CN109479063B - 使用端到端安全元件通信的嵌入式系统的授权控制 - Google Patents

Abstract

第一设备包括应用处理器、安全处理器和控制处理器。应用处理器被配置为从第二设备接收控制命令。安全处理器连接在应用处理器与控制处理器之间，并且被配置为认证控制命令。控制处理器被配置为当控制命令被安全处理器认证时接收控制命令，执行控制命令以激活第一设备的至少一项功能，以及向第二设备发送响应。

Description

使用端到端安全元件通信的嵌入式系统的授权控制

技术领域

本公开总体涉及使用远程设备来控制设备。更具体地，本公开涉及用于保护设备之间的通信的方法和装置。

背景技术

互联网是一种以人类为中心的连接网络，人类在互联网中生成并消耗信息，现在，互联网正在向物联网(IoT)发展，而在IoT中，分布式实体(例如，连接的设备)在没有人类干预的情况下交换和处理信息。IoT一个日益重要的方面是用户远程和/或自动地控制他们周围的物理设备的能力。

发明内容

技术问题

远程和自动控制的一个重要方面是授权，这意味着在可以执行控制信号或命令之前，用户的移动设备或计算机必须在可以向IoT设备证明自己。例如，手机必须向汽车证明其被授权来起动汽车。但是，现有的授权解决方案具有根本性的限制。例如，在存在可基于现有软件缺陷的非法侵入(hack)的情况下，用户的移动设备和IoT设备都会受到危害。因此，需要一种相对而言不受非法侵入影响的解决方案来保护与用户的移动设备的通信。

技术方案

本公开涉及嵌入式系统的授权控制。

在第一实施例中，第一设备包括应用处理器、安全处理器和控制处理器。所述应用处理器被配置为从第二设备接收控制命令。所述安全处理器被配置为认证所述控制命令，所述安全处理器连接在所述应用处理器与所述控制处理器之间。控制处理器被配置为当控制命令被安全处理器认证时接收控制命令，执行控制命令以激活第一设备的至少一项功能，以及向第二设备发送响应。

在第二实施例中，一种用于由第一设备执行控制命令的方法包括：从第二设备接收第一公钥，向所述第二设备发送第二公钥，以及基于所述第一公钥和所述第二公钥连接到所述第二设备。所述方法还包括认证来自所述第二设备的控制命令，以及授权来自所述第二设备的控制命令。在所述控制命令被认证和授权之后，执行所述控制命令。

在第三实施例中，一种体现计算机程序的非瞬时计算机可读介质，所述计算机程序包括计算机可读程序代码，所述计算机可读程序代码当被执行时使至少一个第一设备从第二设备接收第一公钥并且向所述第二设备发送第二公钥。基于所述第一公钥和所述第二公钥连接所述至少一个第一设备和所述第二设备。所述至少一个第一设备还认证来自所述第二设备的控制命令，并且授权来自所述第二设备的控制命令。在所述控制命令被认证和授权之后，执行所述控制命令。

根据下面的附图、描述和权利要求，其他技术特征对本领域技术人员而言是容易理解的。

在进行以下的具体实施方式之前，阐述贯穿本专利文档使用的某些词语和短语的定义是有利的。术语“耦接”及其派生词是指两个或更多个元素之间的任何直接或间接的通信，不管这些元素是否彼此物理接触。术语“发送”、“接收”和“通信”及其派生词包括直接和间接通信这二者。术语“包含”和“包括”及其派生词意味着在没有限制的情况下的包含。术语“或”是非排除性的，意味着和/或。短语“与...相关联”及其派生词可以意味着包括、被包括在内、与...互连、包含、被包含在内、连接到或与...连接、耦接到或与...耦接、可与...通信、与...协作、交织、并置、接近...、绑定到...或与...绑定、具有、具有...的属性、具有到...的关系或与...的关系等。术语“控制器”意指控制至少一个操作的任何设备、系统或其一部分。可以用硬件、或硬件和软件和/或固件的组合来实现这样的控制器。与任意特定控制器相关联的功能可以是集中式或分布式的，无论本地还是远程。短语“……中的至少一个”当与项目列表一起使用时，意味着可以使用列出的项目中的一个或多个的不同组合，并且可能仅需要列表中的一个项目。例如，“A、B和C中的至少一项”包括以下组合中的任何组合：A、B、C、A和B、A和C、B和C、以及A和B和C。

此外，下面描述的各种功能可以由一个或多个计算机程序来实现或支持，每个计算机程序由计算机可读程序代码形成并体现在计算机可读介质中。术语“应用”和“程序”是指一个或多个计算机程序、软件组件、指令集、过程、功能、对象、类、实例、相关数据或其适于在适当的计算机可读程序代码中实现的部分。短语“计算机可读程序代码”包括任何类型的计算机代码，包括源代码、目标代码和可执行代码。短语“计算机可读介质”包括能够由计算机访问的任何类型的介质，诸如只读存储器(ROM)、随机存取存储器(RAM)、硬盘驱动器、高密度盘(CD)、数字视频盘(DVD)或任何其他类型的存储器。“非瞬时”计算机可读介质排除了传输瞬时电信号或其他信号的有线、无线、光学或其他通信链路。非瞬时计算机可读介质包括其中可以永久存储数据的介质以及其中可以存储数据并随后被重写的介质，诸如可重写光盘或可擦除存储器设备。

贯穿本专利文献中提供了其他某些词语和短语的定义。本领域普通技术人员应当理解，在许多情况下(如果不是大多数情况)，这样的定义适用于这种定义的单词和短语的事先以及将来的使用。

附图说明

为了更全面理解本公开及其优点，现结合附图参考以下描述，附图中：

图1示出了根据本公开的示例计算系统；

图2示出了根据本公开的计算系统中的示例设备；

图3示出了根据本公开的示例电子设备；

图4示出了根据本公开的示例系统；

图5示出了根据本公开的用于在线配对的示例方法；

图6示出了根据本公开的用于离线配对的示例方法；

图7示出了根据本公开的用于利用电子设备控制IoT设备的方法的流程图；

图8示出了根据本公开的示例认证方法；

图9示出了根据本公开的示例系统；

图10示出了根据本公开的示例系统。

具体实施方式

以下讨论的图1至图10和本专利文档中的用于描述本公开的原理的各种实施例仅仅是说明性的，且不应当被以限制本公开内容的范围的任何方式进行解释。本领域的技术人员将理解，本公开的原理可在任意适当布置的设备或系统中实现。

本公开的实施例描述了用户设备(例如，智能电话或可穿戴设备)中的安全元件的使用、物联网(IoT)设备中的安全元件、以及用于将用户设备的安全元件与IoT设备的安全元件进行配对的可选的可信第三方(TTP)的使用。安全元件可以是集成电路，其是 件隔离的并且用于存储高度敏感的数据并对该数据执行计算。用户设备和IoT设备可以首先彼此配对。该配对可以由TTP服务器协助，或者用户可以在没有第三方的协助的情况下进行该配对。用户设备向IoT设备认证自身。因此，在实施例中，用户设备的安全元件和IoT设备的安全元件代表它们各自的主机设备来实施授权。如果用户设备得到认证，则IoT设备的安全元件决定允许该用户设备执行哪些动作。

图1示出了根据本公开的示例计算系统100。图1中所示的计算系统100的实施例仅用于说明。在不脱离本公开的范围的情况下，可以使用计算系统100的其他实施例。

如图1所示，计算系统100包括网络102，其促进计算系统100中的各种组件之间的通信。例如，网络102可以在网络地址之间传送互联网协议(IP)分组、帧中继帧、异步传输模式(ATM)信元或其他信息。网络102可以包括一个或多个局域网(LAN)、城域网(MAN)、广域网(WAN)、诸如互联网的全球网络的全部或一部分、或一个或多个位置处的任意其他通信系统。

网络102促进电子设备104与第三方服务器106和各种IoT设备108、110之间的通信。电子设备104可以是例如智能电话、可穿戴设备或头戴式显示器(HMD)。

每个IoT设备108、110表示通过网络102与至少一个电子设备或其他计算设备交互的任何合适的计算或处理设备。例如，IoT设备108可以是连接的设备。在该示例中，IoT设备108、110可以包括电子设备，根据本公开的各种实施例，该电子设备可以包括例如以下中的至少一项：家用电器、汽车或被配置为连接到家用电器或汽车的加密狗。

如以下更详细描述的，电子设备104与IoT设备108、110中的一个或多个建立安全通信，以便控制IoT设备108、110中的一个或多个。电子设备104可以直接与IoT设备110进行通信，或者可以经由第三方服务器106与IOT设备108进行通信。

尽管图1示出了计算系统100的一个示例，但是可以对图1进行各种改变。例如，计算系统100可以包括任意适当布置的任意数量的各个组件。通常，计算和通信系统具有各种各样的配置，并且图1不将本公开的范围限制于任意特定配置。虽然图1示出了可以使用本专利文档中公开的各种特征的一种操作环境，但是这些特征可以用于任何其他合适的系统中。

图2和图3示出了根据本公开的计算系统中的示例设备。具体地，图2示出了示例IoT设备200，而图3示出了示例电子设备300。例如，IoT设备108可以是连接的设备。IoT设备200还可以表示图1中的IoT设备108、110中的一个或多个，而电子设备300可以表示图1中的电子设备104。

如图2所示，IoT设备200包括总线系统205，其支持至少一个处理器210、至少一个存储设备215和至少一个收发器220之间的通信。

处理器210执行可以加载到存储器230中的指令。处理器210可以包括任意适当布置的任意适当数量和类型的处理器或其他设备。处理器210的示例类型包括微处理器、微控制器、数字信号处理器、现场可编程门阵列、专用集成电路和分立电路。

存储器230和永久存储装置235是存储设备215的示例，其表示能够存储信息和促进信息获取(例如，暂时或永久的数据、程序代码和/或其他适当的信息)的任意结构。存储器230可以表示随机存取存储器或任意其他合适的易失性或非易失性存储设备。永久存储装置235可以包含支持数据的长期存储的一个或多个组件或设备，例如只读存储器、硬盘驱动器、闪存或光盘。存储器230上存储用于控制IoT设备200的一项或多项功能的应用。

收发器220支持与其他系统或设备的通信。例如，收发器220可以包括促进通过网络102的通信的网络接口卡或无线收发器。收发器220可以支持通过任意合适的物理或无线通信链路进行的通信。

在一些实施例中，IoT设备200可以包括允许输入和输出数据的I/O单元225。例如，I/O单元225可以通过键盘、鼠标、键区、触摸屏或其他合适的输入设备提供针对用户输入的连接。I/O单元225还可以向显示器、打印机或其他合适的输出设备发送输出。

如以下将描述的，IoT设备200包括安全元件240，其负责验证来自电子设备300的命令的真实性并基于命令的来源授权控制命令。

尽管图2示出了IoT设备200的一个示例，但是可以对图2做出各种改变。例如，IoT设备200可以包括任意数量的在图2中示出的每个组件。

图3示出了根据本公开的示例电子设备300。图3中示出的电子设备300的实施例仅用于说明，并且图1的电子设备104可以具有相同或相似的配置。然而，电子设备具有各种各样的配置，并且图3不将本公开的范围限制于电子设备的任意特定实现。在本公开的一个或多个实施例中，电子设备300可以被电视或HMD所替换。

如图3所示，电子设备300包括通信单元310。通信单元310可以包括例如RF收发器、蓝牙收发器或WiFi收发器。移动设备300还可以包括发送(TX)处理电路315、麦克风320和接收(RX)处理电路325。电子设备300还包括扬声器330、处理器340、输入/输出(I/O)接口(IF)345、输入350、显示器355和存储器360。存储器360包括操作系统(OS)程序361和一个或多个应用362。

收发器310可以接收输入RF信号，例如，蓝牙信号或WiFi信号。收发器310可以对输入RF信号进行降频转换以生成中频(IF)或基带信号。IF或基带信号被发送给RX处理电路325，RX处理电路325通过对基带或IF信号进行滤波、解码和/或数字化来生成经处理的基带信号。RX处理电路325向扬声器330(例如针对语音数据)或处理器340(例如针对web浏览数据)发送经处理的基带信号用于进一步处理。

TX处理电路315接收来自麦克风320的模拟或数字语音数据或来自处理器340的其他输出基带数据(例如web数据、电子邮件或交互式视频游戏数据)。TX处理电路315对输出基带数据进行编码、复用和/或数字化，以生成经处理的基带或IF信号。通信单元310从TX处理电路315接收输出的经处理的基带或IF信号，并将该基带或IF信号升频转换为经由天线305发送的RF信号。

处理器340可以包括一个或多个处理器或其他处理设备，并且执行存储器360中存储的基本OS程序361，以便控制电子设备300的整体操作。例如，根据众所周知的原理，处理器340可以通过通信单元310、RX处理电路325和TX处理电路315控制前向信道信号的接收和反向信道信号的发送。在一些实施例中，处理器340包括至少一个微处理器或微控制器。

处理器340还能够执行驻留在存储器360中的其他进程和程序。处理器340可以根据执行进程的要求将数据移入或移出存储器360。在一些实施例中，处理器340被配置为基于OS程序361或响应于从eNB或操作者接收的信号来执行应用362。处理器340还耦接到I/O接口345，该I/O接口345向电子设备300提供连接到诸如膝上型计算机和手持计算机之类的其他设备的能力。I/O接口345是这些附件和处理器340之间的通信路径。

处理器340还耦接到输入350和显示器355。电子设备300的操作者可以使用输入350(例如，键区、触摸屏、按钮等)来将数据输入到电子设备300中。显示器355可以是液晶显示器、发光二极管(LED)显示器、光学LED(OLED)、有源矩阵OLED(AMOLED)、透明或不透明显示器(例如，一副增强现实眼镜上的一个或多个透镜，其中一个或多个图像可以被投影或使用透镜来显示)，或者能够呈现文本和/或例如来自网站的至少有限的图形的其他显示器。在一个实施例中，输入350是触摸屏。触摸屏可以包括触摸面板、(数字)笔传感器、按键或超声输入设备。例如，触摸屏可以根据电容方案、压敏方案、红外方案或超声方案中的至少一种来识别触摸输入。触摸屏也可以包括控制电路。在电容方案中，触摸屏可以识别触摸和接近。

存储器360还耦接至处理器340。存储器360的一部分可以包括随机存取存储器(RAM)，并且存储器360的另一部分可以包括闪速存储器或其他只读存储器(ROM)。

电子设备300还可以包括一个或多个传感器370，其可以计量物理量或检测电子设备300的激活状态，并将计量或检测的信息转换为电信号。例如，传感器370可以包括用于触摸输入的一个或多个按钮(例如，在头戴设备或电子设备300上)、手势传感器、眼睛跟踪传感器、回转仪或陀螺仪传感器、气压传感器、磁传感器或磁力计、加速度传感器或加速度计、握持传感器、接近传感器、颜色传感器(例如，红绿蓝(RGB)传感器)、生物生理传感器、温度/湿度传感器、照明传感器、紫外(UV)传感器、肌电图(EMG)传感器、脑电图(EEG)传感器、心电图(ECG)传感器、IR传感器、超声波传感器、虹膜传感器、指纹传感器等。传感器370还可以包括用于控制本文包括的传感器中的至少一个的控制电路。如下文将更详细讨论的，这些传感器370中的一个或多个可以被用于控制UI，检测UI输入，确定用于3D内容显示识别的用户朝向和面向方向等。这些传感器370中的任何传感器可以位于电子设备300内，位于被配置为保持电子设备300的头戴设备内，或者在头戴设备和电子设备300两者中(例如，在电子设备300包括头戴设备的实施例中)。

电子设备300还可以包括安全元件380。安全元件380是用于存储高度敏感的数据以及对该数据执行计算的小型硬件隔离环境。

尽管图3示出了电子设备300的一个示例，但是可以对图3做出各种改变。例如，图3中的各种组件可以组合，进一步细分或省略，并且可以根据特定需要添加附加组件。作为特定示例，处理器340可以被划分为多个处理器，诸如一个或多个中央处理单元(CPU)和一个或多个图形处理单元(GPU)。

图4示出了根据本公开的实施例的可以包括电子设备402和IoT设备404的示例系统400。电子设备402示出了可以用于本公开的实施例的电子设备300的一个示例。如图4所示，电子设备402可以是例如移动电话。在其他实施例中，电子设备可以是智能手表、平板计算机、密钥卡。

电子设备402包括控制应用406和安全元件408。控制应用406将与用户或服务器进行交互以确定要向IoT设备404发出什么控制命令。控制应用406不对命令进行认证，并且可以仅用于安全元件408的一些有限配置。例如，在无源无密钥进入场景中，安全元件408可以直接连接到通信信道420(例如，蓝牙低能耗(BLE))或任何接触式或非接触式接口。当安全元件408检测到用户靠近车辆时，它自动地执行门解锁协议。在这种情况下，控制应用程序406可以仅用于向安全元件408指示一组用户偏好(座椅位置、气候控制等)。

安全元件408包括向IoT设备404认证命令所需的信息。安全元件408将参与在线配对阶段和随后的离线命令阶段。为了发出认证命令，安全元件408将由控制应用程序406或由一些传感器输入(例如，IoT设备404附近的邻近检测)来激活。然后它将执行如下所述的离线命令协议。

IoT设备404从电子设备402接收认证控制命令，检查认证，并且然后基于授权策略来执行命令(即，是否允许认证命令源执行给定的命令)。IoT设备404可以包括应用处理器410、控制模块412和安全元件414。

应用处理器(AP)410是IoT设备404的主中央处理单元(CPU)和输入/输出(IO)处理器。AP 410为IoT设备404提供网络和其他连接，例如，

不信任AP 410来执行影响IoT设备404的物理状态的命令。例如，如果IoT设备404是汽车，则AP 410不能直接解锁车门、起动发动机等。替代地，AP 410仅可以向安全元件414中继来自电子设备402的认证命令。

控制模块412是IoT设备的芯片或子模块，其可以发送电信号以物理操纵IoT设备404，即门锁。控制模块412仅可以从安全元件414接收命令，从而确保所有被执行的命令必须得到安全元件414中的IoT小应用(applet)的认证和授权。

安全元件414负责验证来自电子设备402的命令的真实性并基于控制命令的来源对控制命令进行授权。在安全元件414上运行的是IoT小应用(未示出)。IoTa小应用是负责对控制命令进行认证和授权的软件。只有被IoT小应用授权的命令才能由IoT设备404执行。AP 410与控制模块412之间的通信总线被一分为二。安全元件414接合两个半总线。安全元件414硬件或操作系统向IoT小应用传递来自AP侧总线的任意通信。然后，IoT小应用经由另一半总线向控制模块412转发该通信。

在一些实施例中，TTP服务器416可以被包括在系统400中。TTP服务器416可以用于在线配对阶段。如果使用TTP服务器416，则TTP服务器416将维持从IoT设备到加密签名的映射。当给定的电子设备402可以为给定的IoT设备404提供加密签名时，TTP服务器416将在电子设备402与IoT设备404之间进行公钥的交换。

图5示出了根据本公开的用于在线配对的示例方法。如图5所示，在线配对涉及电子设备安全元件(图5中示为“ED SE”)502、电子设备控制应用(图5中示为“ED控制APP”)504、TTP服务器(图5中示为“TTP”)506、AP 508和IoT安全元件(图5中示为“IoT SE”)510。在执行在线配对之前，电子设备安全元件502生成非对称密钥对PK(U)和RK(U)。IoT安全元件也生成非对称密钥对PK(T)和RK(T)。在线配对可以分两个阶段来执行：(i)注册密钥对阶段512；和(ii)公钥分发阶段514。在注册密钥对阶段512中，用户必须首先输入凭证C(516)。该凭证可以从购买或激活IoT设备开始就存在，例如，作为盒子内的贴纸存在，或者存在于供应商的网站上的注册表单中。TTP服务器506执行与电子设备控制应用504的互认证(518)，并且然后建立与电子设备安全元件502的安全信道(520)。在建立了安全信道之后，电子设备安全元件502向TTP服务器506发送电子设备的封装公钥PK(U)与封装凭证C(522)。TTP服务器506对PK(U)解封装，验证凭证C，并保存索引等于C的PK(U)(524)。

如果TTP服务器506可以验证C是与IoT设备相对应的正确凭证，则如下面的步骤所示，TTP服务器506然后将向IoT设备本身请求相同的凭证。TTP服务器506执行与AP 508的互认证(526)，并且然后建立与IoT安全元件510的安全信道(528)。在建立了安全信道之后，IoT安全元件510向TTP服务器506发送IoT设备的封装公钥PK(T)与封装凭证C(530)。TTP服务器506对PK(T)解封装，验证凭证C，并保存索引等于C的PK(U)(532)。

如果IoT设备提供了匹配的C值，则允许协议移动到公钥分发阶段514。在公钥分发阶段514期间，TTP服务器506将在电子设备安全元件502与IoT安全元件510之间进行公钥的交换。公钥分发阶段514执行TTP服务器506与电子设备控制应用504以及TTP服务器506与AP508之间的互认证(534)。电子设备控制应用504向电子设备安全元件502发送包括安全对象的PK(T)请求(536)。电子设备安全元件502将安全对象解封装以获得许可，并通过先前建立的安全信道向TTP服务器506发送解封装的凭证C以请求PK(T)(538)。TTP服务器506查找索引C的PK(T)和PK(U)(540)，并通过先前建立的安全信道向IoT安全元件510发送PK(U)(542)。IoT安全元件510对PK(U)进行解封装、验证和保存(544)。TTP服务器506向电子设备安全元件502返回成对的解封装PK(T)(546)。

图6示出了根据本公开的用于离线配对的示例方法。如图6所示，在线配对涉及电子设备安全元件(图6中示为“ED SE”)602、电子设备应用(图6中示为“ED APP”)604、AP 606和IoT安全元件(图6中示为“IoT SE”)608。在电子设备应用604或其他传感器(未示出)向电子设备安全元件602发出命令时(610)，该离线配对开始。然后，电子设备安全元件602将在电子设备安全元件602与IoT安全元件608之间执行认证密钥交换(AKE)(612)。然后，使用由AKE生成的会话密钥对命令进行加密和完整性保护(614)。通过通信介质(例如，

)向AP 606广播命令(616)。从AP 606向IoT安全元件608转发命令(618)。如果命令被成功认证(624)，则命令和发送方的身份被转发到授权阶段，并且向电子设备安全元件602返回响应(626)。在一些实施例中，响应是包含状态代码的明文数据，例如成功或失败(具有错误调试信息)。响应携带计数器以防止重放攻击。响应中封装有之前导出的会话密钥，以针对可能窃听、注入和/或修改该会话中的任意消息的攻击者来确保其真实性和完整性。在认证阶段，IoT安全元件608(具体地，IoT小应用)检查控制命令和来源(例如，发送方的公钥)，并根据给定的策略(例如，可能存在用于每一发送方的策略)决定是否可以执行命令。电子设备安全元件602对封装响应进行解密并使计数器增加(628)。计数器是数字值(整数、长整数或甚至更大的数值数据类型)，用于保持跟踪在控制设备与IoT设备之间交换的消息的数量，以避免重放攻击，并为每个会话提供转发保密性。在会话终止后，新会话就将在该新会话中生成暂时的秘密。

图7示出了根据本公开的用于利用电子设备控制IoT设备的方法700的流程图。将结合图4-图6来描述图7的流程图。在步骤702中，通过在安全元件408与安全元件414之间交换非对称公钥来将电子设备402与IoT设备404配对在一起。如上所述，配对可以经由TTP服务器416发生，或者通过

经由电子设备402与IoT设备404之间的直接通信发生。

在设备配对之后，在步骤704中，通过在电子设备402与IoT设备404之间执行AKE，由IoT设备404认证来自电子设备402的命令，如图6所示。使用由AKE生成的会话密钥对控制命令进行加密，并向IoT设备404发送该控制命令。然后，IoT设备404使用由AKE生成的会话密钥来认证该控制命令。

在控制命令被认证之后，在步骤706中IoT设备404对控制命令进行授权。为了对命令进行授权，IoT安全元件414(具体地，IoT小应用)检查控制命令和来源(例如，发送方的公钥)，并根据给定的策略决定是否可以执行控制命令。策略可以包括可用命令的任何规范，其取决于IoT设备、发送方的不同角色、各种时间段和/或命令体内携带的不同内容。例如，在一个实施例中，该策略可以是用于每一发送方的策略，诸如在申请号为15/048,531、题为“Transparent，Secure Element-based Mediation of On-Board Diagnostic Commands”的美国专利申请中提出的策略，该申请通过引用合并在本文中。在控制命令被授权之后，向控制模块412传递控制命令，该控制模块412执行控制命令，例如，打开锁住的门，起动汽车，打开灯等。

图8示出了根据本公开的示例认证方法。如图8所示，认证方法涉及电子设备安全元件(图8中示为“ED SE”)802、电子设备应用(图8中示为“ED APP”)804、AP 806以及IoT安全元件(图8中示为“IoT SE”)808。在电子设备应用804与AP 806之间进行

配对时(810)，方法开始。电子设备应用804向电子设备安全元件802发出命令(812)。然后，如果未缓存会话密钥，则电子设备安全元件802将在电子设备安全元件802和IoT安全元件808之间执行AKE(814)。然后，使用由AKE生成的会话密钥对命令进行加密和完整性保护(816)。通过通信介质(例如，

)向AP 806广播命令(820)。从AP 806向IoT安全元件808转发命令(822)。如果命令被成功验证(824)，则向授权阶段转发该命令与发送方的身份，并且向电子设备安全元件802返回响应。电子设备安全元件802对封装响应进行解密并使计数器增加(826)。

在一些实施例中，可以允许多重配对，从而允许单个设备连接并控制多个设备，或甚至连接并控制连接设备的网状网络。基于设备的类型，可以利用不同的安全层。例如，连接的灯可以具有较低的安全性，而智能锁或小汽车可以具有较高的安全性。可以在配对期间执行分类并存储以用于将来的通信。这可以通过在设备之间建立安全信道之间协商元数据(安全策略)来调整。

虽然上述实施例示出了电子设备和IoT设备都具有安全元件的实施方式，但是其他实施例可以仅在单个设备上具有安全元件或者通过具有安全元件的设备来连接。图9示出了根据本公开的一个这样的示例系统900。如图9所示，仅IoT设备904包括安全元件906。安全元件906可以用于确定在配对期间提供的证书是否表明命令来自第一设备902以及是否执行命令。虽然未描绘，但是安全元件可以可选地是另一种配置(例如，在第一设备902上)。

在如图10所示的另一示例中，系统1000可以包括可通过具有安全元件的设备联网的其他设备。如图10所示，设备1002(例如，孩子的移动电话)连接到具有应用处理器、安全元件和控制模块组合的电子设备1004(例如，父母的可穿戴设备或其他移动设备)。电子设备1004可以连接到附加设备1006(例如，可以监视健康的贴片，其中该贴片贴附在儿童身上)。每个附加设备1006可以仅具有应用处理器和控制模块。这些附加设备1006可以具有拥有不同安全等级的功能。电子设备1004可以向附加设备1006查询信息。附加设备1006可以识别电子设备1004。取决于所请求的信息，附加设备1006可以以不同方式来响应。如果信息是低安全性，例如，不包括个人信息的信息(例如，只是询问是否健康)，则附加设备1006可以直接响应。如果信息更为敏感，例如个人信息，则附加设备1006可以询问电子设备1004是否可信。在接收到肯定的响应时，附加设备1006可以提供该信息。如果接收到否定的响应，则不提供信息。

本申请中的描述不应被视为暗示任意特定的元件、步骤或功能是必须包含在权利要求范围内的基本要素。专利主题的范围仅由权利要求限定。此外，除非确切的词语，“用于......的装置”中使用分词。否则，申请人理解在权利要求中使用的任意其他术语(包括但不限于：“机构”、“模块”、“设备”、“单元”、“组件”、“元件”、“构件”、“装置”、“机器”、“系统”、“处理器”或“控制器”)指的是相关领域技术人员已知的结构。

尽管已经利用示例实施例描述了本公开，但是本领域技术人员可以明了各种改变和修改。本公开意在包括落在所附权利要求范围内的这些改变和修改。

Claims (12)

1.第一设备，包括：

收发器；

应用处理器，所述应用处理器是所述第一设备的主中央处理单元CPU，并且所述应用处理器被配置为通过所述收发器从第二设备接收控制命令，并将所述控制命令发送到连接在所述应用处理器与控制处理器之间的安全处理器；以及

具有第一总线和第二总线的分离总线，所述第一总线被配置为将所述应用处理器电耦接到所述安全处理器，并且所述第二总线被配置为将所述控制处理器电耦接到所述安全处理器，

所述安全处理器是与所述应用处理器和所述控制处理器硬件隔离的集成电路，并被配置为：

基于与所述第二设备的认证密钥交换认证所述控制命令，以及

基于所述控制命令的源和授权策略对所述控制命令进行授权，所述授权策略是基于所述第二设备的角色、时间段和所述控制命令内的内容而识别的，

在对所述控制命令进行授权之后，向所述第二设备发送响应，所述响应包括与在所述第一设备与所述第二设备之间交换的消息的数量相关的计数，以及

所述控制处理器被配置为：

当所述控制命令被所述安全处理器认证和授权时，从所述安全处理器接收所述控制命令，以及

执行所述控制命令以激活所述第一设备的至少一项功能。

2.根据权利要求1所述的第一设备，其中，所述第一设备通过无线通信信道与所述第二设备配对。

3.根据权利要求1所述的第一设备，其中，所述认证密钥交换生成用于对所述控制命令进行加密或解密的会话密钥。

4.根据权利要求1所述的第一设备，其中，所述第一设备被配置为通过可信服务器与所述第二设备通信。

5.根据权利要求4所述的第一设备，其中，所述安全处理器向所述可信服务器发送公钥。

6.根据权利要求4所述的第一设备，其中，所述安全处理器从所述可信服务器接收所述第二设备的公钥。

7.根据权利要求1所述的第一设备，其中，所述第一设备是汽车，并且所述至少一项功能包括控制门锁、启动汽车或控制灯光中的至少一项。

8.根据权利要求1所述的第一设备，其中，所述第一设备是被配置为连接到汽车的加密狗。

9.一种用于由第一设备执行控制命令的方法，所述方法包括：

由第一设备的应用处理器通过所述第一设备的收发器从第二设备接收控制命令，其中所述应用处理器是所述第一设备的主中央处理单元CPU；

由所述应用处理器将所述控制命令发送到所述第一设备的安全处理器，所述安全处理器是与所述应用处理器和控制处理器硬件隔离的集成电路并且连接在所述第一设备的应用处理器与控制处理器之间，并且所述应用处理器经由第一总线电耦接到所述安全处理器，所述控制处理器经由与所述第一总线分离的第二总线电耦接到所述安全处理器；

由所述安全处理器基于与所述第二设备的认证密钥交换对所述控制命令进行认证；

由所述安全处理器基于所述控制命令的源和授权策略对所述控制命令进行授权，所述授权策略是基于所述第二设备的角色、时间段和所述控制命令内的内容而识别的；

在对所述控制命令进行授权之后，由所述安全处理器向所述第二设备发送响应，所述响应包括与在所述第一设备与所述第二设备之间交换的消息的数量相关的计数；

当所述控制命令被所述安全处理器认证和授权时，由所述控制处理器从所述安全处理器接收所述控制命令；

由所述控制处理器基于所述认证的结果执行所述控制命令。

10.根据权利要求9所述的方法，其中，通过可信服务器执行所述第一设备与所述第二设备的配对。

11.根据权利要求9所述的方法，其中，通过无线通信信道执行所述第一设备与所述第二设备的配对。

12.根据权利要求9所述的方法，其中，会话密钥用于对所述控制命令进行加密或解密。

Images