CN112368989A - 用于密钥管理的方法、设备和计算机可读介质 - Google Patents
用于密钥管理的方法、设备和计算机可读介质 Download PDFInfo
- Publication number
- CN112368989A CN112368989A CN201880095153.5A CN201880095153A CN112368989A CN 112368989 A CN112368989 A CN 112368989A CN 201880095153 A CN201880095153 A CN 201880095153A CN 112368989 A CN112368989 A CN 112368989A
- Authority
- CN
- China
- Prior art keywords
- pair
- keys
- encrypted
- receiving
- sending
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/131—Protocols for games, networked simulations or virtual reality
Abstract
本公开的实施例提供了一种用于密钥管理的方法、设备和计算机可读介质。根据本公开的实施例,在VNF和硬件之间建立了经保护的通信,并且可以用硬件保护虚拟机中的密钥。
Description
技术领域
本公开的实施例总体上涉及通信技术,并且更具体地,涉及用于密钥管理的方法、设备和计算机可读介质。
背景技术
在诸如长期演进(LTE)通信系统或第五代无线系统(5G)之类的通信系统中,不存在统一的密钥管理服务。应用程序使用的所有密钥管理(例如,传输层安全性(TLS),因特网协议安全性(IPSec)和CertMan)都是基于软件的。因此,需要对密钥管理进行进一步的研究。
发明内容
通常,本公开的实施例涉及一种用于密钥管理的方法和相应的设备。
在第一方面,本公开的实施例提供了在第一设备处实现的通信方法。该方法包括:在第一设备和第二设备之间建立经保护的连接。该方法还包括由第一设备上的虚拟机生成第一请求,以在第二设备上生成第一对密钥。该方法还包括经由经保护的连接向第二设备发送第一请求。该方法包括将由虚拟机生成的第二对密钥发送到第二设备。该方法还包括向第二设备发送由虚拟机生成的第二对密钥。该经加密的第二对密钥在第二设备处利用第一对密钥被加密。
在第二方面,本公开的实施例提供了在第二设备处实现的通信方法。该方法包括:在第一设备和第二设备之间建立经保护的连接。该方法还包括响应于经由经保护的连接从第一设备上的虚拟机接收到针对生成第一对密钥的第一请求,生成第一对密钥。该方法还包括从第一设备接收用于加密的第二对密钥。该方法包括用利用第一对密钥加密第二对密钥。该方法还包括向第一设备发送经加密的第二对密钥以进行数据传输。
在第三方面,本公开的实施例提供了第一设备。第一设备包括:至少一个处理器;以及耦合到至少一个处理器的存储器,存储器中存储有指令,指令在由至少一个处理器执行时使第一设备至少执行:在第一设备和第二设备之间建立经保护的连接。第一设备还被使得执行由第一设备上的虚拟机生成第一请求,以在第二设备上生成第一对密钥。第一设备还被使得执行经由经保护的连接向第二设备发送第一请求。第一设备还被使得执行向第二设备发送由虚拟机生成的第二对密钥。第一设备还被使得执行从第二设备接收用于数据发送的经加密的第二对密钥。经加密的第二对密钥在第二设备处利用第一对密钥被加密。
在第四方面,本公开的实施例提供了第二设备。第二设备包括:至少一个处理器;以及耦合到至少一个处理器的存储器,存储器中存储有指令,指令在由至少一个处理器执行时使第二设备至少执行:在第一设备和第二设备之间建立经保护的连接。第二设备还被使得执行响应于经由经保护的连接从第一设备上的虚拟机接收到针对生成第一对密钥的第一请求,生成第一对密钥;。第二设备还被使得执行从第一设备接收用于加密的第二对密钥。第二设备还被使得执行利用第一对密钥加密第二对密钥。第二设备还被使得执行向第一设备发送经加密的第二对密钥以进行数据传输。
在第五方面,本公开的实施例提供一种用于通信的装置。该装置包括用于执行根据第一方面的方法的部件。
在第六方面,本公开的实施例提供一种用于通信的装置。该装置包括用于执行根据第二方面的方法的部件。
在第七方面,本公开的实施例提供一种计算机可读介质。该计算机可读介质在其上存储指令,指令在由机器的至少一个处理单元执行时使机器实现根据第一方面的方法。
在第八方面,本公开的实施例提供了一种计算机可读介质。该算机可读介质在其上存储指令,指令在由机器的至少一个处理单元执行时使机器实现根据第二方面的方法。
当结合以示例方式示出本公开的实施例的原理的附图阅读时,根据对特定实施例的以下描述,本公开的实施例的其他特征和优点也将很清楚。
附图说明
本公开的实施例以示例方式呈现,并且其优点在下面参考附图更详细地解释,在附图中
图1示出了根据传统技术的用于密钥管理的系统的示意图;
图2示出了根据本公开的实施例的系统的示意图;
图3示出了根据本公开实施例的在第一设备处实现的方法的流程图;
图4示出了根据本公开实施例的在第二设备处实现的方法的流程图;
图5示出了根据本公开的实施例的第一设备和第二设备之间的交互操作;
图6示出了根据本公开的实施例的第一设备和第二设备之间的交互操作;
图7示出了根据本公开的实施例的密钥的示意图;
图8示出了根据本公开的实施例的虚拟机之间的交互操作;以及
图9示出了根据本公开的实施例的设备的示意图
在所有附图中,相同或相似的附图标记表示相同或相似的元素。
具体实施方式
现在将参考若干示例实施例来讨论本文中描述的主题。应当理解,这些实施例仅出于使得本领域技术人员能够更好地理解并且因此实现本文所述主题的目的而进行讨论,而不是建议对主题的范围的任何限制。
本文中使用的术语仅出于描述特定实施例的目的,而非旨在限制示例实施例。如本文中使用的,单数形式的“一”、“一个”和“该(the)”也意图包括复数形式,除非上下文另外明确指出。应当进一步理解,当在本文中使用时,术语“包括”、“包括有”、“包含”和/或“包含有”指定所述特征、整体、步骤、操作、元素和/或组件的存在,但是不排除一个或多个其他特征、整体、步骤、操作、元素、组件和/或其组的存在或增加。
还应当注意,在一些替代实现中,所提到的功能/动作可以不按图中指出的顺序发生。例如,取决于所涉及的功能/动作,连续示出的两个功能或动作实际上可以同时执行,或者有时可以以相反的顺序执行。
如本文中使用的,术语“通信网络”是指遵循任何合适的通信准则的网络,诸如长期演进(LTE)、高级LTE(LTE-A)、宽带码分多址(WCDMA)、高速分组访问(HSPA)等。此外,终端设备与通信网络中的网络设备之间的通信可以根据任何合适的一代通信协议来执行,包括但不限于第一代(1G)、第二代(2G)、2.5G、2.75G、第三代(3G)、第四代(4G)、4.5G、未来的第五代(5G)通信协议和/或当前已知或将来要开发的任何其他协议。
本公开的实施例可以应用于各种通信系统中。考虑到通信的快速发展,当然还将存在可以体现本公开的未来类型的通信技术和系统。不应将本公开的范围限制为仅上述系统。为了说明的目的,将参考5G通信系统中的E-UTRAN新的无线电双连接(EN-DC)网络来描述本公开的实施例。
术语“网络设备”包括但不限于通信系统中的基站(BS)、网关、管理实体和其他合适的设备。术语“基站”或“BS”表示节点B(NodeB或NB)、演进型NodeB(eNodeB或eNB)、远程无线电单元(RRU)、无线电报头(RH)、远程无线电头(RRH)、中继、低功率节点(例如,毫微微、微微等)。
术语“终端设备”包括但不限于“用户设备(UE)”和能够与网络设备通信的其他合适的终端设备。例如,“终端设备”可以是指终端、移动终端(MT)、订户站(SS)、便携式订户站、移动站(MS)或接入终端(AT)。
如本文中使用的,术语“电路系统”可以是指以下中的一个或多个或全部:
(a)纯硬件电路实现(诸如仅在模拟和/或数字电路系统中的实现),以及
(b)硬件电路和软件的组合,诸如(如适用):
(i)模拟和/或数字硬件电路与软件/固件的组合,以及
(ii)具有软件的硬件处理器(包括数字信号处理器)、软件和存储器的任何部分,这些部分一起工作以引起诸如移动电话或服务器等装置执行各种功能,以及
(c)需要软件(例如,固件)才能操作但是在操作不需要时可以不存在的硬件电路和/或处理器,诸如微处理器或微处理器的一部分。
“电路系统”的这种定义适用于该术语在本申请中的所有使用,包括在任何权利要求中。作为另外的示例,如本申请中使用的,术语“电路系统”也仅涵盖仅硬件电路或处理器(或多个处理器)或硬件电路或处理器及其(或它们的)随附软件和/或固件的一部分的实现。术语“电路系统”还涵盖(例如并且在适用于特定权利要求元素的情况下)用于移动设备的基带集成电路或处理器集成电路、或者在服务器、蜂窝网络设备或其他计算或网络设备中的类似集成电路。
如上所述,传统密钥管理是基于软件的。特别地,在传统技术中,在虚拟化网络功能(VNF)级别部署基于软件的系统。所有数据/密钥只能受软件保护。来自基础结构层的硬件(例如,受信任的平台模块(TPM),硬件安全模块(HSM))不能用作安全密钥存储的信任根,因为VNF与基础结构之间没有信任连接。虚拟机内部的预安装证书可以用于TLS和/或超文本传输协议安全(HTTPS)身份验证,以实现虚拟机客户端和服务器之间的经保护的连接。图1示出了根据传统技术的用于密钥管理的系统100。所有VNF实例共享同一证书实例。传统技术在密钥管理中不涉及硬件(例如TPM),因为硬件和VNF之间的通信无法得到保护和信任。
为了至少部分解决上述和其他潜在问题,本公开的实施例提供了用于密钥管理的解决方案。根据本公开的实施例,在VNF和硬件之间建立了经保护的通信,并且可以用硬件保护虚拟机中的密钥。
图2示出了根据本公开实施例的用于密钥管理的系统200的示意图。系统200可以包括设备210(在下文中称为“第一设备210”),设备230(在下文中称为“第二设备230”)。第一设备210和第二设备230可以是任何合适的设备。在一些实施例中,第一设备210可以被视为计算节点,第二设备230可以被视为控制器/存储节点。可以在第一设备210上实现虚拟机220。第一设备210还可以包括其他模块,例如中间件。应当注意,图1中所示的设备和模块的数目仅用于说明的目的。
在一些实施例中,第一设备210,第二设备230和虚拟机220可以包括云密钥管理解决方案(CKMS)模块。例如,虚拟机220可以包括CKMS服务器2210和CKMS代理(agent)2220。第一设备210还可以包括CKMS中介(broker)2110。第二设备230可以包括CKMS中介2310和隐私证书颁发机构(CA)2320。该设备还可以包括硬件组件,例如TPM 2330。
在示例实施例中,CKMS服务器2210可以安全地存储数据并且确保密钥管理服务最小地破坏。CKMS 2210可以经由CKMS中介2110和CKMS中介2310连接到TPM。CKMS代理可以为应用(例如,TLS,IPSec,CertMan)提供安全的方式来访问来自CKMS服务器2210的数据。CKMS中介2110和CKMS中介2310可以是桥接器,用于在CKMS服务器2210和硬件TPM 2330之间建立安全的通信以保护密钥。隐私CA2320可以确保CKMS模块之间的安全通信。
应当注意,图1所示的模块,例如CKMS服务器2210、CKMS代理2220、CKMS中介2110、CKMS中介2310、隐私CA 2320和TPM 2330仅用于说明的目的不是限制性的。系统200可以包括用于实现本公开的实施例的任何合适的模块。
仅出于说明的目的,参考图2所示的系统200描述了本公开的实施例。应当注意,本公开的实施例也可以在其他合适的系统中实现。本公开不限于该方面。
系统200中的通信可以根据任何适当的通信协议来实现,包括但不限于第一代(1G),第二代(2G),第三代(3G),第四代(4G)和第五代(5G)等类似的无线局域网通信协议,例如电气和电子工程师协会(IEEE)802.11等,和/或当前已知的任何其他协议或将来开发。此外,该通信可以利用任何适当的无线通信技术,包括但不限于:码分多址(CDMA),频分多地址(FDMA),时分多地址(TDMA),频分双工器(FDD),时间划分双工器(TDD),多输入多输出(MIMO),正交频分多址(OFDMA)和/或任何当前已知或将来将要开发的技术。
图3示出了根据本公开的实施例的方法300的流程图。方法300可以在第一设备210处实现。
在框310处,第一设备210可以在第一设备210和第二设备230之间建立经保护的连接。可以基于预定配置来建立经保护的连接。在示例实施例中,第一设备210可以向第二设备230发送签名证书的请求。第一设备210可以从第二设备230接收证书响应。在另一实施例中,第一设备210可以至少部分地基于证书来初始化虚拟机器220。例如,VM实例化参数可以包括证书。
图5示出了根据本公开的实施例的示例性交互操作500,其可以用于建立经保护的连接。参考图5描述图3。
第二设备230中的CKMS中介2310可以生成502自己的私钥和证书签名请求(CSR)。CKMS中介2310可以将用于证书签名的CSR发送504到隐私CA2320。隐私CA 2320可以将证书响应发送506到CKMS中介2310。这样,CKMS中介2310和隐私CA之间的经保护的通信被建立。
第一设备210中的CKMS中介2110可以生成508其自己的私钥和CSR。CKMS中介2110可以将用于证书签名的CSR发送510到第二设备230。CKMS中介2310可以将CSR转发512到隐私CA 2320。隐私CA 2320可以将证书响应发送514到CKMS中介2310。CKMS中介2310可以将证书响应转发514到CKMS中介2110。以这种方式,建立了CKMSA中介2110、CKMS中介2310和隐私CA 2320之间的经保护的通信。
第一设备210中的nova组件2120可以用于加载和触发虚拟机。nova组件2120可以测量和验证518虚拟机220的VM图像(image)。nova组件2120可以将针对虚拟机220的证书的请求发送520到CKMS中介2110。CKMS中介2110可以生成522用于虚拟机220的私钥和CSR。
CKMS中介2110可以将用于虚拟机220的证书签名的CSR发送524到CKMS中介2310。CKMS中介2310可以将请求转发526到隐私CA 2320。隐私CA 2320可以向CKMS中介2310发送528证书响应。CKMS中介2310可以将证书响应转发530到CKMS中介2110。CKMS中介2110可以在VM实例创建时将证书和密钥对注入到虚拟机210中。例如,证书和它的密钥可以经由VM实例化参数被传送到虚拟机220中的CKMS代理。CKMS代理可以通过适当的访问控制将证书和密钥对编码并安装到临时位置。以此方式,已经建立了CKMS模块之间的经保护的通信。第一设备210和第二设备230安全地连接。
在某些实施例中,证书和密钥对可以仅与特定的VM实例绑定,如果经由通过Nova组件2120重新创建虚拟机220,则Nova组件2120需要请求新的证书。在其他实施例中,如果需要创建另一个虚拟机,则可以重复交互操作500。
返回图3,在框320处,第一设备210上的虚拟机220生成针对在第二设备230处生成第一对密钥的第一请求。第一对密钥可以是根密钥,并且仅绑定到特定的CKMS模块。图7示出了根据本公开实施例的密钥的示意图。在图7所示的示例实施例中,第一对密钥可以是CKMS根密钥710,第二对密钥可以是CKMS主密钥720。
在框330处,第一设备210经由经保护的连接将第一请求发送到第二设备230。虚拟机220可以生成第二对密钥。第二对密钥可以在第一次启动中生成。
在框340处,第一设备210将第二对密钥发送到第二设备230。在一些实施例中,第一设备210还可以发送针对使用第一对密钥来加密第二对密钥的请求。
在框350处,第一设备210从第二设备230接收加密的第二对密钥。第二对密钥利用第一对密钥被加密并且可以被存储在本地存储器中。图6示出了根据本公开的实施例的在第一设备210和第二设备230之间的交互操作600。下面将参考图6描述示例实施例。应当注意,图6所示的交互操作600仅是出于说明的目的,而不是限制。
第一设备210和第二设备230被安全地连接。CKMS服务器2210在第二设备230处生成602针对生成第一对密钥710的第一请求。CKMS服务器2210可以将第一请求发送604到第二设备230。在一些实施例中,CKMS服务器2210可以向CKMS中介2210发送第一请求,并且CKMS中介2210可以将该请求转发606到第二设备230中的CKMS2310。CKMS中介可以进一步将第一请求转发608到TPM2330。TPM 2330生成610第一对密钥710。
CKMS服务器2210可以生成第二对密钥720。CKMS服务器2210将第二对密钥发送614给第二设备230。在一些实施例中,CKMS服务器2210可以将第二对密钥720发送给CKMS中介2110和CKMS中介2110可以将第二对密钥720转发616到CKMS中介2310,CKMS中介2310进一步将第二对密钥720转发到TPMS2330。TPM2330利第一对密钥710用第一加密618第二对密钥720。
TPM 2330将加密的第二对密钥发送620到第一设备210。在一些实施例中,TPM2330可以将加密的第二对密钥发送给CKMS中介2310,并将加密的第二对密钥转发622到CKMS中介2110,CKMS中介2110进一步将加密的第二对密钥转发624到CKMS服务器2210。
CKMS服务器2210可以存储626加密的第二对密钥。在示例实施例中,CKMS服务器2210可以将加密的第二对密钥与其他虚拟机同步,其他虚拟机上面具有备用CKMS服务器。CKMS服务器2210可以具有一个或多个备用CKMS服务器以提高可靠性。如果CKMS服务器2210发生故障,则备用CKMS服务器可以使用。这样,第二对密钥720利用第一对密钥710被保护,该第一对密钥710被生成并存储在硬件中。
第一设备210可以重新加载第二对密钥720。例如,如果第一设备210需要加密要存储的数据,则它需要重新加载第二对密钥720。在一些实施例中,第一设备210可以启动并且经加密的第二对密钥存在。CKMS服务器2210可以将经加密的第二对密钥发送630到第二设备230。在一些实施例中,CKMS服务器2210可以将经加密的第二对密钥发送到CKMS中介2110,并且CKMS中介2110可以将经加密的的第二对密钥转发632到CKMS中介2310,CKMS中介2310可以进一步将经加密的第二对密钥转发634到TPM2330。TPM2330可以解密636经加密的第二对密钥,以获得第二对密钥720。TPM可以将第二对密钥720发送638给CKMS中介2310并且CKMS中介2310可以将第二对密钥720转发640给CKMS中介2110,CKMS中介2110可将第二对密钥720进一步转发给CKMS服务器2210。CKMS服务器2210可以加载642为明文形式的第二对密钥720。
在一些实施例中,应用可以使用CKMS模块来保护数据。例如,第一设备210可以从第二对密钥720中导出第三密钥730,以用于不同的应用以保护数据。例如,第三密钥730可以是CKMS加密密钥。
图8示出了根据本公开的实施例的用于保护数据的虚拟机之间的交互操作800。应当注意,图8所示的交互仅是示例。图8示出了两个虚拟机210-1和210-2。虚拟机210-1可以被视为主虚拟机。
虚拟机210-1上的CKMS服务器2210-1可以生成802第三对密钥。如果虚拟机210-2上的应用程序需要保护数据,则该应用程序可以将要存储的数据发送804到CKMS代理2220-1。CKMS代理2220-1将数据发送806到CKMS服务器2210-1。CKMS服务器2210-1可以利用第二对密钥720来解密808第三对密钥。CKMS服务器2210-1可以利用解密的第三对密钥加密数据并且存储812经加密的数据。
在一些实施例中,应用程序可能需要读取数据。该应用程序可以将针对读取经加密的数据的请求发送814到CKMS代理2220-1。CKMS代理2220-1可以将请求发送816到CKMS服务器2210-1。CKMS服务器2210-1可以解密818第三对密钥,并且利用经解密的第三对密钥解密820经加密的数据。CKMS服务器2210-1可以将经解密的数据发送822到CKMS代理2220-1,CKMS代理2220-1可以进一步将经解密的数据发送824到应用程序。
图4示出了根据本公开的实施例的方法400的流程图。方法400可以在第二设备230处实现。
在框410处,第二设备230在第一设备210和第二设备230之间建立经保护的连接。可以基于预定配置来建立经保护的连接。在示例实施例中,第二设备230可以从第一设备210接收签名证书的请求。第二设备230可以将证书响应发送到第一设备210。上面已经参考图5描述了建立安全连接的示例实施例。
在框420处,如果第二设备230从第一设备210接收到针对生成第一对密钥的第一请求,则第二设备生成第一对密钥。
在框430处,第二设备230接收由第一设备210生成的第二对密钥。在一些实施例中,第二设备230还可接收针对利用第一对密钥对第二对密钥进行加密的请求。在一些实施例中,第二设备230可以基于预定义的规则来加密第二对密钥。
在框440处,第二设备230利用第一对密钥加密第二对密钥。第二设备230将经加密的第二对密钥发送到第一设备210。
在一些实施例中,用于执行方法300的装置(例如,第一设备210)可以包括用于执行方法300中的相应步骤的各个部件。这些部件可以以任何合适的方式来实现。例如,它可以由电路或软件模块实现。
在一些实施例中,该装置包括:用于在第一设备和第二设备之间建立经保护的连接的部件;用于由第一设备上的虚拟机生成第一请求以在第二设备上生成第一对密钥的部件;用于经由经保护的连接向第二设备发送第一请求的部件;用于将由虚拟机生成的第二对密钥发送到第二设备的部件;用于向第二设备发送由虚拟机生成的第二对密钥的部件,该经加密的第二对密钥在第二设备处利用第一对密钥被加密。
在一些实施例中,用于建立经保护的连接的部件包括:用于向第二设备发送针对签名证书的请求的部件;用于从第二设备接收证书响应的部件;以及用于至少部分地基于证书初始化虚拟机的部件。
在一些实施例中,用于发送第二对密钥的部件包括:用于发送针对利用第一对密钥加密第二对密钥的请求的部件。
在一些实施例中,该装置还包括:用于存储经加密的第二对密钥的部件;以及用于将经加密的第二对密钥同步到第一设备上的另一个虚拟机的部件。
在一些实施例中,该装置还包括:用于响应于确定要使用第二对密钥来将经加密的第二对密钥发送到第二设备的部件,以利用第一对密钥解密;用于从第二设备接收第二对密钥的部件。
在一些实施例中,该装置还包括:用于由虚拟机生成第三对密钥以存储数据的部件;用于响应于接收到要存储的数据来利用第二对密钥解密第三对密钥的部件;用利用经解密的第三对密钥加密数据的部件;以及用于存储经加密的数据的部件。
在一些实施例中,该装置还包括:用于由虚拟机生成第三对密钥以存储数据的部件;用于响应于接收到针对存储在虚拟机上的经加密的数据的请求来利用第二对密钥解密第三对密钥的部件;用利用经解密的第三对密钥解密经加密的数据的部件;以及用于发送经解密的数据的部件。
在一些实施例中,用于执行方法400的装置(例如,第二设备230)可以包括用于执行方法400中的相应步骤的各个部件。这些部件可以以任何合适的方式来实现。例如,它可以由电路或软件模块实现。
在一些实施例中,该装置包括:用于在第一设备和第二设备之间建立经保护的连接的部件;用于响应于经由经保护的连接从第一设备上的虚拟机接收到针对生成第一对密钥的第一请求来生成第一对密钥的部件;用于从第一设备接收用于加密的第二对密钥的部件;用于利用第一对密钥加密第二对密钥的部件;以及用于向第一设备发送经加密的第二对密钥以进行数据传输的部件。
在一些实施例中,用于建立经保护的连接的部件包括:用于响应于从第一设备接收针对签名证书的请求,将证书响应发送到第一设备的部件。
在一些实施例中,用于接收第二对密钥的部件包括:用于接收针对利用第一对密钥加密第二对密钥的请求的部件。
在一些实施例中,该装置还包括:用于响应于从第一设备接收经加密的第二对密钥的部件;用于利用第一对密钥解密经加密的第二对密钥,以获得第二对密钥的部件;以及用于将第二对密钥发送给第一设备的部件。
图9是适合于实现本公开的实施例的设备900的简化框图。设备900可以在第一设备210处实现。设备900也可以在第二设备230处实现。如图所示,设备900包括一个或多个处理器910、耦合到处理器910的一个或多个存储器920、耦合到处理器910的一个或多个发射器和/或接收器(TX/RX)940。
处理器910可以是适合于本地技术网络的任何类型,并且作为非限制性示例,可以包括通用计算机、专用计算机、微处理器、数字信号处理器(DSP)和基于多核处理器架构的处理器中的一种或多种。设备900可以具有多个处理器,诸如专用集成电路芯片,处理器在时间上从属于与主处理器同步的时钟。
存储器920可以是适合于本地技术网络的任何类型,并且作为非限制性示例,可以使用任何合适的数据存储技术来实现,诸如非暂态计算机可读存储介质、基于半导体的存储器设备、磁存储器设备和系统、光学存储器设备和系统、固定存储器和可移动存储器。
存储器920存储程序930的至少一部分。TX/RX 940用于双向通信。TX/RX940具有至少一个天线以促进通信,尽管实际上本申请中提到的接入节点可以具有多个天线。通信接口可以表示与其他网络元件通信所必需的任何接口。
假定程序930包括程序指令,该程序指令在由相关联的处理器910执行时使得设备900能够根据本公开的实施例进行操作,如本文中参考图3至8讨论的。也就是说,本公开的实施例可以通过可以由设备900的处理器910执行的计算机软件来实现,或者通过硬件来实现,或者通过软件和硬件的组合来实现。
虽然本说明书包含很多特定的实现细节,但是这些不应当被解释为对任何公开内容或可能要求保护的内容的范围的限制,而应当被解释为对特定实现的特定公开内容特定的特征的描述。在单独实施例的上下文中在本说明书中描述的某些特征也可以在单个实施例中组合实现。相反,在单个实施例的上下文中描述的各种特征也可以分别在多个实施例中或以任何合适的子组合来实现。此外,尽管以上可以将特征描述为以某些组合起作用并且甚至最初如此要求保护,但是在某些情况下,可以从组合中排除所要求保护的组合中的一个或多个特征,并且所要求保护的组合可以涉及子组合或子组合的变体。
类似地,尽管在附图中以特定顺序描绘操作,但是这不应当被理解为要求这样的操作以所示的特定顺序或以连续的顺序执行,或者执行所有示出的操作以实现期望的效果。结果。在某些情况下,多任务和并行处理可能是有利的。此外,上述实施例中的各种系统组件的分离不应当被理解为在所有实施例中都需要这种分离,并且应当理解,所描述的程序组件和系统通常可以集成在单个软件产品中,或者打包成多个软件产品。
当结合附图阅读时,鉴于前述描述,对本公开的前述示例性实施例的各种修改、改编对于本领域技术人员而言将变得很清楚。任何和所有修改仍将落入本公开的非限制性和示例性实施例的范围内。此外,受益于前述说明书和相关附图中呈现的教导的本公开的这些实施例所涉及的本领域技术人员将能够想到本文中阐述的本公开的其他实施例。
因此,应当理解,本公开的实施例不限于所公开的特定实施例,并且修改和其他实施例旨在被包括在所附权利要求的范围内。尽管本文中使用特定术语,但是它们仅在一般和描述性意义上使用,而不是出于限制的目的。
Claims (35)
1.一种在第一设备处实现的通信方法,包括:
在所述第一设备和第二设备之间建立经保护的连接;
由所述第一设备上的虚拟机生成第一请求,以在所述第二设备上生成第一对密钥;
经由所述经保护的连接向所述第二设备发送所述第一请求;
向所述第二设备发送由所述虚拟机生成的第二对密钥;以及
从所述第二设备接收用于数据发送的经加密的第二对密钥,所述经加密的第二对密钥在所述第二设备处利用所述第一对密钥被加密。
2.根据权利要求1所述的方法,其中建立所述经保护的连接包括:
向所述第二设备发送针对签名证书的请求;
从所述第二设备接收证书响应;以及
至少部分地基于所述证书初始化所述虚拟机。
3.根据权利要求1所述的方法,其中发送所述第二对密钥包括:
发送针对利用所述第一对密钥加密所述第二对密钥的请求。
4.根据权利要求1所述的方法,还包括:
存储所述经加密的第二对密钥;以及
将所述经加密的第二对密钥同步到所述第一设备上的另一个虚拟机。
5.根据权利要求1所述的方法,还包括:
响应于确定要使用所述第二对密钥,将所述经加密的第二对密钥发送到所述第二设备,以利用所述第一对密钥解密;
从所述第二设备接收所述第二对密钥。
6.根据权利要求5所述的方法,还包括:
由所述虚拟机生成第三对密钥以存储数据;
响应于接收到要存储的数据,利用所述第二对密钥解密所述第三对密钥;
利用经解密的所述第三对密钥加密所述数据;以及
存储经加密的所述数据。
7.根据权利要求5所述的方法,还包括:
由所述虚拟机生成第三对密钥以存储数据;
响应于接收到针对存储在所述虚拟机上的经加密的数据的请求,利用所述第二对密钥解密所述第三对密钥;
利用经解密的所述第三对密钥解密经加密的所述数据;以及
发送经解密的所述数据。
8.一种在第二设备处实现的通信方法,包括:
在第一设备和所述第二设备之间建立经保护的连接;
响应于经由所述经保护的连接从所述第一设备上的虚拟机接收到针对生成第一对密钥的第一请求,生成所述第一对密钥;
从所述第一设备接收用于加密的第二对密钥;
利用所述第一对密钥加密所述第二对密钥;以及
向所述第一设备发送经加密的所述第二对密钥以进行数据传输。
9.根据权利要求8所述的方法,其中建立所述经保护的连接包括:
响应于从所述第一设备接收针对签名证书的请求,将证书响应发送到所述第一设备。
10.根据权利要求8所述的方法,其中接收所述第二对密钥包括:
接收针对利用所述第一对密钥加密所述第二对密钥的请求。
11.根据权利要求8所述的方法,还包括:
响应于从所述第一设备接收经加密的所述第二对密钥;
利用所述第一对密钥解密经加密的所述第二对密钥,以获得所述第二对密钥;和
将所述第二对密钥发送给所述第一设备。
12.一种第一设备,包括:
至少一个处理器;以及
存储器,耦合到所述至少一个处理器,所述存储器中存储有指令,所述指令在由所述至少一个处理器执行时使所述第一设备至少执行:
在所述第一设备和第二设备之间建立经保护的连接;
由所述第一设备上的虚拟机生成第一请求,以在所述第二设备上生成第一对密钥;
经由所述经保护的连接向所述第二设备发送所述第一请求;
向所述第二设备发送由所述虚拟机生成的第二对密钥;以及
从所述第二设备接收用于数据发送的经加密的第二对密钥,所述经加密的第二对密钥在所述第二设备处利用所述第一对密钥被加密。
13.根据权利要求12所述的第一设备,其中建立所述经保护的连接包括:
向所述第二设备发送针对签名证书的请求;
从所述第二设备接收证书响应;以及
至少部分基于所述证书初始化所述虚拟机。
14.根据权利要求12所述的第一设备,其中发送所述第二对密钥包括:
发送针对利用所述第一对密钥加密所述第二对密钥的请求。
15.根据权利要求12所述的第一设备,其中所述第一设备还被使得执行:
存储所述经加密的第二对密钥;以及
将所述经加密的第二对密钥同步到所述第一设备上的另一个虚拟机。
16.根据权利要求12所述的第一设备,其中所述第一设备还被使得执行:
响应于确定要使用所述第二对密钥,将所述经加密的第二对密钥发送到所述第二设备,以利用所述第一对密钥解密;
从所述第二设备接收所述第二对密钥。
17.根据权利要求16所述的第一设备,其中所述第一设备还被使得执行:
由所述虚拟机生成第三对密钥以存储数据;
响应于接收到要存储的数据,利用所述第二对密钥解密所述第三对密钥;
利用经解密的所述第三对密钥加密所述数据;以及
存储经加密的所述数据。
18.根据权利要求16所述的第一设备,其中所述第一设备还被使得执行:
由所述虚拟机生成第三对密钥以存储数据;
响应于接收到针对存储在所述虚拟机上的经加密的数据的请求,利用所述第二对密钥解密所述第三对密钥;
利用经解密的所述第三对密钥解密经加密的所述数据;以及
发送经解密的所述数据。
19.一种第二设备,包括:
至少一个处理器;以及
存储器,耦合到所述至少一个处理器,所述存储器中存储有指令,所述指令在由所述至少一个处理器执行时使所述第二设备至少执行:
在第一设备和所述第二设备之间建立经保护的连接;
响应于经由所述经保护的连接从所述第一设备上的虚拟机接收到针对生成第一对密钥的第一请求,生成所述第一对密钥;
从所述第一设备接收用于加密的第二对密钥;
利用所述第一对密钥加密所述第二对密钥;以及
向所述第一设备发送经加密的所述第二对密钥以进行数据传输。
20.根据权利要求19所述的第二设备,其中建立所述经保护的连接包括:
响应于从所述第一设备接收针对签名证书的请求,将证书响应发送到所述第一设备。
21.根据权利要求19所述的第二设备,其中接收所述第二对密钥包括:
接收针对利用所述第一对密钥加密所述第二对密钥的请求。
22.根据权利要求19所述的第二设备,其中所述第二设备还被使得执行:
响应于从所述第一设备接收经加密的所述第二对密钥;
利用所述第一对密钥解密经加密的所述第二对密钥,以获得所述第二对密钥;以及
将所述第二对密钥发送给所述第一设备。
23.一种通信装置:
用于在第一设备和第二设备之间建立经保护的连接的部件;
用于由所述第一设备上的虚拟机生成第一请求以在所述第二设备上生成第一对密钥的部件;
用于经由所述经保护的连接向所述第二设备发送所述第一请求的部件;
用于向所述第二设备发送由所述虚拟机生成的第二对密钥的部件;以及
用于从所述第二设备接收用于数据发送的经加密的第二对密钥的部件,所述经加密的第二对密钥在所述第二设备处利用所述第一对密钥被加密。
24.根据权利要求23所述的装置,其中用于建立所述经保护的连接的所述部件包括:
用于向所述第二设备发送针对签名证书的请求的部件;
用于从所述第二设备接收证书响应的部件;以及
用于至少部分地基于所述证书初始化所述虚拟机的部件。
25.根据权利要求23所述的装置,其中用于发送所述第二对密钥的所述部件包括:
用于发送针对利用所述第一对密钥加密所述第二对密钥的请求的部件。
26.根据权利要求23所述的装置,还包括:
用于存储所述经加密的第二对密钥的部件;以及
用于将所述经加密的第二对密钥同步到所述第一设备上的另一个虚拟机的部件。
27.根据权利要求23所述的装置,还包括:
用于响应于确定要使用所述第二对密钥来将所述经加密的第二对密钥发送到所述第二设备的部件,以利用所述第一对密钥解密;
用于从所述第二设备接收所述第二对密钥的部件。
28.根据权利要求27所述的装置,还包括:
用于由所述虚拟机生成第三对密钥以存储数据的部件;
用于响应于接收到要存储的数据来利用所述第二对密钥解密所述第三对密钥的部件;
用利用经解密的所述第三对密钥加密所述数据的部件;以及
用于存储经加密的所述数据的部件。
29.根据权利要求27所述的装置,还包括:
用于由所述虚拟机生成第三对密钥以存储数据的部件;
用于响应于接收到针对存储在所述虚拟机上的经加密的数据的请求来利用所述第二对密钥解密所述第三对密钥的部件;
用利用经解密的所述第三对密钥解密经加密的所述数据的部件;以及
用于发送经解密的所述数据的部件。
30.一种通信装置,包括:
用于在第一设备和第二设备之间建立经保护的连接的部件;
用于响应于经由所述经保护的连接从所述第一设备上的虚拟机接收到针对生成第一对密钥的第一请求来生成所述第一对密钥的部件;
用于从所述第一设备接收用于加密的第二对密钥的部件;
用于利用所述第一对密钥加密所述第二对密钥的部件;以及
用于向所述第一设备发送经加密的所述第二对密钥以进行数据传输的部件。
31.根据权利要求30所述的装置,其中用于建立所述经保护的连接的所述部件包括:
用于响应于从所述第一设备接收针对签名证书的请求,将证书响应发送到所述第一设备的部件。
32.根据权利要求30所述的装置,其中用于接收所述第二对密钥的所述部件包括:
用于接收针对利用所述第一对密钥加密所述第二对密钥的请求的部件。
33.根据权利要求30所述的装置,还包括:
用于响应于从所述第一设备接收经加密的所述第二对密钥的部件;
用于利用所述第一对密钥解密经加密的所述第二对密钥,以获得所述第二对密钥的部件;以及
用于将所述第二对密钥发送给所述第一设备的部件。
34.一种计算机可读介质,所述计算机可读介质上存储有指令,所述指令在由机器的至少一个处理单元执行时使所述机器执行根据权利要求1至8中任一项所述的方法。
35.一种计算机可读介质,所述计算机可读介质上存储有指令,所述指令在由机器的至少一个处理单元执行时使所述机器执行根据权利要求9至11中任一项所述的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2018/093830 WO2020000428A1 (en) | 2018-06-29 | 2018-06-29 | Methods, devices and computer readable medium for key management |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112368989A true CN112368989A (zh) | 2021-02-12 |
| CN112368989B CN112368989B (zh) | 2023-02-03 |
Family
ID=68985700
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880095153.5A Active CN112368989B (zh) | 2018-06-29 | 2018-06-29 | 用于密钥管理的方法、设备和计算机可读介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN112368989B (zh) |
| WO (1) | WO2020000428A1 (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110246785A1 (en) * | 2010-03-30 | 2011-10-06 | Microsoft Corporation | Hardware supported virtualized cryptographic service |
| CN102271037A (zh) * | 2010-06-03 | 2011-12-07 | 微软公司 | 基于在线密钥的密钥保护装置 |
| CN105075175A (zh) * | 2013-03-28 | 2015-11-18 | 原子能和能源替代品委员会 | 用于建立会话密钥的方法和设备 |
| CN207251667U (zh) * | 2017-09-30 | 2018-04-17 | 国信优易数据有限公司 | 一种数据安全服务平台 |
| CN108092958A (zh) * | 2017-12-05 | 2018-05-29 | 成都市共维科技有限公司 | 信息认证方法、装置、计算机设备及存储介质 |
| CN108155988A (zh) * | 2017-12-22 | 2018-06-12 | 浪潮(北京)电子信息产业有限公司 | 一种保护密钥的迁移方法、装置、设备及可读存储介质 |
-
2018
- 2018-06-29 WO PCT/CN2018/093830 patent/WO2020000428A1/en active Application Filing
- 2018-06-29 CN CN201880095153.5A patent/CN112368989B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110246785A1 (en) * | 2010-03-30 | 2011-10-06 | Microsoft Corporation | Hardware supported virtualized cryptographic service |
| CN102271037A (zh) * | 2010-06-03 | 2011-12-07 | 微软公司 | 基于在线密钥的密钥保护装置 |
| CN105075175A (zh) * | 2013-03-28 | 2015-11-18 | 原子能和能源替代品委员会 | 用于建立会话密钥的方法和设备 |
| CN207251667U (zh) * | 2017-09-30 | 2018-04-17 | 国信优易数据有限公司 | 一种数据安全服务平台 |
| CN108092958A (zh) * | 2017-12-05 | 2018-05-29 | 成都市共维科技有限公司 | 信息认证方法、装置、计算机设备及存储介质 |
| CN108155988A (zh) * | 2017-12-22 | 2018-06-12 | 浪潮(北京)电子信息产业有限公司 | 一种保护密钥的迁移方法、装置、设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2020000428A1 (en) | 2020-01-02 |
| CN112368989B (zh) | 2023-02-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11343084B2 (en) | Public key exchange with authenticated ECDHE and security against quantum computers | |
| US11909870B2 (en) | ECDHE key exchange for mutual authentication using a key server | |
| US11943343B2 (en) | ECDHE key exchange for server authentication and a key server | |
| CN106416121B (zh) | 用于签名产生和加密/解密的共模rsa密钥对 | |
| US9730072B2 (en) | Electronic subscriber identity module provisioning | |
| EP3183857B1 (en) | Secure provisioning of an authentication credential | |
| WO2020260751A1 (en) | Encrypted communication based on quantum key | |
| EP2815623B1 (en) | Device to device security using naf key | |
| US20150244685A1 (en) | Generalized cryptographic framework | |
| WO2017079177A1 (en) | Apparatus and methods for electronic subscriber identity module (esim) installation notification | |
| US20080010677A1 (en) | Apparatus, method and computer program product providing improved sequence number handling in networks | |
| CN112838925B (zh) | 数据传输方法、装置和系统、电子设备、存储介质 | |
| CN112788594A (zh) | 数据传输方法、装置和系统、电子设备、存储介质 | |
| CN111886884B (zh) | 用于通信中的认证的方法、设备和计算机可读介质 | |
| CN112368989B (zh) | 用于密钥管理的方法、设备和计算机可读介质 | |
| US20220312199A1 (en) | Home Controlled Network Slice Privacy | |
| WO2018046109A1 (en) | Attack mitigation in 5g networks | |
| US11924184B2 (en) | Protection of communications through user equipment relay | |
| US20230261881A1 (en) | Secure network architecture |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |