CN113169864A - 利用公共凭据数据进行引导 - Google Patents
利用公共凭据数据进行引导 Download PDFInfo
- Publication number
- CN113169864A CN113169864A CN201980074394.6A CN201980074394A CN113169864A CN 113169864 A CN113169864 A CN 113169864A CN 201980074394 A CN201980074394 A CN 201980074394A CN 113169864 A CN113169864 A CN 113169864A
- Authority
- CN
- China
- Prior art keywords
- credential data
- server
- public
- resource
- boot
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 81
- 230000004044 response Effects 0.000 claims abstract description 5
- 238000004891 communication Methods 0.000 claims description 33
- 230000015654 memory Effects 0.000 claims description 15
- 238000005516 engineering process Methods 0.000 abstract description 13
- 238000007726 management method Methods 0.000 description 18
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 3
- 238000007405 data analysis Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 241000465502 Tobacco latent virus Species 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 239000002184 metal Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000001131 transforming effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- 230000003936 working memory Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3255—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using group based signatures, e.g. ring or threshold signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3265—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/76—Group identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
根据本发明技术,提供了一种由引导服务器对设备进行引导的计算机实现的方法,该方法包括:作为引导过程的一部分,在引导服务器处从设备接收公共凭据数据,该公共凭据数据包括信任指示符以指示该公共凭据数据对于一组设备是公共的;基于或响应于该公共凭据数据在该引导服务器处获取资源凭据数据,该资源凭据数据使得该设备能够利用资源进行验证;从引导服务器向设备传输资源凭据数据。
Description
本发明技术整体涉及用于端点设备的安全引导机制。具体地讲,引导机制提供大型资源传统互联网和支持约束资源(互联网协议)IP的端点设备之间的安全服务。
物联网涵盖支持IP且互联网连接的设备和网络,以及监视和控制那些设备的互联网服务。连接到互联网的此类支持IP的设备可以被称为数据处理设备、末端节点、远程设备或物联网(IoT)设备,并且包括传感器、机器、主动定位标签、射频识别(RFID)读取器和建筑物自动化装备等。此类支持IP的设备在下文中被称为“设备”。
IoT中的设备通常可以是但不一定是资源有限的嵌入式设备,通常是电池供电的并且通过低功率、低带宽的无线网络连接到互联网。
基于IPv6的低速无线个域网标准(6LoWPAN)是通过适配层和相关协议的优化而使IPv6在设备上的低功率低速率无线网络上有效使用的一组标准。
开放移动联盟的LwM2M标准(即,“轻量级机器到机器”)适用于6LoWPAN,由此使用LwM2M引导过程通过引导接口为设备提供必要信息(例如,凭据数据),使得设备可利用一个或多个服务器执行验证(例如,建立安全通信、注册、登记等),由此验证将设备分配给服务器以访问一个或多个服务(例如,应用程序、数据库等)。
本申请人认识到需要改进的引导过程来利用服务器(例如,资源服务器,诸如LwM2M服务器)验证设备。
根据第一技术,提供了一种由引导服务器对设备进行引导的计算机实现的方法,该方法包括:作为引导过程的一部分,在引导服务器处从设备接收公共凭据数据,该公共凭据数据包括信任指示符以指示该公共凭据数据对于一组设备是公共的;基于或响应于该公共凭据数据在该引导服务器处获取资源凭据数据,该资源凭据数据使得该设备能够利用资源进行验证;从引导服务器向设备传输资源凭据数据。
根据另一种技术,提供了一种由引导服务器对设备进行引导的计算机实现的方法,该方法包括:作为第一引导过程的一部分,从设备向第一服务器传输公共凭据数据,该公共凭据数据包括信任指示符以指示该公共凭据数据对于一组设备是公共的;从第一服务器接收第一资源凭据数据以使设备能够利用第二服务器进行验证。
根据另一种技术,提供了一种设备,该设备包括:存储电路,该存储电路用于存储公共凭据数据,该公共凭据数据包括信任指示符以指示该公共凭据数据对于一组设备是公共的;通信电路,该通信电路用于作为引导过程的一部分,将公共凭据数据从设备传输到第一服务器。
这些技术在附图中以举例的方式示意性地示出,其中:
图1a示出了根据一个实施方案的要求访问一个或多个服务的多个设备的部署场景;
图1b示出了根据一个实施方案的图1a的设备的示意图;
图2示出了根据一个实施方案的用于图1b的设备和引导服务器之间的通信的架构;
图3示出了引导服务器对设备进行的设备发起的引导的例示性示例;
图4a示意性地示出了系统40的框图,其中两个设备使用公共凭据数据来利用服务器进行验证;
图4b示意性地示出了系统40的框图,其中两个设备使用相同的公共凭据数据来利用服务器进行验证;并且
图5示意性地示出了示例性过程,其中为设备提供公共凭据数据以访问一个或多个服务。
在以下详细描述中参考了附图,附图形成描述的一部分,在整个描述中,类似的数字可表示类似的部件,这些部件是对应的和/或相似的。应当理解,附图未必按比例绘制,诸如为了简化和/或清楚地示出。例如,一些方面的尺寸相对于其他方面可能有所放大。此外,应当理解,可利用其他实施方案。此外,在不脱离要求保护的主题的情况下,可进行结构和/或其他改变。还应当指出的是,方向和/或参考(例如,诸如上、下、顶部、底部等)可用于促进对附图的讨论,并且不旨在限制要求保护的主题的应用。
网络诸如物联网(IoT)网络可包括具有不同功能的多个连接设备和服务。设备和服务可由不同方提供,并且通常,设备受到有限功率源、通信能力、CPU性能和存储器的资源约束。
一般来讲,引导或引导过程包括使得新设备能够加入网络并利用一个或多个服务器进行验证以经由那些服务器(下文称为“资源服务器”)访问一个或多个资源或服务的步骤中的一些或全部步骤。
传统的引导过程对设备的管理员(例如,原始装备制造商(OEM)/所有者/制造商等)造成配置和成本负担,管理员需要获取/生成对于每个设备而言是唯一的凭据数据并在每个单独设备上提供唯一的凭据数据。
广义地讲,本发明技术的实施方案提供了一种用于使得设备能够经由引导过程加入网络的装置、系统和方法,该引导过程比本领域已知的那些方法更不繁琐。具体地,本发明技术提供了使用两个或更多个设备共有的凭据数据的引导过程。
图1a示出了可操作为访问一个或多个服务6的设备2的部署场景1,并且图1b示出了根据一个示例的设备2。
设备2可以是计算机终端、膝上型电脑、平板电脑或移动电话,或者可以是例如用于将对象转变成“智能对象”的轻量级机器到机器(LwM2M)设备,诸如作为IoT一部分的街灯、电表、温度传感器和建筑物自动化装备,并且在图1a中例示性地示出了其中可以使用设备2的一系列细分市场。应当理解,图1a中的细分市场的示例仅是为了进行例示性的说明,并且权利要求书在这个方面不受限制。
参见图1b,设备2包括用于与远程装置通信的通信电路7。
通信电路7可使用无线通信诸如使用无线局域网(Wi-Fi)的通信、短程通信诸如射频通信(RFID)或近场通信(NFC)、或在无线技术诸如ZigBee、线程、蓝牙、蓝牙LE、基于IPv6的低速无线个域网标准(6LoWPAN)或约束应用协议(CoAP)中使用的通信。另外,通信电路可以使用蜂窝网络,诸如3G或4G。通信电路7还可使用有线通信,诸如使用光纤或金属线缆。通信电路7还可使用两种或更多种不同形式的通信,诸如上文组合给出的若干示例。
设备2还包括用于控制由设备2执行的各种处理操作的处理电路8。
设备2还可包括输入/输出(I/O)电路9,使得设备2可接收输入(例如,用户输入、传感器输入、测量输入等)和/或生成输出(例如,音频/视觉/控制命令等)。
设备2还包括用于存储数据诸如凭据数据的存储电路10,由此存储电路10可包括易失性和/或非易失性存储器。
此类凭据数据可包括以下中的一者或多者:证书、加密密钥(例如,共享对称密钥、公共密钥、私有密钥)、标识符(例如,直接或间接标识符)等,由此此类凭据数据可由设备用于利用一个或多个远程资源(例如,引导服务器/资源服务器)进行验证。
在本发明的附图中,远程资源4被描绘为资源服务器4,该资源服务器可以是一个或多个公共网络(例如互联网)和/或私有网络的一部分,或者与一个或多个公共网络和/或私有网络交互,从而能够以安全方式从私有服务器、私有云或公共云环境部署服务。
资源服务器4可包括能够提供服务器功能的硬件/软件,例如以提供对与其进行交互或托管的服务6的访问,由此此类服务可包括以下各项中的一者或多者:web服务;数据存储和分析服务、管理服务和应用程序服务,但该列表并不是穷举性的。
资源服务器4可例如为家中的网关设备、机器到机器(M2M)服务器、LwM2M服务器、边缘服务器、计算机终端、膝上型电脑、平板电脑或移动电话、托管在其上的应用程序,或者可自身为设备。
设备2使用适当的标准或协议(诸如开放IETF标准,诸如CoAP)通过第一网络(诸如例如使用6LoWPAN的低功率无线网络)与资源服务器4进行通信,尽管可使用任何合适的标准/协议/网络。应当理解,一个或多个中间设备(诸如网关设备、边缘设备等)可位于设备2和资源服务器4之间。
在实施方案中,设备2可利用远程资源4进行验证(例如,建立安全通信、注册、登记等),由此在实施方案中,设备可将凭据数据输入到安全协议以利用远程资源进行验证,如将在以下附图中更详细地描述。
图2例示性地示出了示例性架构20,其定义了在设备2上的客户端21与资源服务器4上的软件之间使用的通信协议。如上所述,资源服务器4可位于/托管在公共或私有网络上。
客户端21驻留在设备2上,并且可被集成为软件库或模块的内置功能。
逻辑接口可限定在客户端21与资源服务器4之间,并且三个逻辑接口在图2a中示出,即“引导”是预先准备的或设备/服务器发起的;“注册”用于验证或注册设备及其设备资源;以及“资源访问”用于使资源服务器4能够访问设备2上的设备资源22。可在客户端21和资源服务器4之间提供附加的或另选的逻辑接口。
架构20可使用传输协议以传输数据。此类传输协议可例如包括CoAP或可为HTTP,但可使用任何合适的传输协议。
架构20可使用安全协议来建立通信路径或信道,以用于在设备2与资源服务器4之间为数据/有效载荷提供安全通信。安全协议可例如包括传输层安全/数据报传输层安全(TLS/DTLS),由此TLS/DTLS可用于在设备2与资源服务器4之间建立安全信道,由此TLS/DTLS安全模式包括预共享密钥和公共密钥技术两者。由TLS/DTLS保护的数据(例如,凭据数据)可被编码为纯文本、二进制TLV、JSON、CBOR或任何其他合适的数据交换格式。
存储在设备2上的每条数据(例如,凭据数据)是资源22,由此此类资源22可被读取、写入或执行。可在制造时(例如,在工厂供应过程期间)或在与服务器的验证过程期间供应资源。
应当理解,设备资源可由例如托管在资源服务器4上的软件和/或作为服务6的一部分运行的应用程序远程管理。由此此类应用程序可包括数据存储和分析服务26、应用程序服务28和/或设备管理应用程序30,尽管这些是可作为服务6的一部分运行的应用程序的示例。
此类设备资源可包括凭据数据诸如标识符以标识远程资源,由此设备2使用适当的凭据来利用其进行验证。例如,可将设备上的证书中的凭据数据输入TLS/DTLS安全协议,以建立与远程资源的安全通信路径或信道。
证书通常是证书授权方(CA)证书,但它们也可以是固定的终端实体证书。
证书可包括由设备用于定位远程资源和/或用于验证目的(例如,根据标识符匹配算法来验证通信)的标识符。
标识符可包括以下各项中的一者或多者:全限定域名(FQDN)、统一资源定位符(URL)、统一资源指示符(URI)、统一资源名(URN)和IP地址(例如,IPv4或IPv6地址)。
如本领域的技术人员将理解的那样,可在引导过程期间在设备上提供设备资源,并且本发明技术为设备提供引导功能,由此引导服务器管理设备资源的供应以使设备能够访问一个或多个服务。
在如图3所示的简化形式中,设备发起的引导过程包括从设备2发送(S50)以使用设备2上提供的公共证书来利用引导服务器30进行验证的引导请求,由此公共证书也可被一个或多个其他设备用于利用引导服务器30进行验证。
引导过程还可使用例如凭据数据(例如,公共证书、加密密钥)作为TLS/DTLS协议的输入来发起设备2与引导服务器30之间的安全通信。
在本发明技术中,公共证书包括信任指示符或可信级别扩展以指示其是公共证书,由此信任指示符可包括例如字母数字文本、代码或值。
公共证书还可包括公共证书所对应的一组设备的组标识符。在实施方案中,组标识符可以包括组中每个设备的设备标识符(例如,每个设备的MAC地址)。
响应于验证设备2,引导服务器30在设备2上提供凭据数据,以使设备2能够访问另外的远程资源(例如,资源服务器)。
图4a示意性地示出了系统40的框图,其中两个设备2a和2b使用凭据数据来利用引导服务器30进行验证并且从其获取另外的凭据数据以利用资源服务器4进行验证。在图4a中,设备2a是第一组设备的一部分,而设备2b是不同的第二组设备的一部分。
在S100处,管理员42获取由证书授权方(CA)签名的根证书或中间证书(例如,X.509证书),该证书授权方诸如为Cybertrust或GlobalSign(在下文中称为“信任证书”),并且向设备管理平台46注册信任证书(例如,通过经由设备管理平台46的应用可编程接口(API)上载信任证书)。
图4a的设备管理平台46被描绘为包括引导服务器30和资源服务器4的云平台(例如,其中设备管理平台托管在公共或私有云基础结构上)。
应当理解,设备管理平台46不限于云平台并且可包括私有平台(例如,其中设备管理平台托管在私有或内部基础设施上);以及混合云平台(例如,公共平台和私有平台的组合)。
在实施方案中,管理员42可在设备管理平台46处具有相关联的账户44,该账户44具有例如与该管理员42相关联的凭据数据(例如,账户ID、上载的信任证书、一个或多个相关联的加密密钥(例如,公共密钥)等)。
在实施方案中,信任证书可作为自带证书(BYOC)过程的一部分在设备管理平台46处注册,由此在注册信任证书时,可向管理员提供凭据数据,管理员可在一个或多个设备上提供该凭据数据,以使设备能够利用一个或多个远程资源进行验证。提供给管理员的此类凭据数据可包括引导凭据,诸如引导服务器标识符(例如,URI、IPv6地址等)。
在S102a处,管理员42为第一组设备生成第一公共证书48a,并且在S102b处为第二组设备生成第二公共证书48b,由此第一公共证书和第二公共证书可从信任证书导出(例如,使用与信任证书相关联的加密密钥签名)。与信任证书相关联的此类加密密钥可例如是私有密钥,该私有密钥是在管理员42处(例如,由CA)提供的公共/私有密钥对的一部分,或者与信任证书相关联的加密密钥可以是由管理员与对应的公共密钥一起生成的私有密钥(例如,作为证书签署请求的一部分)。权利要求在这个方面不受限制,并且在一些实施方案中,与信任证书相关联并用于签署信任证书的密码可以是公共密钥。
第一公共证书48a和第二公共证书48b可包括信任指示符,该信任指示符指示证书是公共证书,并且还包括引导凭据数据以使设备2能够利用引导服务器30进行验证。
在S104a处,管理员在第一组设备中的一个或多个设备上提供包括第一公共证书48a的公共凭据数据,并且在S104b处,管理员在第二组设备中的一个或多个设备上提供包括第二公共证书48b的公共凭据数据。在相应设备上提供公共凭据数据可作为带外过程来执行,尽管权利要求书在这个方面不受限制。公共凭据数据可作为设备资源存储在设备上的非易失性存储器中。在一些实施方案中,公共凭据数据中的一些或全部可永久性地存储在设备上。例如,公共证书可存储在只读存储器中。
在其他示例中,公共凭据数据中的一些或全部临时存储在设备处,例如在公共凭据数据具有有限的有效性的情况下。
在S106a处,作为引导过程的一部分,第一组的设备2a使用包括第一公共证书的公共凭据数据来利用引导服务器30验证其自身,由此例如在接收到引导请求时,引导服务器30确定第一公共证书是否具有对可信来源的信任链(例如,通过使用对应的加密密钥(例如,公共密钥)核实第一公共证书中的签名);该公共证书包括信任指示符;以及/或者设备2a是否在第一公共证书所对应的组中。
在实施方案中,使用相应公共凭据数据在设备2a和引导服务器30之间建立安全通信信道。
引导服务器30生成和/或获取凭据数据49a以使已验证设备2a能够与资源服务器4通信(下文称为“资源凭据数据”),并且在S108a处将资源凭据数据49a传输至设备2a。
在S106b处,作为引导过程的一部分,第二组的设备2b使用包括第二公共证书的公共凭据数据来利用引导服务器30验证其自身,由此例如在接收到引导请求时,引导服务器30确定第二公共证书是否具有对可信来源的信任链(例如,通过使用对应的加密密钥(例如,公共密钥)核实第二公共证书中的签名);该公共证书包括信任指示符;以及/或者设备2b是否在第二公共证书所对应的组中。
在实施方案中,使用相应公共凭据数据在设备2b和引导服务器30之间建立安全通信信道。
引导服务器30生成和/或获取资源凭据数据49b以使已验证设备2b能够与资源服务器4通信,并且在S108b处将资源凭据数据49b传输至设备2b。
在实施方案中,相应的资源凭据数据49a、49b可包括资源证书、资源服务器的标识符(例如,URI、IPv6地址等)。除此之外或另选地,相应的资源凭据数据49a、49b可包括引导证书、引导服务器30或设备2a、2b可利用其进行验证的另一引导服务器(未示出)的标识符(例如,URI、IPv6地址等)。
在S110a处,设备2a使用资源凭据数据49a来利用资源服务器4进行验证,由此在验证成功时,设备2a可访问一个或多个服务6。
在S110b处,设备2b使用资源凭据数据49b来利用资源服务器4进行验证,由此在验证成功时,设备2b可访问一个或多个服务6。
因此,本发明技术使得一组设备中的一个或多个设备能够使用该组的公共凭据数据(例如,公共证书)来利用引导服务器进行验证。此类功能减少了设备管理员的负担,因为不需要他们在设备上生成和/或提供唯一的凭据数据以使设备能够执行引导过程。
本发明技术还使得该一个或多个设备能够在初始引导过程之后,在没有公共证书的情况下使用引导凭据数据来利用引导服务器进行验证。例如,当资源凭据数据49a、49b到期时,相应的设备2a、2b可使用引导凭据数据来获取有效的资源凭据数据。
就设备的出厂设置而言,例如当公共凭据数据永久性地存储在设备上时,该设备可使用公共证书来从引导服务器30获取资源凭据数据。
除此之外或另选地,设备可使用引导凭据数据(而不是公共凭据数据)来从同一引导服务器30或不同引导服务器获取资源凭据数据。
图4b示意性地示出了系统60的框图,其中两个设备2a和2b使用凭据数据来使用相同的凭据数据以利用引导服务器30进行验证并且获取另外的凭据数据以利用资源服务器4进行验证。在图4b中,设备2a和2b是同一组设备的一部分。
在S150处,管理员42获取信任证书并向设备管理平台46注册信任证书。
在实施方案中,在注册信任证书时,向管理员提供凭据数据,管理员可在一个或多个设备上提供该凭据数据,以使设备能够访问一个或多个服务。提供给管理员的此类凭据数据可包括引导凭据,诸如引导服务器标识符(例如,URI、IPv6地址等)。
在S152处,管理员生成公共凭据数据,该公共凭据数据包括第一组设备的公共证书62,由此公共证书62可从信任证书导出(例如,使用与信任证书相关联的加密密钥(例如,私有密钥)签名),并且由此该公共凭据数据包括指示该证书是公共证书的信任指示符,并且还包括引导凭据以使设备2能够利用引导服务器30进行验证。
在S154a处,管理员42在第一设备2a上提供包括公共证书62的公共凭据数据,并且在S154b处,管理员42在第二设备上提供包括公共证书62的公共凭据数据。
在S156a处,作为引导过程的一部分,设备2a使用公共凭据数据来利用引导服务器30验证其自身,由此例如引导服务器30确定公共证书是否具有对可信来源(例如,通过使用对应的加密密钥核实公共证书中的签名)的信任链,该公共凭据数据包括信任指示符,并且/或者设备2a在公共凭据数据所对应的组中。
引导服务器30生成和/或获取资源凭据数据以使已验证设备2a能够与资源服务器4通信,并且在S158a处在设备2a上提供资源凭据数据64a。
在S156b处,作为引导过程的一部分,设备2b使用公共凭据数据来利用引导服务器30验证其自身。
引导服务器30生成和/或获取另外的凭据数据64b以使已验证设备2b能够与资源服务器4通信,并且在S158b处在设备2b上提供资源凭据数据64b。
如上所述,尽管公共凭据数据对于组的所有设备是公共的,但资源凭据数据64a、64b对于每个设备2a、2b是唯一的,并且包括资源证书和/或可包括资源服务器的标识符(例如,URI、IPv6地址等)。除此之外或另选地,相应的资源凭据数据64a、64b可包括引导证书、设备2a、2b可利用其进行验证的引导服务器的标识符(例如,URI、IPv6地址等)。
在S160a处,设备2a使用资源凭据数据64a来利用资源服务器4进行验证,由此在验证成功时,设备2可访问一个或多个服务6。
在S160b处,设备2b使用资源凭据数据64b来利用资源服务器4进行验证,由此在验证成功时,设备2可访问一个或多个服务6。
应当理解,如果需要,设备2a,2b可使用相应的引导凭据来利用引导服务器30(或不同的引导服务器)进行验证以获取另外的资源凭据数据。
图5是示例性过程200的示意图,其中为设备2提供公共凭据数据,该公共凭据数据使设备2能够访问一个或多个服务。
图5的设备管理平台46被描绘为包括引导服务器30、资源服务器4(例如,LwM2M服务器)和平台接口46a,引导服务器和资源服务器4可与该平台接口进行交互以获取数据或信息。应当理解,图5的设备管理平台46的特征是例示性示例,并且设备管理平台46可包括附加或另选的设备/服务器/资源/接口等。
在S202处,管理员42获取信任证书(例如,X.509证书)并经由接口46a(例如,API)向设备管理平台46注册信任证书(例如,作为BYOC过程的一部分)。
在S204处,管理员42为包括一个或多个设备的一组设备生成公共凭据数据。在例示性示例中,公共凭据数据包括从信任证书导出的公共证书,使得在信任证书和公共证书之间存在信任链。公共凭据数据还包括信任指示符和引导凭据。
在S206处,管理员42将公共凭据数据提供到该组设备中的设备2上。
在S208处,设备2使用公共凭据数据来利用引导服务器30发起引导过程(例如,在第一次上电之后)(例如,作为引导请求的一部分)。在实施方案中,设备2使用公共凭据数据来建立与引导服务器30的安全通信。
在S210处,引导服务器30核实从设备2接收的公共凭据数据(例如,由此例如引导服务器30确定公共证书是否具有对可信来源的信任链(例如,通过使用对应的加密密钥核实公共证书中的签名);该公共证书包括信任指示符;以及/或者设备是否在公共证书所对应的组中。)当公共凭据数据被核实后,引导服务器30在设备2上提供另外的凭据数据,以使设备2能够利用资源服务器4进行验证并访问一个或多个服务。
作为例示性示例,在核实从设备2接收的公共凭据数据时,引导服务器30生成或获取资源凭据数据以使设备2能够利用资源服务器4进行验证。
例如,引导服务器30使用在引导服务器处提供的引导中间CA来生成设备引导证书,并且在S212处,经由接口46a来向设备管理平台46提供设备引导证书。
在S214处,设备管理平台46核实设备引导证书,并且在S216处向引导服务器30提供设备2的资源凭据数据。在实施方案中,资源凭据数据可包括资源证书(例如,服务器证书)和/或资源标识符(例如,服务器标识符)。在一些实施方案中,资源凭据数据还可包括对于该设备2是唯一的引导凭据数据,以使设备2能够利用引导服务器30或另一引导服务器(未示出)进行验证。在其他实施方案中,引导服务器可生成引导凭据数据(例如,使用引导中间CA)。
在一些实施方案中,可基于由管理员42在设备管理平台46处注册的账户ID数据来为设备生成资源凭据数据。
在S218处,引导服务器在设备2上提供资源凭据数据,以使设备能够访问资源服务器4(或引导服务器)。
在S220处,设备2在引导过程期间使用在其上提供的资源凭据来利用资源服务器4验证其自身,由此作为访问请求的一部分,设备2可建立与资源服务器4的安全通信。
在S222处,资源服务器4处理访问请求,并且在S224处,当设备被验证时,向设备2提供对一个或多个服务的访问。
如上所述,当资源凭据数据无效(例如由于过期、损坏)时,本发明技术使一个或多个设备能够使用公共凭据数据和/或引导凭据数据来获取有效的资源凭据数据。
就设备的出厂设置而言,例如当公共凭据数据永久性地存储在设备上时,该设备可使用公共凭据数据来利用引导服务器进行验证以从其获取资源凭据数据。
除此之外或另选地,设备可使用引导凭据数据(而不是公共凭据数据)来从同一引导服务器30或不同引导服务器获取资源凭据数据。
在一些实施方案中,资源凭据数据可具有有限的有效性(例如,一次性使用、“N”次使用或按时间限制(例如,从问题起在6个月内有效))。因此,设备可使用公共证书来利用引导服务器进行验证以获取对一个或多个服务的访问。
当公共证书不再有效或正接近其有效期结束时,设备可生成警示以供所有者获取有效凭据数据(例如,来自管理员或另一来源)。
在一些实施方案中,引导服务器30还可在设备2上提供引导凭据数据(例如,证书;引导标识符),以使设备2能够在没有公共证书的情况下利用引导服务器30进行验证。因此,在一些实施方案中,设备2可在初始引导操作中使用公共证书来利用引导服务器30进行验证,并且随后使用引导凭据数据来利用引导服务器进行验证。
如上所述,一组设备可包括一个或多个设备。权利要求不限于如何对设备进行分组,并且设备可根据功能、根据类型、根据制造商、根据类别、根据额定功率、根据制造顺序(例如,日期/时间)、根据所有者等进行分组。在其他实施方案中,设备可以随机或伪随机方式进行分组。
在另一相关方面,本发明技术提供了一种携带代码的非暂态数据载体,该代码当在处理器上实现时,使得处理器执行本文所述的方法。
这些技术还提供处理器控制代码以例如在通用计算机系统或数字信号处理器(DSP)上实现上述系统和方法。这些技术还提供携带处理器控制代码的载体以在运行时实现上述方法中的任一种,特别是在非暂态数据载体诸如磁盘、微处理器、CD或DVD-ROM、编程存储器诸如只读存储器(固件)上,或在数据载体诸如光或电信号载体上。代码可被提供在载体诸如磁盘、微处理器、CD或DVD-ROM、编程存储器诸如非易失性存储器(例如,闪存)或只读存储器(固件)上。用于实现本技术的实施方案的代码(和/或数据)可包括常规编程语言(解释或编译)诸如C的源代码、目标代码或可执行代码,或者汇编代码,用于设置或控制ASIC(专用集成电路)或FPGA(现场可编程门阵列)的代码,或用于硬件描述语言诸如VerilogTM或VHDL(极高速集成电路硬件描述语言)的代码。如技术人员将理解的,此类代码和/或数据可分布在彼此通信的多个耦接部件之间。这些技术可包括控制器,该控制器包括微处理器、工作存储器以及耦接到系统的一个或多个部件的程序存储器。
已在本文中详细描述的各种代表性实施方案以举例的方式而非限制的方式给出。本领域的技术人员应当理解,可对所述实施方案的形式和细节进行各种改变,从而得到保持在所附项目的范围内的等同实施方案。
Claims (29)
1.一种由引导服务器对设备进行引导的计算机实现的方法,所述方法包括:
作为引导过程的一部分,在所述引导服务器处从所述设备接收公共凭据数据,所述公共凭据数据包括信任指示符以指示所述公共凭据数据对于一组两个或更多个设备是公共的;
基于或响应于所述公共凭据数据,在所述引导服务器处获取特定于所述设备的资源凭据数据,所述资源凭据数据使得所述设备能够利用资源进行验证;
从所述引导服务器向所述设备传输所述资源凭据数据。
2.根据权利要求1所述的方法,包括:
基于或响应于所述公共凭据数据,在所述引导服务器处获取引导凭据数据,所述引导凭据数据使得所述设备能够利用所述引导服务器或另一引导服务器进行验证;
从所述引导服务器向所述设备传输所述引导凭据数据。
3.根据任一前述权利要求所述的方法,包括:
在所述引导服务器处使用所述公共凭据数据建立与所述设备的安全通信信道。
4.根据任一前述权利要求所述的方法,其中所述公共凭据数据包括以下各项中的一者或多者:
公共证书、加密密钥和引导标识符。
5.根据权利要求4所述的方法,其中所述引导标识符包括以下各项中的一者或多者:
统一资源定位符(URL)、统一资源指示符(URI)、全限定域名(FQDN)、统一资源名(URN)和IP地址。
6.根据任一前述权利要求所述的方法,其中获取资源凭据数据包括:
在所述引导服务器处生成所述资源凭据数据。
7.根据权利要求1至5中任一项所述的方法,其中获取所述资源凭据数据包括:
与另一资源通信以请求所述设备的所述资源凭据数据;
在所述引导服务器处接收所述资源凭据数据。
8.根据任一前述权利要求所述的方法,还包括:
在所述引导服务器处核实所述设备在所述公共凭据数据所对应的所述组中。
9.根据权利要求4至9中任一项所述的方法,还包括:
在所述引导服务器处核实所述公共证书具有对可信来源的信任链。
10.根据权利要求10所述的方法,其中所述可信来源包括证书授权方。
11.根据权利要求9或权利要求10所述的方法,还包括:
当核实所述设备在所述公共凭据数据所对应的所述组中和/或所述公共证书具有对可信来源的信任链时,获取所述资源凭据数据。
12.一种由引导服务器对设备进行引导的计算机实现的方法,所述方法包括:
作为第一引导过程的一部分,从所述设备向第一服务器传输公共凭据数据,所述公共凭据数据包括信任指示符以指示所述公共凭据数据对于一组两个或更多个设备是公共的;
从所述第一服务器接收特定于所述设备的第一资源凭据数据以使所述设备能够利用第二服务器进行验证。
13.根据权利要求12所述的方法,包括:
在所述设备处使用所述公共凭据数据建立与所述引导服务器的安全通信信道。
14.根据权利要求12或权利要求13所述的方法,包括:
使用所述第一资源凭据数据利用所述第二服务器进行验证。
15.根据权利要求14所述的方法,包括:
在所述设备处使用所述第一资源凭据数据建立与所述第二服务器的安全通信信道。
16.根据权利要求12至15中任一项所述的方法,还包括:
从所述第一服务器接收引导凭据数据以使所述设备能够利用所述第一服务器或第三服务器进行验证。
17.根据权利要求16所述的方法,包括:
作为第二引导过程的一部分,从所述设备向所述第一服务器传输所述引导凭据数据;
从所述第一服务器接收第二资源凭据数据以使所述设备能够利用所述第二服务器或第四服务器进行验证;
使用所述第二资源凭据数据利用所述第二服务器或所述第四服务器进行验证。
18.根据权利要求17所述的方法,包括:
作为第二引导过程的一部分,从所述设备向所述第三服务器传输所述引导凭据数据;
从所述第三服务器接收第二资源凭据数据以使所述设备能够利用所述第二服务器或第四服务器进行验证;
使用所述第二资源凭据数据利用所述第二服务器或所述第四服务器进行验证。
19.根据权利要求16至18中任一项所述的方法,其中所述引导凭据数据对于所述设备是唯一的。
20.根据权利要求16至19中任一项所述的方法,包括:
当所述第一资源凭据数据的有效性到期时,使用所述引导凭据数据以利用所述第一服务器进行验证。
21.根据权利要求12至20中任一项所述的方法,其中所述公共凭据数据被永久存储在所述设备处。
22.根据权利要求12至21中任一项所述的方法,其中所述公共凭据数据具有有限的有效性。
23.根据权利要求12至22中任一项所述的方法,其中所述第一资源凭据数据具有有限的有效性。
24.根据权利要求12至23中任一项所述的方法,包括:
在所述设备处接收所述公共凭据数据。
25.根据权利要求12至24中任一项所述的方法,其中所述公共凭据数据包括公共证书、加密密钥和引导标识符。
26.根据权利要求25所述的方法,其中所述公共证书包括对可信来源的信任链。
27.一种设备,所述设备包括:
存储电路,所述存储电路用于存储公共凭据数据,所述公共凭据数据包括信任指示符以指示所述公共凭据数据对于一组两个或更多个设备是公共的;
通信电路,所述通信电路用于作为引导过程的一部分,将所述公共凭据数据从所述设备传输到第一服务器。
28.根据权利要求27所述的设备,所述设备用于:
从所述第一服务器接收特定于所述设备的第一资源凭据数据;以及
使用所述第一资源凭据数据利用第二服务器进行验证。
29.一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质包括代码,所述代码当在处理器上实现时使得所述处理器执行根据权利要求1至26中任一项所述的方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
GB1819725.1 | 2018-12-03 | ||
GB1819725.1A GB2579574B (en) | 2018-12-03 | 2018-12-03 | Bootstrapping with common credential data |
PCT/GB2019/053157 WO2020115458A1 (en) | 2018-12-03 | 2019-11-08 | Bootstrapping with common credential data |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113169864A true CN113169864A (zh) | 2021-07-23 |
Family
ID=65024868
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201980074394.6A Pending CN113169864A (zh) | 2018-12-03 | 2019-11-08 | 利用公共凭据数据进行引导 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20220052999A1 (zh) |
CN (1) | CN113169864A (zh) |
GB (1) | GB2579574B (zh) |
WO (1) | WO2020115458A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11934528B2 (en) * | 2021-10-15 | 2024-03-19 | Dell Products Lp | System and method for providing transitive bootstrapping of an embedded subscriber identification module |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101030862A (zh) * | 2007-03-29 | 2007-09-05 | 中兴通讯股份有限公司 | 非ip多媒体业务ue的鉴权方法、鉴权网络及ue |
WO2007104248A1 (en) * | 2006-03-14 | 2007-09-20 | Huawei Technologies Co., Ltd. | Method, system, apparatus and bsf entity for preventing bsf entity from attack |
CN102572818A (zh) * | 2010-12-08 | 2012-07-11 | 中兴通讯股份有限公司 | 一种mtc组设备的应用密钥管理方法及系统 |
WO2013120225A1 (en) * | 2012-02-16 | 2013-08-22 | Nokia Siemens Networks Oy | Method and system for group based service bootstrap in m2m environment |
US20140281502A1 (en) * | 2013-03-15 | 2014-09-18 | General Instrument Corporation | Method and apparatus for embedding secret information in digital certificates |
US20170041782A1 (en) * | 2013-11-25 | 2017-02-09 | Zte Corporation | Method and system for secure transmission of small data of MTC device group |
Family Cites Families (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6609199B1 (en) * | 1998-10-26 | 2003-08-19 | Microsoft Corporation | Method and apparatus for authenticating an open system application to a portable IC device |
US20030041110A1 (en) * | 2000-07-28 | 2003-02-27 | Storymail, Inc. | System, Method and Structure for generating and using a compressed digital certificate |
US7185364B2 (en) * | 2001-03-21 | 2007-02-27 | Oracle International Corporation | Access system interface |
US20020147905A1 (en) * | 2001-04-05 | 2002-10-10 | Sun Microsystems, Inc. | System and method for shortening certificate chains |
US7308496B2 (en) * | 2001-07-31 | 2007-12-11 | Sun Microsystems, Inc. | Representing trust in distributed peer-to-peer networks |
US7707406B2 (en) * | 2002-11-08 | 2010-04-27 | General Instrument Corporation | Certificate renewal in a certificate authority infrastructure |
US20060185013A1 (en) * | 2003-06-18 | 2006-08-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Method, system and apparatus to support hierarchical mobile ip services |
US20050114447A1 (en) * | 2003-10-24 | 2005-05-26 | Kim Cameron | Method and system for identity exchange and recognition for groups and group members |
JP4333455B2 (ja) * | 2004-04-09 | 2009-09-16 | ソニー株式会社 | コンテンツ再生装置,プログラム及びコンテンツ再生制御方法 |
US8010783B1 (en) * | 2004-04-15 | 2011-08-30 | Aol Inc. | Service provider invocation |
US8347078B2 (en) * | 2004-10-18 | 2013-01-01 | Microsoft Corporation | Device certificate individualization |
JP4218760B2 (ja) * | 2005-07-01 | 2009-02-04 | インターナショナル・ビジネス・マシーンズ・コーポレーション | トレーサビリティ検証システム、方法、プログラム |
US20100138652A1 (en) * | 2006-07-07 | 2010-06-03 | Rotem Sela | Content control method using certificate revocation lists |
EP2543215A2 (en) * | 2010-03-05 | 2013-01-09 | InterDigital Patent Holdings, Inc. | Method and apparatus for providing security to devices |
CN102469455B (zh) * | 2010-11-08 | 2016-04-13 | 中兴通讯股份有限公司 | 基于通用引导架构的机器类通信设备分组管理方法及系统 |
KR101626453B1 (ko) * | 2012-02-02 | 2016-06-01 | 노키아 솔루션스 앤드 네트웍스 오와이 | 머신 타입 통신에서의 그룹 기반 부트스트랩핑 |
US9563480B2 (en) * | 2012-08-21 | 2017-02-07 | Rackspace Us, Inc. | Multi-level cloud computing system |
EP2819342B1 (en) * | 2012-10-30 | 2017-03-01 | LG Electronics Inc. | Method and apparatus for authenticating access authority for specific resource in wireless communication system |
GB2530040B (en) * | 2014-09-09 | 2021-01-20 | Arm Ip Ltd | Communication mechanism for data processing devices |
US9735970B1 (en) * | 2014-11-24 | 2017-08-15 | Veewear Ltd. | Techniques for secure voice communication |
US10630489B2 (en) * | 2015-03-25 | 2020-04-21 | Sixscape Communications Pte Ltd. | Apparatus and method for managing digital certificates |
US10856122B2 (en) * | 2016-05-31 | 2020-12-01 | Intel Corporation | System, apparatus and method for scalable internet of things (IoT) device on-boarding with quarantine capabilities |
US11283625B2 (en) * | 2016-10-14 | 2022-03-22 | Cable Television Laboratories, Inc. | Systems and methods for bootstrapping ecosystem certificate issuance |
US10581620B2 (en) * | 2016-11-14 | 2020-03-03 | Integrity Security Services Llc | Scalable certificate management system architectures |
US20180317086A1 (en) * | 2017-01-27 | 2018-11-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Secondary Authentication of a User Equipment |
WO2018236421A1 (en) * | 2017-06-19 | 2018-12-27 | Heldt Sheller Nathan | INTEGRATION AUTHORIZED BY THE USER USING A PUBLIC AUTHORIZATION SERVICE |
US10833926B2 (en) * | 2017-11-17 | 2020-11-10 | T-Mobile Usa, Inc. | Touchless secure bootstrapping of IoT devices |
US11115193B2 (en) * | 2017-12-29 | 2021-09-07 | Intel Corporation | Technologies for internet of things key management |
WO2019156716A1 (en) * | 2018-02-09 | 2019-08-15 | Intel Corporation | Trusted iot device configuration and onboarding |
US10681544B2 (en) * | 2018-03-12 | 2020-06-09 | Cypress Semiconductor Corporation | Devices, systems and methods for connecting and authenticating local devices to common gateway device |
CN110839005B (zh) * | 2018-08-17 | 2023-08-01 | 恩智浦美国有限公司 | 装置利用云平台的安全登记 |
US11930115B2 (en) * | 2018-09-12 | 2024-03-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Management of devices joining a network |
US11184178B2 (en) * | 2018-09-28 | 2021-11-23 | Blackberry Limited | Method and system for intelligent transportation system certificate revocation list reduction |
-
2018
- 2018-12-03 GB GB1819725.1A patent/GB2579574B/en not_active Expired - Fee Related
-
2019
- 2019-11-08 US US17/297,778 patent/US20220052999A1/en active Pending
- 2019-11-08 WO PCT/GB2019/053157 patent/WO2020115458A1/en active Application Filing
- 2019-11-08 CN CN201980074394.6A patent/CN113169864A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007104248A1 (en) * | 2006-03-14 | 2007-09-20 | Huawei Technologies Co., Ltd. | Method, system, apparatus and bsf entity for preventing bsf entity from attack |
CN101030862A (zh) * | 2007-03-29 | 2007-09-05 | 中兴通讯股份有限公司 | 非ip多媒体业务ue的鉴权方法、鉴权网络及ue |
CN102572818A (zh) * | 2010-12-08 | 2012-07-11 | 中兴通讯股份有限公司 | 一种mtc组设备的应用密钥管理方法及系统 |
WO2013120225A1 (en) * | 2012-02-16 | 2013-08-22 | Nokia Siemens Networks Oy | Method and system for group based service bootstrap in m2m environment |
US20140281502A1 (en) * | 2013-03-15 | 2014-09-18 | General Instrument Corporation | Method and apparatus for embedding secret information in digital certificates |
US20170041782A1 (en) * | 2013-11-25 | 2017-02-09 | Zte Corporation | Method and system for secure transmission of small data of MTC device group |
Also Published As
Publication number | Publication date |
---|---|
GB2579574A (en) | 2020-07-01 |
US20220052999A1 (en) | 2022-02-17 |
WO2020115458A1 (en) | 2020-06-11 |
GB2579574B (en) | 2021-08-11 |
GB201819725D0 (en) | 2019-01-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10885198B2 (en) | Bootstrapping without transferring private key | |
US11252239B2 (en) | Enabling communications between devices | |
US12022010B2 (en) | Reduced bandwidth handshake communication | |
US20230009787A1 (en) | Secure device onboarding techniques | |
US11678183B2 (en) | Devices, systems and methods for connecting and authenticating local devices to common gateway device | |
US9660977B2 (en) | Restricted certificate enrollment for unknown devices in hotspot networks | |
US11522840B2 (en) | Automatic client device registration | |
US20200274707A1 (en) | Server for and method of secure device registration | |
US20200274719A1 (en) | Generating trust for devices | |
US20130028411A1 (en) | Simple Group Security for Machine-to-Machine Networking (SGSM2M) | |
CN113966625A (zh) | 用于核心网络域中的证书处理的技术 | |
US11475134B2 (en) | Bootstrapping a device | |
CN113169864A (zh) | 利用公共凭据数据进行引导 | |
US20220200984A1 (en) | Provisioning data on a device | |
US11949664B2 (en) | Machine to machine communications | |
WO2023169688A1 (en) | Enabling configuring an endpoint device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
CB02 | Change of applicant information |
Address after: cambridge Applicant after: Arm Ltd. Address before: Cambridge County Applicant before: Arm Ltd. |
|
CB02 | Change of applicant information | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20210723 |
|
WD01 | Invention patent application deemed withdrawn after publication |