如,当经由互联网将多个设备连接到网络(或相互连接)时,第一安全基础架构可以将唯一地识别每个设备的凭证安装在设备中。这些识别凭证从安全角度来看可以是不受管理的并且独立于使用领域的。例如,当制造可以连接到网络的设备(诸如将被安装在大型建筑物的多个楼层中的温度传感器和恒温器)时,制造商可以具有服务器或者使用第三方的服务器作为根证书服务器并且为该制造商生产的每个设备生成识别证书。因此,在制造期间,可以创建具有将设备的唯一标识符与由根证书授权机构签名的证书相关联的条目的数据库。以这种方式,当设备被开启时,它可以经由网络向根授权机构或另一个证书授权机构进行认证。
但是,可以使用不同的安全基础架构来管理设备在安装时的配置。因此,需要在系统或网络中添加通用设备作为新设备,然后需要将该设备配置为以与系统或网络的需求一致的特定方式进行操作。例如,可以使用另一个授权基础架构来管理授权(诸如哪些设备在网络上被授权、哪些设备被授权与某些其它设备通信、哪些设备可以向网络中的哪些其它设备的哪些接口发送哪些命令,以及它们的配置设置)。随着越来越多的设备必须被安装在更大的网络(诸如建筑物网络、路边基础架构、制造设施以及其它环境)中,每个设备在第二基础架构的数据库中注册(enroll)。
随着密码分析能力的提高,并且某些密码算法对于它们的目的而言不再足够安全,需要持续更新在使用中的密码算法和密钥,同时继续支持尚未更新其算法的网络的部分。这提出了一个问题,因为通信的双方必须使用相同的算法,但同时更新所有设备102-102n是不切实际的。这个问题通常是通过在接受连接和消息的设备中支持一系列算法来解决的,甚至是过时的算法。发起连接和消息的设备必须只支持与其通信的其它方所支持的算法中的任何一种。这个解决方案所付出的成本是,接受连接和消息的所有方都必须支持多种算法并且具有适于与每种算法使用的密钥。在受限设备的网络中,这个成本可能是不可接受的。如本文所使用的受限设备是在存储器中为每个密码功能存储一个密码算法代码模块的设备。如本文所使用的代码模块是所存储的可执行指令,当由一个或多个处理器执行时该可执行指令,使一个或多个处理器执行由所存储的代码模块的指令决定的操作。
参考图1,系统100被示为具有多个设备102和102n,这些设备将被添加在网络(诸如采用互联网104的网络)中。设备可以是可以与互联网或其它网络联网传感器、致动器、路边基础架构元件或者任何其它的合适设备。设备102-102n通常可以在中央位置的批处理中完成注册,然后被运送以进行安装。管理员将需要查看整个系统的计划并尝试了解如何配置设备。
在这个示例中,作为安全管理基础架构(在这种情况下是PKI基础架构)的一部分的安全管理设备106或授权服务器通过在作为设备106的一部分的服务器或其它计算机处的管理员接口利用发布设备配置证书所需的数据填充数据库108,其中该设备配置证书被随后发布到设备102-102n,以将设备配置为按照网络的要求进行操作。传感器和致动器的网络可以使用控制形成网络的设备的特权的授权服务器(决定哪些设备被允许访问哪些其它设备上的哪些功能)。
每个设备具有合适的网络接口来与网络通信以及相互通信,并且在这个示例中该网络接口包括IP地址或URL。在一个示例中,安全管理设备106可以生成如证书110所示的、在能力证书模型中的设备配置证书和/或如证书112所示的、基于设备许可证书模型的设备配置证书。如本领域中已知的,设备配置证书可以被存储在证书数据库114中。基于能力证书模型的设备配置证书的示例将是例如由安全管理设备106或其它合适的证书授权机构签名的证书。基于设备能力证书的设备配置证书将包括例如设备ID(诸如序列号、IP地址、URL或其它标识符),以及表示特定设备可以发布的命令以及哪些设备被授权与网络中的其它设备进行通信的数据。基于设备许可证书112的设备配置证书可以通过许可模型生成包括相同类型的设备ID信息和识别设备可以接受什么命令的数据的证书。数据库108可以包括例如网络中的每个设备的设备ID和每个设备位置(诸如设备在系统内的位置)。例如,如果设备是多个管道中的一个管道中的传感器,那么必须由管理员确定其在特定管道中相对于管道的特定接合点的位置或其它位置信息。数据库108还可以包括其它设备信息,诸如设备的型号和序列号以及由可以通过安全管理设备106的合适的用户接口来设置参数的管理员设置的设备的能力。替代地,如果使用许可模型,那么可以针对特定的设备集合存储许可或规则。然后无论发布的设备配置证书是基于能力模型的还是许可模型的,在生成或发布后所发布的设备配置证书都被发送到每个相应的设备,以使得通过基于公共密钥基础架构的安全系统安全地管理它们的配置。因此,设备102-102n将仅在它可以核实证书是由受信任的根授权机构签名的时候才接受证书,并且只能经由安全管理设备106对设备的配置进行改变。
存在对采用受限设备的系统维持设备周围的安全通信的需求。
发明内容
提供了一种用于受限设备之间的安全通信的方法,该方法包括:由授权服务器在多个受限设备之间发布密码通信的权利,其中所述多个受限设备中的每一个受限设备包括对于每个密码功能不多于一个的密码算法代码模块,其中所述发布包括向所述多个受限设备发布基于非对称密钥的配置证书或基于对称密钥的票证,其中所述基于非对称密钥的配置证书或基于对称密钥的票证包括至少识别所述多个受限设备中主体受限设备被允许与其密码通信的其它受限设备的数据,以允许所述多个受限设备在所述多个受限设备中的指定受限设备之间以密码方式交换信息;响应于请求受限设备的替换密码代码模块更新的密码算法更新请求,由授权服务器接收与所述多个受限设备中的至少第一受限设备相关联的密码通信权利请求;由授权服务器提供对所述密码通信权利请求的响应,所述响应包括所述多个受限设备中具有与所述多个受限设备中识别出的第一受限设备共同的密码通信的权利的子集的标识;其中,由所述授权服务器提供包括所述多个受限设备中具有所述密码通信的权利的子集的标识的响应包括:基于由所述授权服务器授权的授权通信权利,确定所述多个受限设备中哪一些具有与所述识别出的第一受限设备密码通信的权利;并且其中所发布的基于非对称密钥的配置证书或基于对称密钥的票证还包括识别所述主体受限设备被允许对另一受限设备执行的动作的数据。
附图说明
当结合以下附图(并且其中相同的附图标记表示相同的元件)并考虑以下描述,将更容易理解实施例,其中:
图1是示出现有技术系统的一个示例的框图;
图2是示出根据本公开中阐述的一个示例的系统的一个示例的框图;
图3是示出根据本公开中阐述的一个示例的、用于受限设备之间的安全通信的方法的一个示例的流程图;
图4是示出根据本公开中阐述的一个示例的、用于受限设备之间的安全通信的方法的一个示例的流程图;
图5是示出根据本公开中阐述的一个示例的、以用于多个受限设备的数字证书或令牌的形式的发布的密码通信的权利的一个示例的图;
图6是示出根据本公开中阐述的一个示例的授权服务器的一个示例的框图;
图7是示出根据本公开中阐述的一个示例的受限设备的一个示例的框图。
具体实施方式
一般而言,诸如授权服务器的装置和用于受限设备之间的安全通信的方法在多个受限设备之间发布密码通信的权利。多个受限设备中的每一个包括对于每个密码功能不多于一个密码算法代码模块。该方法包括响应于密码算法更新请求,接收与多个受限设备中的至少第一受限设备相关联的密码通信的权利请求,并且包括提供响应,该响应包括多个受限设备中具有与识别出的第一受限设备密码通信的权利的该多个受限设备中的子集的标识。然后软件更新服务器更新多个受限设备的子集中的密码代码模块。
在一个示例中,装置和方法还可以通过基于由授权服务器授权的授权通信权利来确定多个受限设备中哪一些具有与识别出的第一受限设备密码通信的权利来提供响应,该响应包括多个受限设备中具有密码通信的权利的子集的标识。
该方法还可以包括响应于密码算法更新请求,由软件更新服务器向具有与多个受限设备中识别出第一受限设备共同的密码通信的权利的多个受限设备中的子集供应替换密码代码模块,其中替换密码代码模块包括以下至少一个:数据加密代码模块、密钥加密代码模块、数据签名代码模块、密钥协商代码模块和数据摘要代码模块。数据摘要代码模块可以例如执行本领域已知的SHA-1或SHA-2密码操作,或本领域已知的任何其它合适的数据摘要操作。
装置和方法还可以通过向多个受限设备发布基于非对称密钥的配置证书或基于对称密钥的票证来在多个受限设备之间发布密码通信的权利,其中配置证书向多个受限设备中的每一个分配通信权,以允许多个受限设备在多个受限设备之间以密码方式交换信息。
图2示出了包括通过网络(诸如互联网104或任何其它一个或多个合适的通信网络)相互通信的授权服务器202、网络管理设备204(诸如服务器)、软件更新服务器206及受限设备209-210的系统200的一个示例。如果期望,那么可以采用如图所示并且如本领域中已知的网关。授权服务器202可以包括安全管理设备106(图1)的功能和/或还可以包括如本文所述的附加逻辑。在这个示例中,授权服务器202还包括类似于数据库114的数据库214,除了附加信息可以被结合为数字证书(诸如多个受限设备之间的密码通信的权利)。例如,证书可以指示受限设备209可以与网络中其它指定的受限设备210或不受限的设备(未示出)进行通信。每个受限设备209-210具有指示其密码通信的权利的对应证书或令牌。
例如,密码通信的权利指示特定设备可以采用哪些密码功能。不同的密码功能可以包括(作为示例而不是限制)数据加密功能、密钥加密功能、数据签名功能、密钥协商功能和数据摘要功能。所存储的与每个密码功能对应的软件模块在本文被称为密码代码模块。可以针对每个密码功能在每个受限设备中存储单个密码代码模块。因此,多个受限设备209-210中的每一个包括对于每个密码功能不多于一个密码算法代码模块。该功能可以采用任何合适的密码格式(诸如椭圆曲线密码(ECC)、RSA或任何其它合适的格式)。设备209和210是受限的,使得它们不为每个密码功能存储多于单个密码算法代码模块。
数据库214可以是存储在任何合适的存储器(诸如DRAM、ROM、RAM或存储数字信息的任何其它合适的存储介质)中的任何合适的分布式数据库或本地数据库。授权服务器202检查被允许相互进行通信的所有受限设备都用兼容的密码算法和对应的密钥进行编程。如果出于各种原因(诸如算法对于特定应用不再足够强大或者出于任何其它原因)必须更新特定的密码算法,那么网络管理设备可以暂停受限设备209-210的子集,并且软件更新服务器可以更新它们相应的密码算法和密钥,然后网络管理设备可以解除暂停。以这种方式,所有通信方都可以确保它们始终具有兼容的密码算法和密钥。
还参考图3和图5,如方框302中所示,用于受限设备之间的安全通信的方法包括由授权服务器202在多个受限设备209-210之间发布密码通信的权利(诸如证书或票证或其它密码令牌),其中多个受限设备中的每一个包括对于每个密码功能不多于一个密码算法代码模块。用于受限设备209的证书的示例被示为如下证书,该证书包括表示密码通信的权利500(示出了受限设备A被授权与受限设备B以及不受限设备1进行通信)的数据。在这个示例中,密码通信的权利500还包括设备A的认证公钥以及设备A能够使用的密码算法的标识符。类似地,为其它受限设备(诸如设备B、设备D、设备G和设备H)(为了简化的目的,这些设备未在图2中示出)提供密码通信的权利502、504、506和508。因此,在这个示例中,授权服务器202发布由授权服务器或其它根认证者签名的公钥证书,该公钥证书表示主体(subject)受限设备的公钥和其能力。在这种情况下,主体是向其发布了证书的受限设备的标识符。客体(object)(诸如主体被允许与其通信的其它设备,并且如果期望的话,主体被允许对客体执行动作)。虽然这个示例采用公钥密码技术,但是如果期望的话也可以采用对称密钥技术。
密码通信的权利也可以被表示为具有许可的证书,其中证书识别客体并且许可识别主体以及主体被允许执行的动作。受限设备可以通过名称(诸如DNS名)或地址(诸如IPv6地址)或者任何其它合适的标识符来识别。授权服务器202证明所分配的权利并且因此知道哪些受限设备(以及不受限设备,如果它们在网络中的话)被允许在网络中相互交谈。然后授权服务器202能够识别,如果任何身份替换其密码算法代码模块,哪条密码通信链路将会被破坏。
在图5中所示的示例中,由授权服务器202通过查看基于包括在任何证书中的主体(设备ID)的每个证书来确定密码通信的权利链。举例而言,设备A被授权与设备B进行密码通信(意味着它们都具有用于相应密码功能的相同密码模块),并且设备B被授权与受限设备D、G和H进行密码通信,并且受限设备D、G和H各自被授权与受限设备A进行通信。因此,必须更新用于设备A的密码代码模块将需要更新驻留在受限设备B、D、G和H中的、从密码的角度来看用于让这些设备相互正确通信的相同密码代码模块。因此,授权服务器202利用用于基于受限设备的密码通信的权利来识别不兼容的密码算法供应的方法。如上面所指出的,为了最小化存储密码代码所需的存储器的量,每个密码代码模块为每个密钥使用或每个密码功能实现不多于一个算法。也被称为密码功能的密钥使用包括但不限于如上面所指出的数据加密、密钥加密、数据签名生成、密钥协商和数据摘要。
回来参考图3,如方框304中所示的方法包括由授权服务器202接收密码通信的权利请求220,密码通信的权利请求220查找需要共同的密码模块进行通信的受限设备的列表。在这个示例中,网络管理设备204发送请求220。如所指出的,这个请求220请求授权服务器202提供受对密码代码模块的必要的更新影响的设备的列表。密码算法更新请求222可以被用于发起密码代码模块更新(即,软件更新)。这个密码算法更新请求222可以由软件更新服务器或网络管理设备204接收。举例来说,更新请求222可以通过需要提高的安全级别(并且因此密钥尺寸的升级)或区分密码算法(诸如RSA到椭圆曲线算法)的管理员终端而到达。密码算法更新请求222也可以如期望地根据另一个服务器或另一个处理自动生成。因此,作为一个示例,可以由软件更新服务器响应于软件更新服务器接收到密码算法更新请求而进行密码通信的权利请求的发布。同样,作为另一个示例,可以由网络管理设备响应于网络管理设备接收到密码算法更新请求而进行密码通信的权利请求的发布。
如方框306中所示,该方法包括由授权服务器202提供响应224,该响应224包括多个受限设备中具有与这多个受限设备中识别出的第一受限设备共同的密码通信的权利的子集的标识。例如,如果第一设备是设备A,那么来自授权服务器202的响应224将发送针对设备A的响应,该响应列出通过使用相同的密码代码模块而使得设备A具有与其通信的密码通信的权利的其它受限设备和不受限设备。在这个示例中,它将包括设备B、设备D、设备G和设备H(参见图5)。这个设备列表可以是例如作为到网络管理设备的响应224的一部分的设备ID的列表。这在方框306中示出。
参考图2和图4,在两个图中都示出了所描述的通信。一旦具有设备列表的响应224被发送到网络管理设备204,网络管理设备204就可以向软件更新服务器206发送命令400,该命令指示软件更新服务器206更新设备列表中列出的每个受限设备中的相应密码代码模块。然后,软件更新服务器206将密码代码模块供应(由通信402示出)给设备列表中列出的每个受限设备。这些受限设备是网络中受限设备的总数的子集。如前面所指出的,这可以包括暂停这些设备直到软件更新完成,并且随后允许受限设备在网络中重新确定(reassert)它们自己。可以通过来自网络管理设备的命令来将设备置于“静音”模式,在这种模式下,设备既不发起也不接受来自网络管理设备以外的设备的消息。将认识到,本文描述的操作可以取决于网络的期望的拓扑而适当地分布在网络中的各种设备之间。
图4中还示出了虚线404和406,虚线404和406示出可能在受限设备与软件更新服务器之间周期性地发生的操作。受限设备可以向软件更新服务器发起软件更新请求404并且,如果网络管理设备204已经向软件更新服务器206发送指示软件更新服务器206更新相应密码代码模块的命令400,那么软件更新服务器可以随后向发出请求的设备发送具有新密码代码模块的响应406。
再次参考图5,响应224包括多个受限设备中具有共同的密码通信的权利的子集的标识。该方法包括基于由授权服务器授权的授权通信权利来确定多个受限设备中的哪一些具有与识别出的第一受限设备共同的密码通信的权利。例如,这是通过如图5中所示的评估识别共同的受限设备的证书链来进行的。用于密钥证书的标准格式的示例包括X.509、PGP、PEM、PKI、PKCS#7、Publickeylnfo和SHA-1以及本领域中已知的其它合适格式。
例如,如上面所指出的,该方法还包括由软件更新服务器响应于密码算法更新请求222而供应替换密码代码模块,以使得该供应是针对多个受限设备中具有与这多个受限设备中识别出的第一受限设备共同的密码通信的权利的子集。
在一个示例中,授权服务器通过向多个受限设备发布基于非对称密钥的配置证书或基于对称密钥的票证来发布多个受限设备之间的密码通信的权利(证书、票证或其它令牌)。配置证书或对称密钥票证将通信权利分配给多个受限设备中的每一个,以允许多个受限设备在这多个受限设备之间以密码方式交换信息,并该信息由授权服务器进行密码签名。
图6示出了授权服务器202的框图,该授权服务器202可以包括逻辑,诸如一个或多个处理器600(诸如CPU、DSP或者任何其它合适的一个或多个处理器)以及可以由处理器600通过如本领域中已知的任何合适的总线结构604访问的存储器602。存储器602可以是任何合适的存储器,包括通过网络分布的存储器和/或以RAM、DRAM、ROM、EPROM或任何其它合适的存储器的形式的本地存储器。在这个示例中,存储器602存储在被执行时使得处理器600执行本文描述的操作的指令。处理器600被用作在执行所存储的代码时可被操作为执行功能的逻辑。该逻辑还可以以任何其它合适的方式来实现,诸如专用集成电路、状态机或者硬件和所存储的软件的任何适当组合。如本领域中已知的,授权服务器还包括合适的接口606,以提供到网络的接口、用户接口或授权服务器所需的任何其它合适的接口。如本领域中已知的,软件更新服务器和网络管理服务器可以包括一个或多个处理器、存储器和接口,以相互通信。但是,将认识到的是,由每个服务器执行的功能可以根据期望在一个或多个服务器上组合或者在一个或多个服务器之间分布。
图7示出了受限设备的框图,该受限设备包括控制器700(诸如微处理器、状态机、数字信号处理器或任何其它合适的逻辑)、与其它受限设备进行通信的射频收发器702,并且在这个示例中还包括向控制器提供传感器信息706的传感器704(诸如温度传感器、压力传感器或者其它传感器),然后控制器可以根据期望并且如本领域中已知的那样通过RF收发器向网络提供信息。如果期望,那么密码引擎708可以是控制器700的一部分或者是控制器700自身的硬件,并执行受限设备所需的密码操作(诸如本文描述的密码功能)。这个示例中的密码引擎执行存储在存储器710中的密码代码模块并且是可编程处理器。但是,如上面所指出的,也可以采用任何合适的逻辑。例如,代码更新器712(作为在控制器700上的执行软件)利用供应的密码代码模块改变或覆写当前的密码代码模块,以更新受限设备上的密码代码模块。可以采用任何合适的软件更新应用或操作。
除了其它优点之外,还可以识别需要共同的密码模块软件更新的受限设备的子集。受限设备可以是具有单个密码功能操作的低成本设备,以改进网络成本。系统有效地检查被允许相互通信的所有设备都用兼容的密码算法和密钥进行编程。当从受限设备中弃用特定的密码算法时,授权服务器暂停网络中导致密码算法和密钥的子集更新的受限设备的子集,然后解除暂停。以这种方式,授权服务器可以确保所有通信方始终都具有兼容的密码算法和密钥。
本发明的以上详细描述和其中描述的示例仅仅是为了说明和描述的目的而给出的,而不是限制。因此,可以设想,本发明覆盖落入上面公开以及在本文要求保护的基本底层原理的精神和范围内的任何和全部修改、变化或等同物。

Claims (7)

1.一种用于受限设备之间的安全通信的方法,包括:
由授权服务器在多个受限设备之间发布密码通信的权利,其中所述多个受限设备中的每一个受限设备包括对于每个密码功能不多于一个的密码算法代码模块,其中所述发布包括向所述多个受限设备发布基于非对称密钥的配置证书或基于对称密钥的票证,其中所述基于非对称密钥的配置证书或基于对称密钥的票证包括至少识别所述多个受限设备中主体受限设备被允许与其密码通信的其它受限设备的数据,以允许所述多个受限设备在所述多个受限设备中的指定受限设备之间以密码方式交换信息;
响应于请求受限设备的替换密码代码模块更新的密码算法更新请求,由授权服务器接收与所述多个受限设备中的至少第一受限设备相关联的密码通信权利请求;
由授权服务器提供对所述密码通信权利请求的响应,所述响应包括所述多个受限设备中具有与所述多个受限设备中识别出的第一受限设备共同的密码通信的权利的子集的标识;
其中,由所述授权服务器提供包括所述多个受限设备中具有所述密码通信的权利的子集的标识的响应包括:基于由所述授权服务器授权的授权通信权利,确定所述多个受限设备中哪一些具有与所述识别出的第一受限设备密码通信的权利;并且
其中所发布的基于非对称密钥的配置证书或基于对称密钥的票证还包括识别所述主体受限设备被允许对另一受限设备执行的动作的数据。
2.如权利要求1所述的方法,包括响应于密码算法更新请求,由软件更新服务器向所述多个受限设备中具有与所述多个受限设备中识别出的第一受限设备密码通信的权利的所述子集供应所述替换密码代码模块,其中所述替换密码代码模块包括数据加密代码模块、密钥加密代码模块、数据签名代码模块、密钥协商代码模块和数据摘要代码模块中的至少一个。
3.如权利要求1所述的方法,包括响应于软件更新服务器接收到密码算法更新请求而由软件更新服务器发布密码通信权利请求。
4.如权利要求1所述的方法,包括响应于网络管理设备接收到密码算法更新请求而由网络管理设备发布密码通信权利请求。
5.一种用于受限设备之间的安全通信的装置,包括:
一个或多个硬件处理器;和
存储指令的存储器,所述指令被执行时使得所述一个或多个硬件处理器:
在多个受限设备之间发布密码通信的权利,其中所述多个受限设备中的每一个受限设备包括对于每个密码功能不多于一个密码算法代码模块;
响应于请求受限设备的替换密码代码模块更新的密码算法更新请求,接收与所述多个受限设备中的至少第一受限设备相关联的密码通信权利请求;
提供对所述密码通信权利请求的响应,所述响应包括所述多个受限设备中具有与所述多个受限设备中识别出的第一受限设备密码通信的权利的子集的标识;
基于由授权服务器授权的授权通信权利,确定所述多个受限设备中哪一些具有与所述识别出的第一受限设备密码通信的权利;
其中,所述一个或多个硬件处理器操作以向所述多个受限设备发布基于非对称密钥的配置证书或基于对称密钥的票证,其中所述基于非对称密钥的配置证书或基于对称密钥的票证包括至少识别所述多个受限设备中主体受限设备被允许与其密码通信的其它受限设备的数据,以允许所述多个受限设备在所述多个受限设备中的指定受限设备之间以密码方式交换信息;并且
其中,所发布的基于非对称密钥的配置证书或基于对称密钥的票证还包括识别所述主体受限设备被允许对另一受限设备执行的动作的数据。
6.一种用于受限设备之间的安全通信的系统,包括:
多个受限设备;
授权服务器,可操作地耦合到所述多个受限设备,所述授权服务器操作以:
在多个受限设备之间发布密码通信的权利,其中所述多个受限设备中的每一个受限设备包括对于每个加密功能不多于一个密码算法代码模块,其中所述发布包括向所述多个受限设备发布基于非对称密钥的配置证书或基于对称密钥的票证,其中所述基于非对称密钥的配置证书或基于对称密钥的票证包括至少识别所述多个受限设备中主体受限设备被允许与其密码通信的其它受限设备的数据,以允许所述多个受限设备在所述多个受限设备中的指定受限设备之间以密码方式交换信息,其中所发布的基于非对称密钥的配置证书或基于对称密钥的票证还包括识别所述主体受限设备被允许对另一受限设备执行的动作的数据;
响应于请求受限设备的替换密码代码模块更新的密码算法更新请求,接收与所述多个受限设备中的至少第一受限设备相关联的密码通信权利请求;以及
提供对所述密码通信权利请求的响应,所述响应包括所述多个受限设备中具有与所述多个受限设备中识别出的第一受限设备共同的密码通信的权利的子集的标识;以及
软件更新服务器,可操作地耦合到所述多个受限设备和所述授权服务器,该软件更新服务器操作以:响应于密码算法更新请求而向所述多个受限设备中具有所述多个受限设备中识别出的第一受限设备密码通信的权利的所述子集供应替换密码代码模块,其中所述替换密码代码模块包括数据加密代码模块、密钥加密代码模块、数据签名代码模块、密钥协商代码模块和数据摘要代码模块中的至少一个。
7.如权利要求6所述的系统,包括网络管理服务器,所述网络管理服务器操作以发送所述密码通信权利请求。
CN201680050111.0A 2015-07-21 2016-07-21 提供受限设备之间的安全通信的方法和装置 Active CN107925573B (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201562195032P 2015-07-21 2015-07-21
US62/195,032 2015-07-21
US15/215,047 US10728043B2 (en) 2015-07-21 2016-07-20 Method and apparatus for providing secure communication among constrained devices
US15/215,047 2016-07-20
PCT/US2016/043272 WO2017015436A1 (en) 2015-07-21 2016-07-21 Method and apparatus for providing secure communication among constrained devices

Publications (2)

Publication Number Publication Date
CN107925573A CN107925573A (zh) 2018-04-17
CN107925573B true CN107925573B (zh) 2021-08-31

Family

ID=56555829

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201680050111.0A Active CN107925573B (zh) 2015-07-21 2016-07-21 提供受限设备之间的安全通信的方法和装置

Country Status (5)

Country Link
US (2) US10728043B2 (zh)
EP (1) EP3326321B1 (zh)
CN (1) CN107925573B (zh)
CA (1) CA2992736C (zh)
WO (1) WO2017015436A1 (zh)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10728043B2 (en) 2015-07-21 2020-07-28 Entrust, Inc. Method and apparatus for providing secure communication among constrained devices
US10872161B2 (en) 2016-11-23 2020-12-22 Entrust Corporation Printer identity and security
GB2561822B (en) * 2017-04-13 2020-02-19 Arm Ip Ltd Reduced bandwidth handshake communication
CN111213186B (zh) * 2017-08-18 2022-11-15 开利公司 基于历史信息为建筑物占用者创建建筑物路径的方法
US11184446B2 (en) 2018-12-05 2021-11-23 Micron Technology, Inc. Methods and apparatus for incentivizing participation in fog networks
US11327551B2 (en) 2019-02-14 2022-05-10 Micron Technology, Inc. Methods and apparatus for characterizing memory devices
US11256778B2 (en) * 2019-02-14 2022-02-22 Micron Technology, Inc. Methods and apparatus for checking the results of characterized memory searches
US11184181B2 (en) * 2019-02-20 2021-11-23 ControlThings Oy Ab System for assigning access rights to user device and method thereof
US12118056B2 (en) 2019-05-03 2024-10-15 Micron Technology, Inc. Methods and apparatus for performing matrix transformations within a memory array
US10867655B1 (en) 2019-07-08 2020-12-15 Micron Technology, Inc. Methods and apparatus for dynamically adjusting performance of partitioned memory
US11449577B2 (en) 2019-11-20 2022-09-20 Micron Technology, Inc. Methods and apparatus for performing video processing matrix operations within a memory array
US11853385B2 (en) 2019-12-05 2023-12-26 Micron Technology, Inc. Methods and apparatus for performing diversity matrix operations within a memory array

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102792632A (zh) * 2010-03-08 2012-11-21 微软公司 自动化证书管理
CN104461678A (zh) * 2014-11-03 2015-03-25 中国科学院信息工程研究所 一种在虚拟化环境中提供密码服务的方法和系统

Family Cites Families (70)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6462044A (en) * 1987-09-02 1989-03-08 Matsushita Electric Ind Co Ltd Digital radio communication equipment
US6108788A (en) * 1997-12-08 2000-08-22 Entrust Technologies Limited Certificate management system and method for a communication security system
US6314517B1 (en) * 1998-04-02 2001-11-06 Entrust Technologies Limited Method and system for notarizing digital signature data in a system employing cryptography based security
JP2000049770A (ja) * 1998-07-31 2000-02-18 Hitachi Ltd 暗号化通信方法、暗号アルゴリズム共有管理方法、暗号アルゴリズム変換方法、ネットワーク通信システム
US6805288B2 (en) * 2000-05-15 2004-10-19 Larry Routhenstein Method for generating customer secure card numbers subject to use restrictions by an electronic card
US7203314B1 (en) * 2000-07-21 2007-04-10 The Directv Group, Inc. Super encrypted storage and retrieval of media programs with modified conditional access functionality
US7203311B1 (en) * 2000-07-21 2007-04-10 The Directv Group, Inc. Super encrypted storage and retrieval of media programs in a hard-paired receiver and storage device
US6853728B1 (en) * 2000-07-21 2005-02-08 The Directv Group, Inc. Video on demand pay per view services with unmodified conditional access functionality
US6976136B2 (en) * 2001-05-07 2005-12-13 National Semiconductor Corporation Flash memory protection scheme for secured shared BIOS implementation in personal computers with an embedded controller
US7409714B2 (en) * 2001-06-13 2008-08-05 Mcafee, Inc. Virtual intrusion detection system and method of using same
US7092734B2 (en) * 2001-08-06 2006-08-15 Samsung Electronics Co., Ltd. IOTA software download via auxiliary device
FI20022278A (fi) * 2002-12-27 2004-06-28 Nokia Corp Menetelmä ja järjestelmä ohjelman testaamiseksi ja laite
US20040254479A1 (en) * 2003-02-20 2004-12-16 John Fralick Bio-photonic feedback control software and database
US20050055463A1 (en) * 2003-05-16 2005-03-10 Verilegal, Inc. Secure internet functionality
US7509487B2 (en) * 2003-09-29 2009-03-24 Gemalto Inc. Secure networking using a resource-constrained device
EP1545130A1 (fr) * 2003-12-16 2005-06-22 Nagravision S.A. Procédé de mise à jour de droits d'accès à des données à accès conditionel
US20060041938A1 (en) * 2004-08-20 2006-02-23 Axalto Inc. Method of supporting SSL/TLS protocols in a resource-constrained device
EP1638331A1 (fr) * 2004-09-17 2006-03-22 Nagravision S.A. Procédé de gestion de moyens d'accès à des données à accès conditionnel
JP4260759B2 (ja) * 2005-02-18 2009-04-30 富士通株式会社 機器制御サービス提供プログラム、機器制御サービス提供システムおよび機器制御サービス提供方法
US7814313B2 (en) * 2005-06-29 2010-10-12 Nokia Corporation System, terminal, network entity, method and computer program product for authorizing communication message
US8312264B2 (en) * 2005-09-30 2012-11-13 Blue Coat Systems, Inc. Method and system for authentication among peer appliances within a computer network
JP2007104310A (ja) * 2005-10-04 2007-04-19 Hitachi Ltd ネットワーク装置、ネットワークシステム及び鍵更新方法
JP4435076B2 (ja) * 2005-11-18 2010-03-17 フェリカネットワークス株式会社 携帯端末,データ通信方法,およびコンピュータプログラム
US20070248232A1 (en) * 2006-04-10 2007-10-25 Honeywell International Inc. Cryptographic key sharing method
JP5003118B2 (ja) * 2006-11-27 2012-08-15 横河電機株式会社 制御システム及びマルチキャスト通信方法
US20080292105A1 (en) 2007-05-22 2008-11-27 Chieh-Yih Wan Lightweight key distribution and management method for sensor networks
JP2009010470A (ja) * 2007-06-26 2009-01-15 Toshiba Corp 端末装置、グループ管理サーバ、ネットワーク通信システム、並びに暗号化鍵生成方法
JP5024999B2 (ja) * 2007-09-28 2012-09-12 東芝ソリューション株式会社 暗号管理装置、暗号管理方法、暗号管理プログラム
CN101911583A (zh) * 2008-01-18 2010-12-08 皇家飞利浦电子股份有限公司 用于自动节点和密钥撤销的无线通信系统和方法
DE102008006840A1 (de) * 2008-01-30 2009-08-13 Continental Automotive Gmbh Datenübertragungsverfahren und Tachographensystem
EP2259204A1 (en) * 2008-03-28 2010-12-08 Panasonic Corporation Software updating apparatus, software updating system, invalidation method, and invalidation program
JP4631935B2 (ja) * 2008-06-06 2011-02-16 ソニー株式会社 情報処理装置、情報処理方法、プログラム及び通信システム
CN101572601B (zh) * 2009-06-09 2011-03-30 普天信息技术研究院有限公司 一种数据加密传输方法及装置
WO2011001630A1 (ja) * 2009-06-30 2011-01-06 パナソニック株式会社 データ交換処理装置およびデータ交換処理方法
CN101996285B (zh) * 2009-08-26 2013-10-02 联想(北京)有限公司 一种电子设备
US20150130630A1 (en) * 2010-03-02 2015-05-14 Christopher Scott Outwater Method and apparatus for finding and accessing a vehicle fueling station and for reporting data from remote sensors
CN101860535A (zh) * 2010-05-26 2010-10-13 中兴通讯股份有限公司 管理家庭网关数字证书的方法及系统
KR101083127B1 (ko) * 2010-08-25 2011-11-11 경희대학교 산학협력단 멀티홉 무선 통신 환경에서 센서 노드들의 비밀값 공유 방법
CN101984574B (zh) * 2010-11-29 2012-09-05 北京卓微天成科技咨询有限公司 一种数据加解密方法及装置
US8621237B1 (en) * 2011-06-30 2013-12-31 Emc Corporation Protecting against cryptographic key exposure in source code
CN103067333B (zh) * 2011-10-18 2016-03-30 华为终端有限公司 验证机顶盒接入身份的方法和认证服务器
JP5967549B2 (ja) * 2012-01-25 2016-08-10 パナソニックIpマネジメント株式会社 鍵管理システム、鍵管理方法、および通信装置
US9342712B2 (en) * 2012-06-08 2016-05-17 Advanced Micro Devices, Inc. Method and system for accelerating cryptographic processing
US8793506B2 (en) * 2012-08-31 2014-07-29 Intel Corporation Mechanism for facilitating encryption-free integrity protection of storage data at computing systems
US8539567B1 (en) * 2012-09-22 2013-09-17 Nest Labs, Inc. Multi-tiered authentication methods for facilitating communications amongst smart home devices and cloud-based servers
KR20140071605A (ko) * 2012-12-04 2014-06-12 삼성전자주식회사 데이터 처리 방법, 센서 장치 및 사용자 단말
US9680726B2 (en) * 2013-02-25 2017-06-13 Qualcomm Incorporated Adaptive and extensible universal schema for heterogeneous internet of things (IOT) devices
US9900171B2 (en) * 2013-02-25 2018-02-20 Qualcomm Incorporated Methods to discover, configure, and leverage relationships in internet of things (IoT) networks
US9723058B2 (en) * 2013-05-28 2017-08-01 Vmware, Inc. Dynamic registration of an application with an enterprise system
US9438440B2 (en) * 2013-07-29 2016-09-06 Qualcomm Incorporated Proximity detection of internet of things (IoT) devices using sound chirps
US9870537B2 (en) * 2014-01-06 2018-01-16 Cisco Technology, Inc. Distributed learning in a computer network
KR101519777B1 (ko) * 2014-01-29 2015-05-12 현대자동차주식회사 차량 네트워크 내의 제어기간의 데이터 송신 방법 및 수신 방법
US20150279132A1 (en) * 2014-03-26 2015-10-01 Plantronics, Inc. Integration of Physical Access Control
GB2526818B (en) * 2014-06-03 2021-01-13 Arm Ip Ltd Methods of accessing and providing access to a remote resource from a data processing device
EP2958039B1 (en) * 2014-06-16 2019-12-18 Vodafone GmbH Device for decrypting and providing content of a provider and method for operating the device
CN106537871B (zh) * 2014-07-11 2020-11-10 因特鲁斯特公司 用于在网络中提供设备的登记的系统、方法和装置
EP3167569B1 (en) * 2014-09-30 2020-09-23 NEC Corporation Method and system for providing a secure update of code on a memory-constrained device
US9311811B1 (en) * 2014-10-08 2016-04-12 Google Inc. Alarm profile for a fabric network
US9552485B1 (en) * 2014-10-21 2017-01-24 Amazon Technologies, Inc. Cryptographic material renewal
US9094407B1 (en) * 2014-11-21 2015-07-28 Citrix Systems, Inc. Security and rights management in a machine-to-machine messaging system
US9754100B1 (en) * 2014-12-22 2017-09-05 Amazon Technologies, Inc. Credential synchronization management
CN104580189B (zh) * 2014-12-30 2019-02-12 北京奇虎科技有限公司 一种安全通信系统
US9774604B2 (en) * 2015-01-16 2017-09-26 Zingbox, Ltd. Private cloud control
KR101684076B1 (ko) * 2015-03-18 2016-12-20 문종섭 사물인터넷에서 스마트 디바이스 또는 스마트 센서와 네트워크 게이트웨이 사이의 안전한 데이터 전달을 위한 통신 시스템
US9838390B2 (en) * 2015-03-31 2017-12-05 Afero, Inc. System and method for automatic wireless network authentication
CN104732636B (zh) * 2015-04-14 2017-05-24 重庆特斯联智慧科技股份有限公司 基于蓝牙手机的智能小区门禁控制系统及其控制方法
US10469464B2 (en) * 2015-06-09 2019-11-05 Intel Corporation Self-configuring key management system for an internet of things network
US9977415B2 (en) * 2015-07-03 2018-05-22 Afero, Inc. System and method for virtual internet of things (IOT) devices and hubs
US10728043B2 (en) * 2015-07-21 2020-07-28 Entrust, Inc. Method and apparatus for providing secure communication among constrained devices
US10970138B2 (en) * 2017-05-09 2021-04-06 Microsoft Technology Licensing, Llc Modular applications using a common provisioning service

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102792632A (zh) * 2010-03-08 2012-11-21 微软公司 自动化证书管理
CN104461678A (zh) * 2014-11-03 2015-03-25 中国科学院信息工程研究所 一种在虚拟化环境中提供密码服务的方法和系统

Also Published As

Publication number Publication date
CA2992736C (en) 2024-04-16
EP3326321B1 (en) 2021-10-27
WO2017015436A1 (en) 2017-01-26
US10728043B2 (en) 2020-07-28
US11102013B2 (en) 2021-08-24
US20200322171A1 (en) 2020-10-08
EP3326321A1 (en) 2018-05-30
CN107925573A (zh) 2018-04-17
CA2992736A1 (en) 2017-01-26
US20170026185A1 (en) 2017-01-26

Similar Documents

Publication Publication Date Title
CN107925573B (zh) 提供受限设备之间的安全通信的方法和装置
KR101958061B1 (ko) 차량의 보안 통신을 위한 방법
JP7267295B2 (ja) ゲートウェイ装置に接続された非ipエンドポイントデバイスと接続されたサービスとの間のデータ転送を安全にするためのシステム及び方法
US20240073003A1 (en) Method of data transfer, a method of controlling use of data and cryptographic device
JP6154413B2 (ja) ルート証明書の無効化
US8892869B2 (en) Network device authentication
KR100860404B1 (ko) 다중 도메인 홈네트워크 환경에서의 디바이스 인증 방법 및장치
US8756675B2 (en) Systems and methods for security in a wireless utility network
JP5215289B2 (ja) 分散式の委任および検証のための方法、装置、およびシステム
US20160057134A1 (en) Updating of a Digital Device Certificate of an Automation Device
US10511587B2 (en) Authorization apparatus and method for an authorized issuing of an authentication token for a device
US20140281497A1 (en) Online personalization update system for externally acquired keys
US20210306157A1 (en) Infrastructure device enrolment
BRPI0907489A2 (pt) servidor de credenciamento, e, método para prover credenciais de assinante
WO2014120436A2 (en) Framework for provisioning devices with externally acquired component-based identity data
CN113647080B (zh) 以密码保护的方式提供数字证书
WO2008002081A1 (en) Method and apparatus for authenticating device in multi domain home network environment
JP2015132943A (ja) 通信機器
CN113783686A (zh) 一种基于区块链的sdn及nfv网络安全管理系统及方法
TW202121191A (zh) 資料配置裝置、通信系統、以及配置方法
US11297049B2 (en) Linking a terminal into an interconnectable computer infrastructure
CN110771087A (zh) 私钥更新
Fischer et al. Secure identifiers and initial credential bootstrapping for IoT@ Work
KR20220143477A (ko) IoT 디바이스 인증 시스템 및 이를 이용한 IoT 디바이스 인증 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant