CN114762290B - 对数字密钥进行管理的方法和电子装置 - Google Patents
对数字密钥进行管理的方法和电子装置 Download PDFInfo
- Publication number
- CN114762290B CN114762290B CN202080082009.5A CN202080082009A CN114762290B CN 114762290 B CN114762290 B CN 114762290B CN 202080082009 A CN202080082009 A CN 202080082009A CN 114762290 B CN114762290 B CN 114762290B
- Authority
- CN
- China
- Prior art keywords
- key
- secure
- electronic device
- sps
- signature data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 98
- 238000004891 communication Methods 0.000 claims description 96
- 238000007726 management method Methods 0.000 description 27
- 238000005516 engineering process Methods 0.000 description 22
- 238000004590 computer program Methods 0.000 description 16
- 238000010586 diagram Methods 0.000 description 14
- 230000008569 process Effects 0.000 description 10
- 230000006870 function Effects 0.000 description 9
- 238000012545 processing Methods 0.000 description 8
- 230000001413 cellular effect Effects 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000003595 spectral effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000033772 system development Effects 0.000 description 1
- 238000013175 transesophageal echocardiography Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/086—Access security using security domains
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/045—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/61—Time-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Abstract
提供一种方法,包括:向多个服务提供商发送SD的证书;从多个SP接收多个SP中的每一个SP的证书;从多个SP当中的第一SP接收第一签名数据;使用从第一SP接收的第一SP的证书来认证第一签名数据,以及从第一签名数据中获得第一SP的经加密的密钥;使用SD的私用密钥对第一SP的经加密的密钥进行解密;以及将第一SP的解密出的密钥存储在SD的多个实例当中的与第一SP相对应的第一实例中。
Description
技术领域
本公开总体上涉及用于使用超宽带(UWB)通信方法来执行测距的电子装置以及其运行方法。
背景技术
因特网从以人类为中心的连接网络演变为物联网(IoT)网络,以人类为中心的连接网络是人类生成和消耗信息的网络,而物联网(IoT)网络是在诸如物的分布部件之间交换和处理信息的网络。也出现万物互联(IoE)技术,其中大数据处理技术经由云服务器与IoT技术相结合。为了实现IoT,需要诸如感测技术、有线/无线通信和网络基础设施、服务接口技术以及安全技术之类的技术元素。近年来,已经就诸如传感器网络、机器对机器(M2M)通信和机器类型通信(MTC)之类的技术进行了研究,用于物之间的连接。
在IoT环境中,可以提供智能因特网技术(IT)服务以收集和分析从连接的对象获得的数据从而生成新的值。随着现有信息技术和各种行业聚合并彼此结合,IoT可适用于智能家庭、智能楼宇、智能城市、智能汽车或联网汽车、智能电网、保健、智能家用电器以及高级医疗服务等领域。
随着无线通信系统的发展,能够提供各种服务,因此要求有效地提供这样的服务的方法。例如,用于通过UWB测量电子装置之间的距离的测距技术可以用于介质接入控制(MAC)。UWB是一种无线通信技术,其在不使用无线电载波的情况下在基础波段中使用数吉赫(GHz)或更多的非常宽的频带。
随着诸如智能电话和平板个人计算机(PC)之类的个性化电子装置已经进入广泛应用,已经开发了使用数字密钥执行安全性和认证的技术。作为数字密钥技术,已经开发了使用诸如近场通信(NFC)的无线通信技术将数字密钥集成到移动装置(例如,智能电话)中的技术。也就是说,数字化虚拟密钥(例如,数字密钥)可以被嵌入移动装置中,并且移动装置的用户可以使用数字密钥,使得用户可以用数字密钥代替物理钥匙以打开或关闭、控制以及接入门。
因而,数字密钥的使用将提高用户便利和产业效应,然而,安全考虑可能持续。也就是说,数字密钥基本上需要与电子装置集成,并且因此,很可能暴露于电子装置的黑客行为。因此,需要用于安全地将数字密钥存储在电子装置中并访问数字密钥的技术。
发明内容
技术问题
需要以集总方式对由商户独立地管理的数字密钥进行管理以提高互操作性并保证安全性的方法。
技术方案
已经作出本公开以解决上述问题和/或缺点并至少提供如下所述的优点。
根据本公开的方面,一种由电子装置执行的对用于访问多个服务的密钥进行管理的方法包括:由电子装置的安全区域中的安全域(SD)向多个服务提供商(SP)发送SD的证书;由安装在电子装置中的应用从多个SP接收多个SP中的每一个SP的证书;由应用从多个SP当中的第一SP接收第一签名数据;由应用使用从第一SP接收的第一SP的证书来认证第一签名数据,并从第一签名数据中获得第一SP的经加密的密钥;由SD使用SD的私用密钥对第一SP的经加密的密钥进行解密;以及将第一SP的解密出的密钥存储在SD的多个实例当中的与第一SP相对应的第一实例中。
附图说明
根据结合附图所进行的以下描述,本公开的某些实施例的上述及其他方面、特征和优点将变得更明显,在附图中:
图1示出根据实施例的当提供接入服务时可能发生的安全威胁;
图2示出根据实施例的数字密钥管理系统,其中对于每个商户使用不同的密钥和不同的安全区域;
图3是用于说明通用实例生成方法与根据实施例的实例生成方法之间的差别的图;
图4a示出根据实施例的密钥管理系统的安全区域的配置;
图4b示出根据实施例的密钥管理系统的配置;
图5是根据实施例的密钥管理系统的运行方法的流程图;
图6是根据实施例的由电子装置对密钥进行管理的方法的流程图;
图7是根据实施例的电子装置的运行方法的详细流程图;
图8是根据另一个实施例的电子装置的运行方法的详细流程图;
图9是根据实施例的由密钥管理系统生成实例的方法的流程图;
图10是根据实施例的对存储在实例中的内容进行管理的方法的流程图,该方法由密钥管理系统来执行;
图11是根据实施例的对存储在实例中的内容进行管理的方法的流程图,该方法由密钥管理系统来执行;
图12是用于说明使用控制权限安全域(CASD)的通用密钥管理方法与根据实施例的密钥管理方法之间的差别的图;
图13是根据实施例的由密钥管理系统执行安全测距的方法的流程图;
图14是根据实施例的电子装置的框图;
图15是根据实施例的安全区域的框图;
图16是根据实施例的用于说明电子装置的操作的图。
最佳实施方式
已经作出本公开以解决上述问题和/或缺点并至少提供如下的优点。
根据本公开的方面,一种由电子装置执行的对用于访问多个服务的密钥进行管理的方法包括:由电子装置的安全区域中的安全域(SD)向多个服务提供商(SP)发送SD的证书;由安装在电子装置中的应用从多个SP接收多个SP中的每一个SP的证书;由应用从多个SP当中的第一SP接收第一签名数据;由应用使用从第一SP接收的第一SP的证书来认证第一签名数据,并从第一签名数据中获得第一SP的经加密的密钥;由SD使用SD的私用密钥对第一SP的经加密的密钥进行解密;以及将第一SP的解密出的密钥存储在SD的多个实例当中的与第一SP相对应的第一实例中。
根据本公开的另一个方面,一种电子装置包括:安全区域,该安全区域被配置为存储电子装置访问多个服务的密钥;以及,处理器,该处理器连接到安全区域,其中,安装在安全区域中的安全域向多个SP发送安全域的证书,并且其中,该处理器被配置为控制安装在电子装置中的应用从多个SP接收多个SP中的每一个SP的证书;从多个SP当中的第一SP接收第一签名数据;以及通过使用从第一SP接收的第一SP的证书来认证第一签名数据,并从第一签名数据中获得第一SP的经加密的密钥,并且其中,安装在安全区域中的安全域被配置为:通过使用安全域的私用密钥对第一SP的经加密的密钥进行解密,以及将第一SP的解密出的密钥存储在安全域的多个实例当中的与第一SP相对应的第一实例中。
根据本公开的另一个方面,提供了一种存储有程序的非暂时性计算机可读记录介质,所述程序在由电子装置执行时,使电子装置执行对用于访问多个服务的密钥进行管理的方法。该方法包括:由电子装置的安全区域中的安全域向多个SP发送安全域的证书;由安装在电子装置中的应用从多个SP接收多个SP中的每一个SP的证书;由应用从多个SP当中的第一SP接收第一签名数据;由应用使用从第一SP接收的第一SP的证书来认证第一签名数据,并从第一签名数据中获得第一SP的经加密的密钥;由安全域使用安全域的私用密钥对第一SP的经加密的密钥进行解密;以及将第一SP的解密出的密钥存储在安全域的多个实例当中的与第一SP相对应的第一实例中。
具体实施方式
在下文中,将参考附图对本公开的实施例进行详细地描述,使得本公开的实施例可以由本领域技术人员容易地实现。然而,本公开可以以许多不同的形式体现并且不局限于在本文阐述的本公开的实施例。关于附图的描述,可以通过类似的附图标记来标记类似的组件。
在本公开中,考虑本公开的功能来选择最近已经广泛使用的通用术语,但是可以根据现有技术中的技术人员的意图、惯例或新技术选择各种其他术语。因此,本文使用的术语应当基于其含义被定义。
诸如第一和第二之类的术语可以用于描述各个部件,但是部件不应当受限于术语。这些术语仅用于将一个部件与另一部件区分开来。
本文使用的术语为了描述本公开的某些实施例的目的、不意图限制本公开。如在本文所使用的,单数表达也意图包括复数形式,除非该上下文清楚地另外指示其他。贯穿说明书,当元件被称为“连接”到另一元件时,将理解,该元件“直接连接”到其他元件或在其间具有另一元件的情况下“电连接”到其他元件。将理解,当元件被称为“包括”另一元件时,该元件还可以包括其他元件,除非另外指出。
贯穿本公开,表达“a、b或c中的至少一个”指示仅仅a;仅仅b;仅仅c;a和b两者;a和c两者;b和c两者;或a、b和c全部。
终端的示例可以包括用户设备(UE)、移动站(MS)、蜂窝电话、智能电话、计算机、或者能够执行通信功能的多媒体系统。
在本公开中,控制器也可以被称为处理器。
贯穿说明书,层(或层装置)也可以被称为实体。
如在本文使用的,“该”和“类似指示物”可以用于指示单数形式和复数形式两者。当不存在明确地指定根据本公开的方法的操作的顺序的描述时,可以按合适的顺序执行操作。本公开不局限于所描述的操作的顺序。
如在本文所使用的,“数字密钥”指的是数字化虚拟密钥并且用户能够通过使用数字密钥来控制或接入装置。本公开涉及对数字密钥进行管理的方法,并且术语“数字密钥”可以在下文被称为“密钥”。
出现在本说明书的各部分中的表达“在一个实施例中”并不意图指相同的实施例。
可以通过功能块配置和各种操作来表示本公开的一个实施例。可以通过用于执行某些功能的各种数量的硬件和/或软件配置来实现功能块的一些或全部。可以通过用于某功能的一个或更多个微处理器或电路配置来实现本公开的功能块。可以以各种编程语言或脚本语言来实现本公开的功能块。可以以由一个或更多个处理器运行的算法来实现功能块。
此外,在附图中示出的将元件连接的线或构件仅仅用于说明功能连接和/或物理连接或电路连接。在实际装置中,可以通过可更换或添加的各种功能连接、物理连接或电路连接来表示部件之间的连接。
通常,无线传感器网络技术根据识别的距离而被大致分类为无线局域网网络(WLAN)技术和无线个域网(WPAN)技术。在这种情况下,WLAN是基于电气和电子工程师学会(IEEE)802.11的技术,其用于连接到100米(m)半径内的骨干网络。WPAN是基于IEEE 802.15的技术,并且其示例包括BluetoothTM、ZigBeeTM和UWB。
其中实现这样的无线网络技术的无线网络可以包括多个通信电子装置。在这种情况下,多个通信电子装置通过使用单个信道在激活时段中建立通信。也就是说,多个通信电子装置可以在激活时段中收集和发送分组。
UWB可以指的是在基带状态中使用数GHz或更多的宽频带、低频谱密度和短脉冲宽度(1至4毫微秒(nsec))的短距离高速无线通信技术。UWB可以被理解为被应用UWB通信的波段。现在将基于UWB通信方法描述在电子装置之间执行的测距方法,但是UWB通信方法仅仅是示例,并且实际上可以使用各种无线通信技术。
电子装置可以包括体现为计算机装置的固定UE或移动UE,并且使用无线或有线通信方法与其他装置和/或服务器进行通信。例如,电子装置可以包括但不限于智能电话、移动终端、膝上型计算机、数字广播终端、个人数字助理(PDA)、便携式多媒体播放机(PMP)、导航设备、平板PC、平板机PC、数字电视(TV)、台式计算机、冰箱、投影仪、汽车、智能汽车以及打印机。
本公开的各种实施例涉及基于设备至设备(D2D)通信进行介质接入控制(MAC)的技术。
D2D通信指的是地理上相邻的电子装置在没有诸如基站的基础设施的情况下直接地与彼此进行通信的方式。电子装置可以按一对一方式、一对多方式或多对多方式进行通信。在D2D通信中,可以使用诸如无线保真(Wi-Fi)直连和蓝牙之类的未许可频带。或者,在D2D通信中,许可频带可以用于提高蜂窝系统的频率利用效率。尽管D2D通信限制性地用于指M2M通信或机器智能通信,但在本公开中,D2D通信意图不仅仅指的是具有通信功能的电子装置之间的通信,而且也指诸如智能电话或个人计算机之类的具有通信功能的各种类型的电子装置之间的通信。
本公开的各种实施例涉及如上所述的基于D2D通信的MAC,并且应当为MAC测量电子装置之间的距离。在这种情况下,UWB测距技术可以用于测量电子装置之间的距离。例如,当存储在智能电话中的数字密钥用于打开或关闭车辆的门时,车辆可以通过使用UWB通信模块来测量智能电话和车辆之间的距离,并基于测量的结果来估计智能电话的位置。车辆和智能电话能够使用多播测距或广播测距。
图1示出根据实施例的在提供接入服务时可能发生的安全威胁。
如图1所示,合法用户10和接入服务提供装置20可以使用D2D通信来执行认证和测距。在这种情况下,当根据由合法用户10和接入服务提供装置20执行的测距的结果值来保证认证时,存在安全攻击的可能性。攻击者30可以记录从合法用户10发送的信号并且向接入服务提供装置20重放记录的信号以攻击测距处理。攻击者30可以通过重放记录的信号而获得访问接入服务提供装置20的权限,使接入服务提供装置20将攻击者30错识为位于准许访问权限的范围内的合法用户10。
因此,可能需要基于预先共享的密钥来配置安全协议以减少在提供接入服务时可能发生的安全威胁。根据基于预先共享的密钥的安全协议,可以通过使用预先共享的密钥进行经加密的数据的交换而提高测距安全级别。
每个接入服务提供商可以具有基于唯一对称密钥的安全信道生成方法以保证安全性。因此,用于生成安全信道的安全密钥被考虑为不应当与其它实体(例如,其他接入服务提供商、其他商户或其他服务器)共享的核心资产。
为了安全地提供基于移动装置的接入服务,移动装置将重要信息(例如,将用于生成安全信道的密钥)存储在其中的安全区域(例如,安全元件或可信运行环境(TEE))中。TEE可以指由处理器中的安全区域提供的安全运行环境,在该处理器中正常区域和安全区域是分离的。其中存储有与接入服务有关的重要信息的安全区域可以仅仅可由提供该接入服务的提供商的应用被访问。因此,当移动装置必需使用多个接入服务时,将用于每个接入服务的应用安装在移动装置中可能是不便的。
使用安全信道的通信方法是允许移动装置安全地访问接入服务的方法,并且有必要在不向外部暴露用于保护对应的通信区段的密钥值的情况下生成快速且安全的安全会话。
为了进行UWB安全测距,可以通过蓝牙级安全信道来交换包括UWB会话密钥的主要UWB参数。因为将用于生成安全信道的密钥值被分类为提供接入服务时的重要资产,所以一些接入服务提供商可以具有它们自己的安全信道生成方法。
图2示出根据实施例的通用数字密钥管理系统,其中对于每个商户使用不同的密钥和不同的安全区域。
参考图2,公司A的后端服务器21可以发布密钥,并将密钥存储在移动装置200的安全区域210内的安全区域203中。在这种情况下,仅仅由公司A提供的专用应用201可以由其中安装有由公司A提供的小程序(或可信应用(TA))的安全区域203访问而使用存储的密钥。
移动装置200的安全区域210可以通过使用存储在安全区域203中的密钥与提供与公司A有关的接入服务的装置23建立安全通信。
公司B的后端服务器22可以发布密钥,并将密钥存储在移动装置200的安全区域210内的不同的安全区域204中。仅仅由公司B提供的专用应用202可以由其中安装有由公司B提供的小程序(或TA)的安全区域204访问而使用存储的密钥。
移动装置200的安全区域210可以通过使用存储在安全区域204中的密钥与提供与公司B有关的接入服务的装置24建立安全通信。
因为公司A和公司B通过使用不同的安全区域来管理不同的密钥,所以公司B的专用应用202不可由公司A的后端服务器21所生成的安全区域203访问。因此,公司A和公司B可以通过使用不同的安全区域来保证安全性。
然而,如图2所示,当使用用于每个商户的不同的小程序来管理密钥时,由公司提供的应用(或框架)不可由与由另一个公司提供的服务有关的安全区域访问,因此降低了可用性。
图3是用于说明通用实例生成方法与根据实施例的实例生成方法之间的差别的图。
参考图3,如安全区域310中所示,当服务提供商将其小程序安装在不同的安全域SD A和SD B中时,仅仅一个应用可由一个安全域访问。因此,因为一个应用不可由存储在另一个安全域中的实例中的密钥访问,所以不可能通过一个应用访问多个接入服务,由此降低了兼容性。
另一方面,当由服务提供商发布的密钥被存储在相同的安全区域中以提高兼容性时,安全问题(例如,明文恢复攻击)可能发生。当恶意服务提供商的小程序和诚实服务提供商的小程序被存储在相同的安全区域中时,恶意服务提供商可能拦截诚实服务提供商的经加密的消息来猜测隐藏在经加密的消息中的秘密查询。
因此,为了保证兼容性和安全性两者,本公开的一个实施例提供一种方法,其基于用于一个安全域的相同代码来生成多个实例并在分配给每一个实例的不同的安全区域中存储和管理密钥。
安全区域340包括嵌入式安全元件(eSE)320和/或TEE 330。在eSE 320中,可以基于关于安装在一个安全域中的小程序的相同的小程序(或代码)来生成多个实例,并且可以在分配给多个实例的不同的安全区域中存储和管理密钥。在TEE 330中,可以基于关于安装在一个安全域中的TA的相同的TA(或代码)来生成多个进程,并且可以在分配给多个进程的不同的安全区域中存储和管理密钥。
本公开的一个实施例包括一种方法,其:通过使用由每个接入服务商户管理的安全密钥来安全地生成安全信道,以及,提供一个用于访问用于每个接入服务商户的安全密钥的应用(或框架),由此提高了密钥管理的兼容性。本公开的一个实施例包括通过为每个接入服务提供商提供不同的安全区域来安全地配置安全信道的方法。本公开的一个实施例包括通过安全信道来安全地执行UWB安全测距的方法。
图4a示出根据实施例的密钥管理系统的安全区域的配置。
如图4a中所示,安全区域430根据其类型被划分为SE和TEE。在SE中,可以安装小程序,并且可以在小程序中生成至少一个实例来存储密钥。在TEE中,可以安装TA,并且可以在TA中生成至少一个进程(或实例)来存储密钥。
如图4a中所示,SE和TEE可以是具有不同的特性但是具有相同的结构的安全区域。现在将描述电子装置包括SE作为安全区域的情况。然而,本公开不局限于密钥由SE管理的实施例,而且也可适用于密钥由安装在TEE中的TA管理的情况。因此,在以下描述中,由SE和SE的小程序执行的操作可以由TEE和TA来执行,并且省略了冗余的描述。
图4b示出根据实施例的密钥管理系统的配置。
参考图4b,密钥管理系统中所包括的服务提供服务器41可以通过框架411将安全域安装在安全区域430中,并且基于内部地将安全区域彼此分离的公共小程序(或TA)431向每个商户分配实例。框架411可以访问分配给公共小程序(或TA)431的安全区域。每个商户可以通过将重要信息(例如,用于安全信道的密钥)单独地存储在分配给实例的安全区域中来使用分离的安全区域。
框架411指的是提供应用编程接口(API)形式的移动应用的可用功能的软件环境和/或硬件环境。框架411可以是系统开发套件(SDK)或者安装在AndroidTM系统中的应用。框架411可以是提供数字密钥管理服务的应用。框架411可以提供可由外部实体(例如,提供服务器、某公司的后端服务器或服务提供商服务器)访问的API,并且提供用于访问安全区域430的诸如访问控制和命令转换的功能。
在电子装置400的安全区域430中,可以安装由FiRa联盟提出的公共小程序(或TA)来用于数字密钥管理。实例可以指其中小程序通过安全域被安装和注册并且被实际运行的程序。当小程序实际被注册且被安装在注册表中并且被运行时,小程序可以被称为实例。通常,为一个小程序加载一个实例,但是在本公开中,可以通过向公共小程序分配多个实例来安全地管理多个密钥。
安全域指的是安装在安全区域中的用于控制、管理和保证小程序的应用。电子装置400可以基于为每个实例存储的重要信息来执行与接入服务提供装置43和接入服务提供装置45中的每一个的安全通信和安全测距。接入服务提供装置43和接入服务提供装置45可以是提供物理接入服务的实际UE(例如,门锁)。电子装置400可以通过使用BluetoothTM通信模块413来执行与接入服务提供装置43和接入服务提供装置45之一的安全通信,并且通过使用UWB通信模块415来执行与接入服务提供装置43和接入服务提供装置45之一的安全测距。当电子装置400执行安全测距时,安全UWB服务(SUS)小程序433可以支持UWB模块415与安全区域430之间的经加密的通信。
图5是根据实施例的密钥管理系统的运行方法的流程图。
参考图5,在步骤S510中,安全区域发布者将安全域安装在电子装置的安全区域中,并生成与多个SP相对应的多个实例。安全区域发布者可以包括例如TEE管理员和/或安全元件发布者(SEI)。
SP是对安装在电子装置的安全区域中的小程序进行使用的主体,并且可以指提供接入服务的公司的后端服务器。SP可以是应用提供商的服务器,其提供安装在电子装置中的用于向电子装置提供接入服务的应用。
在步骤S520中,多个SP中的每一个管理存储在对应于其的实例中的内容。存储在对应的实例中的内容可以包括例如由SP发布的安全密钥。由每个SP发布的密钥可以被存储在安装在安全区域中的公共小程序中所分配的多个实例之一中。
在步骤S530中,在安装在电子装置的安全区域中的小程序与接入服务提供装置之间设立安全信道。电子装置可以通过使用存储在实例中的密钥来执行实例与接入服务提供装置之间的相互认证,并设立BluetoothTM级安全信道。
在步骤S540中,在电子装置的安全区域中的实例与接入服务提供装置之间设立UWB会话密钥。可以使用在步骤S530中生成的安全信道来生成UWB会话密钥。以下将参考图7和图8对与UWB会话密钥的生成有关的实施例进行详细地描述。
以下将参考图6对由电子装置执行的对用于访问多个服务的密钥进行管理的方法进行详细地描述。
参考图6,在步骤S610中,安装在电子装置400的安全区域中的安全域向多个SP发送安全域的证书。
在安全域发送其证书之前,安装在电子装置400中的框架可以将安全域安装在安全区域中。框架可以基于从安全区域发布者接收的信息在安全区域中生成安全域。框架可以实例化安全域以生成多个实例。多个实例可以对应于多个SP。以下将参考图9对生成实例的方法进行详细地描述。
电子装置400可以向多个SP发送包括安全域的公共密钥的证书。
在步骤S620中,安装在电子装置400中的框架从多个SP接收多个SP的证书。
电子装置400可以从多个SP中的每一个SP接收包括多个SP中的每一个SP的公共密钥的证书。
在步骤S630中,安装在电子装置400中的框架从多个SP当中的第一SP接收第一签名数据。
从第一SP接收的第一签名数据可以包括:使用安全域的公共密钥加密的第一SP密钥以及使用第一SP的私用密钥的签名。第一SP可以使用提前存储的安全域的公共密钥对第一SP密钥进行加密,并且通过使用第一SP的私用密钥对经加密的第一SP密钥进行签名。第一SP密钥可以是对称密钥,该对称密钥供第一SP使用以通过安全信道提供接入服务。
在步骤S640中,安装在电子装置400中的框架通过使用从第一SP接收的第一SP证书对第一签名数据进行认证,并且从第一签名数据中获得经加密的第一SP密钥。
框架可以通过使用第一SP的公共密钥来认证第一签名数据,并且从认证的第一签名数据中获得经加密的第一SP密钥。
在步骤S650中,电子装置400的安全区域中的安全域从框架接收经加密的第一SP密钥,并且通过使用安全域的私用密钥对经加密的第一SP密钥进行解密。
在步骤S660中,电子装置400的安全区域中的安全域将解密出的第一SP密钥存储在分配给第一实例的安全区域中,该第一实例对应于安全域的多个实例当中的第一SP。
电子装置400可以生成用于多个SP中的每一个SP的实例,并且将多个SP中的每一个SP的密钥存储到对应于其的实例。多个SP中的每一个SP可以通过将密钥提供给电子装置的对应的实例来安全地对密钥进行管理。
框架可以从多个SP当中的第二SP接收第二签名数据。框架可以通过使用从第二SP接收的第二SP证书来认证第二签名数据,并且从第二签名数据中获得经加密的第二SP密钥。安全域可以从框架接收经加密的第二SP密钥,并且通过使用安全域的私用密钥对经加密的第二SP密钥进行解密。安全域可以将解密出的第二SP密钥存储在分配给第二实例的安全区域中,该第二实例对应于安全域的多个实例当中的第二SP。
如上所述,通过向每个SP分配实例来保证电子装置的安全区域内的分离的安全区域,密钥管理系统可以保证安全性。
因此,电子装置400可以通过使用存储在第一实例中的第一SP密钥来执行提供与第一SP有关的接入服务的第一装置与第一实例之间的相互认证,并设立安全信道。例如,电子装置400和第一装置可以通过使用BluetoothTM通信方法来设立安全信道。
电子装置400的第一实例可以使用第一SP密钥来生成会话密钥并且通过安全信道与第一装置交换会话密钥。另外,电子装置400的第一实例可以通过BluetoothTM安全信道将UWB参数与会话密钥一起交换。
电子装置400可以通过使用会话密钥作为用于生成UWB会话密钥的输入值来提高UWB测距的安全级别。例如,电子装置400可以通过使用利用第一SP密钥生成的会话密钥来直接地生成UWB会话密钥。另外地或替换地,电子装置400可以接收由第一装置基于利用第一SP密钥生成的会话密钥所生成的UWB会话密钥。
电子装置400可以通过发送或接收包括使用UWB会话密钥生成的加扰时间戳序列(STS)的代码的测距帧来执行测距。电子装置400可以通过使用UWB通信方法来发送或接收测距帧。
STS是仅为参与测距的两个电子装置所知的密码序列。两个电子装置中的每一个可以通过使用确定性随机位生成器(DRBG)从UWB会话密钥计算STS。当用作发送器的电子装置发送包括STS的测距帧时,用作接收器的电子装置可以验证所接收的STS和计算出的STS是否是相同的值。当验证出所接收的STS和计算出的STS是相同的值时,用作接收器的电子装置可以信任所接收的信息并因此通过使用该信息来执行安全测距。
图7是根据实施例的电子装置的运行方法的详细流程图。
参考图7,在步骤711中,由安全区域发布者将安全域安装在电子装置400的安全区域中。在步骤713中,电子装置400的框架从安全区域发布者接收将要在安全域中使用的密钥,并将密钥存储在安全域中。在步骤715中,由安全区域发布者在电子装置400的安全区域中的安全域中生成多个实例。在步骤717中,SP或安全域提供商可以对安全域的实例进行个性化。为了实例的个性化,SP或安全域提供商可以将数据存储在步骤715中生成的实例中。在该情况下,存储在实例的个性化中的数据可以包括将保护的重要值以外的值,使得值可以被初始化。
在步骤721中,安全域从框架接收经加密的数据。在步骤723中,安全域对经加密的数据进行解密。在步骤725中,将经解密数据存储在实例中。例如,经解密数据可以包括用于生成安全信道的密钥。
在步骤731中,电子装置400从外部装置(例如,诸如门锁的提供接入服务的装置)接收生成安全信道的请求。
在步骤733中,电子装置400基于存储在安全区域的实例中的密钥来执行与外部装置的相互认证。通过使用BluetoothTM通信方法与外部装置交换应用协议数据单元(APDU)来执行相互认证,电子装置400可以生成安全信道。
在步骤735中,电子装置400生成会话密钥。在步骤736中,电子装置400生成UWB会话密钥。在步骤741中,电子装置400的UWB通信模块生成STS代码。在步骤743中,UWB通信模块使用STS代码来执行安全测距。
图8是根据实施例的电子装置的运行方法的详细流程图。
图8的步骤711至步骤735与图7的步骤711至步骤735相同,并且因此将省略其冗余描述。与图7的实施例不同,根据图8的实施例,电子装置400可以从外部装置接收UWB会话密钥,而不直接生成UWB会话密钥。
在步骤737中,电子装置400使用会话密钥来执行基于安全信道的数据交换。在步骤739中,电子装置400从外部装置接收UWB会话密钥。在这种情况下,所接收的UWB会话密钥可以是基于交换的会话密钥生成的。在步骤741中,电子装置400的UWB通信模块生成STS代码。在步骤743中,UWB通信模块使用生成的STS代码来执行安全测距。
图9是根据实施例的由密钥管理系统生成实例的方法的流程图。
参考图9,电子装置400的框架411请求安全区域发布者41安装安全域。安全区域发布者41是具有安装安全域的权限的最高权限主体,并且可以负责安全区域的所有操作。例如,安全区域发布者41可以体现为提供某服务的服务提供服务器或后端服务器。安全区域发布者41向框架发送代码(小程序)和与安装安全域有关的主要密钥值。向框架发送的主要密钥值可以包括例如安全域的对称密钥KS.SD、安全域的证书CERT.SD以及安全域的私用密钥SK.SD。
框架411可以基于从安全区域发布者41接收的值将安全域安装在安全区域中,并且可以安装小程序和主要密钥值。框架411可以通过使用从安全域发布者41接收的安全域的对称密钥KS.SD来设定安全信道而准备执行与安全域的安全通信。框架411可以通过使用安全域的对称密钥KS.SD来在安全域中生成实例。为了在安全域中生成实例,框架411可以基于安全域的对称密钥KS.SD、根据需要而反复地向安全域发送命令INSTALL/REGISTER。
图10是根据实施例的对存储在实例中的内容进行管理的方法的流程图,该方法由密钥管理系统来执行。
参考图10,安全域可以向第一SP 1001和第二SP 1002发送安全域的证书CERT.SD。安全域的证书CERT.SD可以包括安全域的公共密钥Pub.SD。第一SP 1001和第二SP 1002可以存储安全域的公共密钥Pub.SD。
第一SP 1001可以向框架411发送其证书CERT.SP-1,并且框架411可以存储被包括在证书CERT.SP-1中的第一SP 1001的公共密钥Pub.SP-1。类似地,第二SP 1002可以向框架411发送其证书CERT.SP-2,并且框架411可以存储被包括在证书CERT.SP-2中的第二SP1002的公共密钥Pub.SP-2。
如图10所示,可以通过安全域和SP的证书的交换来提前配置可信边界。因此,当安全通信是基于交换的证书的值时,安全域和SP可以信任稍后建立的安全通信。
图11是根据实施例的对存储在实例中的内容进行管理的方法的流程图,该方法由密钥管理系统来执行。
SP可以基于在图10中示出的进程中交换的证书向实例发送密钥。
参考图11,第一SP 1001可以通过使用安全域的公共密钥Pub.SD对第一SP密钥KS.SP-1进行加密,并且通过使用第一SP 1001的私用密钥SK.SP-1对经加密的数据进行签名。第一SP 1001可以向框架411发送签名数据。框架411可以通过使用先前存储的第一SP1001的公共密钥Pub.SP-1对从第一SP 1001接收的第一签名数据进行认证。框架411可以从认证的第一签名数据中获得第一经加密的数据。
第二SP 1002可以通过使用安全域的公共密钥Pub.SD对第二SP密钥KS.SP-2进行加密,并且通过使用第二SP 1002的私用密钥SK.SP-2对经加密的数据进行签名。第二SP1002可以向框架411发送签名数据。框架411可以通过使用先前存储的第二SP 1002的公共密钥Pub.SP-2对从第二SP 1002接收的第二签名数据进行认证。框架411可以从认证的第二签名数据中获得第二经加密的数据。
框架411可以通过使用安全域的对称密钥KS.SD设立的安全信道来发送从签名数据中获得的经加密的数据。安全域可以通过使用安全域的私用密钥SK.SD对经加密的数据进行解密。安全域可以通过对第一经加密的数据进行解密来从第一经加密的数据中获得第一SP 1001的对称密钥KS.SP-1。安全域可以通过对第二经加密的数据进行解密来从第二经加密的数据中获得第二SP 1002的对称密钥KS.SP-2。
安全域可以将解密出的密钥存储在对应的实例中。例如,第一SP 1001的对称密钥KS.SP-1可以被存储在分配给第一SP 1001的第一实例中。第二SP 1002的对称密钥KS.SP-2可以被存储在分配给第二SP 1002的第二实例中。
图12是用于说明使用CASD的通用装置(1200)的密钥管理方法与根据实施例的装置(400)的密钥管理方法之间的差别的图。
参考图12,在框1201中,安全区域(1230)中的CASD对从SP接收的数据进行解密并且向小程序发送解密出的值。小程序存储解密出的值。因此,因为CASD应当能够读取所有经加密的值,所以所有SP应当信任CASD并且框1201的方法并不高效。
相比之下,根据由图12的框1203中示出的装置(400)执行的新提出的方法,一个框架可以以集总方式管理存储在安全区域(430)中的多个实例中的密钥,由此提高兼容性。另外,由SP单独地管理的密钥可以被加密并发送到安全域且被存储在分离的安全区域中,由此提高安全性。
图13是根据实施例的由密钥管理系统执行安全测距的方法的流程图。
参考图13,电子装置400可以生成会话密钥以执行与提供接入控制服务的第一装置1301和第二装置1302的安全测距。
第一装置1301提供与第一SP有关的接入控制服务并存储与第一SP有关的密钥KS.SP-1,第一装置1301可以请求第一实例生成安全信道,该第一实例存储从第一SP提供的密钥KS.SP-1。第一实例可以基于存储的密钥KS.SP-1执行与第一装置1301的相互认证并且生成会话密钥。第一实例可以与第一装置1301交换随机值(例如,密文),并且基于存储的密钥KS.SP-1和随机值来生成会话密钥SP-1。例如,第一实例和第一装置1301可以通过安全协议SCP03生成会话密钥。
针对每个会话生成的会话密钥可以用作为了生成UWB会话密钥而被输入的值。第一实例可以向SUS小程序433发送会话密钥SP-1,并且SUS小程序433可以向UWB通信模块415(例如,UWB芯片集(UWBC))发送会话密钥SP-1。UWB通信模块415可以基于会话密钥SP-1来配置UWB会话密钥。或者,第一实例可以基于会话密钥SP-1来生成UWB会话密钥并且向UWB通信模块415发送UWB会话密钥。UWB通信模块415可以基于UWB会话密钥生成STS代码。UWB通信模块415可以通过发送或接收包括STS代码的测距帧来实现安全测距。
可以以如上所述相同的方式生成第二装置1302与第二实例之间的安全信道,并且可以基于安全信道执行UWB安全测距。例如,第二装置1302提供与第二SP有关的接入控制服务并存储与第二SP有关的密钥KS.SP-2,第二装置1302可以请求第二实例生成安全信道,该第二实例存储从第二SP提供的密钥KS.SP-2。第二实例可以执行与第二装置1302的相互认证,并且基于存储的密钥KS.SP-2来生成会话密钥。第二实例可以与第二装置1302交换随机值(例如,密文),并且基于存储的密钥KS.SP-2和随机值来生成会话密钥SP-2。
图14是示出根据实施例的对多个密钥进行管理的电子装置400的配置的图。
电子装置400可以包括个性化移动装置、但是不限于此,并且可以包括各种类型的电子装置。例如,电子装置400可以包括智能电话、平板机PC、PC、相机以及可穿戴设备。
参考图14,电子装置400包括通信器410、存储器420、安全区域430、处理器440以及将这些部件连接的总线450。
通信器410可以执行与另一个装置或网络的有线或无线通信。为此目的,通信器410可以包括支持各种有线和无线通信方法中的至少一者的通信模块。通信模块可以是芯片集的形式,或者可以是存储通信所必要的信息的贴纸/条形码(例如,具有NFC标签的贴纸)。
无线通信可以包括蜂窝通信、Wi-Fi、直通Wi-Fi、Bluetooth、UWB或NFC中的至少一者。有线通信可以包括通用串行总线(USB)或者高清晰度多媒体接口(HDMI)中的至少一者。
通信器410可以包括用于短程通信的通信模块。通信模块可以建立各种短距离通信,诸如红外通信和磁安全传输(MST)通信,以及如上所述的Wi-Fi、Wi-Fi直连、Bluetooth和NFC。
诸如程序(例如,应用)和文件之类的各种类型的数据可以安装和存储在存储器420中。处理器440可以访问和使用存储在存储器420中的数据或者将新的数据存储在存储器420中。用于数字密钥管理的程序(例如,框架)和数据可以安装和存储在存储器420中。
存储器420可以包括以下存储介质中的至少一个类型的存储介质:闪存类型存储介质、硬盘类型存储介质、多媒体卡微型存储介质、卡类型存储器(例如,安全数字(SD)存储器或者极速卡(XD)存储器)、随机存取存储器(RAM)、静态随机存取存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、或光盘。
电子装置400可以包括安全区域,并且安全区域可以执行诸如生成、删除并管理用于控制或访问外部装置的数字密钥以及对该数字密钥进行认证之类的处理。此外,安全域可以通过对访问数字密钥的外部实体(例如,服务提供服务器)进行认证并且验证外部实体的权限来提供安全地管理数字密钥的功能。安全区域可以包括SE和/或TEE。
安全区域430是电子装置400的独立且安全的存储装置,并且可仅仅通过经认证的应用被访问。安全区域430可以被配置为与其他硬件部件物理隔离。用于管理数字密钥的程序和数据(例如,安全域和小程序)可以安装和存储在安全区域430中。
处理器440可以控制电子装置400的总体操作,并且可以包括诸如中央处理单元(CPU)或图形处理单元(GPU)之类的至少一个处理器。处理器440可以控制电子装置400中所包括的其他部件以执行用于数字密钥管理的操作。处理器440可以运行存储在存储器420和安全区域430中的程序、读取存储的文件,或者存储新文件。
处理器440可以通过使用框架从外部装置或应用接收处理数字密钥的请求,并且向安全区域的安全域和/或实例发送该请求和存储在框架中的认证信息。处理器440可以通过基于处理数字密钥的请求、从框架接收的认证信息以及存储在安全区域430中的认证信息,使用在安全区域430中运行的小程序来处理数字密钥。在这里,数字密钥的处理可以包括生成、删除或管理数字密钥中的至少一个操作。
处理器440可以通过使用框架、基于从安全区域发布者接收的信息来在安全区域430中生成安全域。处理器440可以通过实例化安全域来生成多个实例。处理器440可以生成对应于多个SP的多个实例。
安全区域430可以向多个SP发送安全域的证书。安全域的证书可以包括安全域的公共密钥。
处理器440可以通过使用安装在电子装置400中的框架来从多个SP接收多个SP中的每一个SP的证书。多个SP中的每一个SP的证书可以包括多个SP中的每一个SP的公共密钥。
处理器440可以通过使用框架从多个SP当中的第一SP接收第一签名数据,并且通过使用从第一SP接收的第一SP证书来认证第一签名数据。从第一SP接收的第一签名数据可以包括:使用安全域的公共密钥加密的第一SP密钥以及使用第一SP的私用密钥的签名。
处理器440可以从经认证的第一签名数据获得经加密的第一SP密钥,并且通过使用框架向安全区域430的安全域发送经加密的第一SP密钥。
安全区域430的安全域可以通过使用安全域的私用密钥对经加密的密钥进行解密,并且将解密出的密钥存储在分配给安全域的多个实例之一的安全区域中。
安全区域430的安全域可以通过使用安全域的私用密钥对经加密的第一SP密钥进行解密,并且将解密出的第一SP密钥存储在分配给第一实例的安全区域中,该第一实例对应于多个安全域当中的第一SP。
处理器440可以进一步通过使用框架从多个SP当中的第二SP接收第二签名数据,并且通过使用从第二SP接收的第二SP证书来认证第二签名数据。从第二SP接收的第二签名数据可以包括:使用安全域的公共密钥加密的第二SP密钥以及使用第二SP的私用密钥的签名。
处理器440可以从认证的第二签名数据获得经加密的第二SP密钥,通过使用框架向安全区域430的安全域发送经加密的第二SP密钥。
安全区域430的安全域可以通过使用安全域的私用密钥对经加密的第二SP密钥进行解密,并且将解密出的第二SP密钥存储在安全域的多个实例当中的对应于第二SP的第二实例中。
安全区域430的安全域可以通过使用存储在第一实例中的第一SP密钥来执行与第一装置的相互认证(该第一装置提供与第一SP有关的接入服务),并设立安全信道。电子装置400和第一装置可以通过使用BluetoothTM通信方法来设立安全信道。
电子装置400可以使用会话密钥作为用于生成UWB会话密钥的输入值。例如,电子装置400可以通过使用利用第一SP密钥生成的会话密钥来直接地生成UWB会话密钥。另外地或替换地,电子装置400可以接收并利用由第一装置基于利用第一SP密钥生成的会话密钥所生成的UWB会话密钥。
电子装置400的通信器410的UWB通信模块可以通过发送或接收包括通过UWB会话密钥生成的STS代码的测距帧来执行与第一装置的测距。
总线450是连接通信器410、存储器420、安全区域430和处理器440的公共数据传输路径。
图15是根据实施例的安全区域430的框图。
参考图15,安全区域430包括通信接口1510、存储器1520和处理器1530。
安全区域430是电子装置400的独立且安全的存储装置,并且可仅仅通过经认证的应用被访问。安全区域430可以包括TEE、eSE、通用集成电路卡(UICC)、SD卡、嵌入UICC(eUICC)和单独安全处理单元(SPU),其是硬件和软件的组合或采用硬件方法。
通信接口1510可以与主机101进行通信。通信接口1510可以包括各种有线/无线通信接口中的至少一者用于与主机101进行通信。在这里,主机101可以是电子装置400中所包括的装置之一,并且可以包括应用处理器(AP)和存储器。通信接口1510可以是串行接口,诸如国际标准化组织7816、USB、交互集成电路(I2C)、串行外设接口(SPI)、单线缆协议(SWP)、或通常用于两个硬件装置之间的通信的串行接口。或者,通信接口1510可以是无线接口,诸如ISO 14443、ZigBeeTM或BluetoothTM,其直接地将天线连接到硬件装置。此外,通信接口1510可以是连接到电子装置400的中央总线BUS的并行接口,并且可以包括从主机101接收命令和数据的缓冲器。
诸如程序(例如,应用)和文件之类的各种类型的数据可以安装和存储在存储器1520中。处理器1530可以访问和使用存储在存储器1520中的数据或者将新的数据存储在存储器1520中。用于处理数字密钥的程序和数据可以安装和存储在存储器1520中。存储器1520可以是非易失性存储器件。
处理器1530可以控制安全区域430的总体操作,并且可以包括诸如CPU或GPU之类的至少一个处理器。处理器1530可以控制安全区域430中所包括的其他部件以执行用于处理数字密钥的操作。例如,处理器1530可以运行存储在存储器1520中的程序、从存储器1520中读取存储的文件、或者将新文件存储在存储器1520中。处理器1530可以运行存储在存储器1520中的程序以执行用于处理数字密钥的操作。
包括安全区域430的电子装置400还可以包括框架。框架是当安全区域430被外部实体访问时用作网关的服务应用。框架可以提供可由外部实体访问的API,并且提供诸如用于访问安全区域430的访问控制和命令转换的功能。外部实体可以是安全区域发布者、SP和/或接入服务提供装置。
轻量级应用(例如,小程序或TA)可以在安全区域430中被安装和驱动。小程序可以将数字密钥存储在安全区域430中,并且提供诸如使用、删除和管理存储的密钥之类的服务。可以将小程序提前安装在安全区域430中,或稍后根据需要将其加载或安装在安全区域430中。
图16是根据实施例的用于说明电子装置的操作的图。
如图16中所示,电子装置400可以在安全区域430中基于相同的小程序或TA来生成实例,并且将用于安全通信的加密密钥中的每一个加密密钥存储在实例之一中。实例B存储与由装置B 1601提供的接入服务有关的密钥KB,实例C存储与由装置C 1603提供的接入服务有关的密钥KC。
在图16的图中,AID是表示小程序的标识符并且可以用于调用小程序(或实例)和/或TA。例如,公共小程序的标识符是AA,实例B的标识符是BB,实例C的标识符是CC,实例D的标识符是DD。
电子装置400可以通过使用BluetoothTM通信模块413向外部装置1601和外部装置1603中的一者发送使用存储在每个实例中的密钥生成的会话密钥。另外,电子装置400可以从会话密钥中得出UWB会话密钥,并且使用UWB会话密钥来执行与外部装置1601和外部装置1603之一的UWB安全测距。
实例B可以通过使用存储的密钥KB来执行与装置B 1601的相互认证。实例B可以通过使用存储的密钥KB来生成会话密钥,并且通过使用BluetoothTM通信模块413向装置B1601发送会话密钥。实例B可以从会话密钥中得出UWB会话密钥,或者可以从装置B 1601接收UWB会话密钥。实例B可以向UWB通信模块415发送UWB会话密钥,并且UWB通信模块415可以通过使用UWB会话密钥执行与装置B 1601的安全测距。
实例C可以通过使用存储的密钥KC来类似地执行与装置C 1603的相互认证。实例C可以通过使用存储的密钥KC来生成会话密钥,并且通过使用BluetoothTM通信模块413向装置C 1603发送会话密钥。实例C可以从会话密钥中得出UWB会话密钥,或者可以从装置C1603接收UWB会话密钥。实例C可以向UWB通信模块415发送UWB会话密钥,并且UWB通信模块415可以通过使用UWB会话密钥执行与装置C 1603的安全测距。
当不存在存储在实例中的密钥时,电子装置400可以使用安全域的密钥来执行安全认证和加密。
因为与装置D 1605进行通信的实例D没有存储密钥,所以可以使用密钥Priv-S、安全域的CERT-S。实例D可以通过使用密钥Priv-S、安全域的CERT-S来执行与装置D 1605的相互认证,并生成会话密钥。实例D可以从会话密钥中得出UWB会话密钥,或者可以从装置D1605接收UWB会话密钥。实例D可以向UWB通信模块415发送UWB会话密钥,并且UWB通信模块415可以通过使用UWB会话密钥执行与装置D 1605的安全测距。
在本文阐述的本公开的实施例可以被实现为包括存储在计算机可读存储介质中的指令的软件程序。
计算机指的是在本文阐述的根据本公开的实施例的、能够调用存储在存储介质中的指令并根据被调用的指令运行的装置,并且可以包括图像发送装置和图像接收装置。
可以将计算机可读存储介质提供为非暂时性存储介质。在这里,术语“非暂时性”意指:存储介质不包括信号且有形,但是不指示数据被半永久地还是暂时地存储在存储介质中。例如,“非暂时性存储介质”可以包括其中暂时地存储数据的缓冲器。
根据在本文阐述的实施例的电子装置或方法可以通过被包括在计算机程序产品中被提供。计算机程序产品可作为产品在销售者和购买者之间进行交易。
计算机程序产品可以包括软件程序和存储软件程序的计算机可读存储介质。计算机程序产品可以包括软件程序的形式的产品(例如,可下载的应用),该软件程序通过电子装置的制造商或通过电子市场(例如,Google Play StoreTM或App StoreTM)来电子地发布。为了计算机程序产品的电子发布,软件程序的至少一部分可以被存储在存储介质中或被暂时地生成。在该情况下,存储介质可以是制造商的服务器的存储介质、电子市场的服务器、或者暂时地存储软件程序的转发服务器的存储介质。
在包括服务器和UE的系统中,计算机程序产品可以包括服务器的存储介质或UE的存储介质。或者,当存在能够与服务器或UE建立通信的第三装置(例如,智能电话)时,计算机程序产品可以包括第三装置的存储介质。或者,计算机程序产品可以包括从服务器向UE或第三装置发送的或者从第三装置向UE发送的软件程序。
在这种情况下,服务器、UE或者第三装置可以运行计算机程序产品以执行根据在本文阐述的本公开的实施例的方法。或者,服务器、UE和第三装置当中的两者或更多者可以运行计算机程序产品以通过分布式方式执行根据在本文阐述的本公开的实施例的方法。
例如,服务器(例如,云服务器或者人工智能服务器)可以运行存储在服务器中的计算机程序产品以通过通信控制连接到其的UE来执行根据在本文阐述的本公开的实施例的方法。
另外地或者替换地,第三装置可以运行计算机程序产品以控制连接到其的UE来执行根据在本文阐述的本公开的实施例的方法。
当第三装置运行计算机程序产品时,第三装置可以从服务器下载计算机程序产品并且运行下载的计算机程序产品。或者,第三装置可以运行以预加载状态提供的计算机程序产品以执行根据在本文阐述的本公开的实施例的方法。
尽管已经参考其某些实施例具体示出和描述了本公开,但那些本领域普通技术人员应当理解,在不背离如所附权利要求和它们的等同物所限定的本公开的精神和范围的情况下,可以在其中进行形式和细节的各种改变。
Claims (15)
1.一种由电子装置执行的对用于访问多个服务的密钥进行管理的方法,所述方法包括:
由所述电子装置的安全区域中的安全域SD向多个服务提供商SP发送所述SD的证书,其中所述SD是安装在所述安全区域中的用于控制、管理或保证小程序的应用,所述小程序与所述SD的多个实例相关联;
由安装在所述电子装置中的框架从所述多个SP接收所述多个SP中的每一个SP的证书;
由所述框架从所述多个SP当中的第一SP接收第一签名数据;
由所述框架使用从所述第一SP接收的所述第一SP的证书来认证所述第一签名数据,并从所述第一签名数据中获得所述第一SP的经加密的密钥;
由所述SD使用所述SD的私用密钥对所述第一SP的经加密的密钥进行解密;以及
将所述第一SP的解密出的密钥存储在所述SD的多个实例当中的与所述第一SP相对应的第一实例中。
2.根据权利要求1所述的方法,所述方法进一步包括:由所述框架生成所述SD的与所述多个SP相对应的多个实例。
3.根据权利要求2所述的方法,其中,生成所述多个实例包括:
由所述框架基于从安全区域发布者接收的信息将所述SD安装在所述安全区域中;以及
通过实例化所述SD来生成所述多个实例。
4.根据权利要求1所述的方法,其中,所述SD的证书包括所述SD的公共密钥,
其中,所述多个SP中的每一个SP的证书包括所述多个SP中的每一个SP的公共密钥,并且
其中,所述第一SP的密钥是对称密钥,所述对称密钥供所述第一SP使用以通过安全信道提供接入服务。
5.根据权利要求1所述的方法,其中,从所述第一SP接收的所述第一签名数据包括:
所述第一SP的密钥,所述第一SP的密钥是使用所述SD的公共密钥加密的;以及
使用了所述第一SP的私用密钥的签名。
6.根据权利要求1所述的方法,其中,从所述第一签名数据获得所述第一SP的经加密的密钥包括:通过使用所述第一SP的公共密钥来认证所述第一签名数据。
7.根据权利要求1所述的方法,所述方法进一步包括:
由所述框架从所述多个SP当中的第二SP接收第二签名数据;
由所述框架使用从所述第二SP接收的所述第二SP的证书来认证所述第二签名数据,并从所述第二签名数据中获得所述第二SP的经加密的密钥;
由所述SD使用所述SD的私用密钥对所述第二SP的经加密的密钥进行解密;以及
将所述第二SP的解密出的密钥存储在所述SD的多个实例当中的与所述第二SP相对应的第二实例中。
8.根据权利要求1所述的方法,所述方法进一步包括:
通过使用存储在所述第一实例中的所述第一SP的密钥来执行提供与所述第一SP有关的接入服务的第一装置与所述第一实例之间的相互认证,以及设立安全信道;
由所述第一实例使用所述第一SP的密钥来生成会话密钥,以及通过所述安全信道向所述第一装置发送所述会话密钥;
通过使用所述会话密钥来生成超宽带UWB会话密钥;以及
通过发送或接收包括加扰时间戳序列STS代码的测距帧来执行测距,所述加扰时间戳序列STS代码是使用所述UWB会话密钥生成的。
9.根据权利要求8所述的方法,其中,设定所述安全信道包括通过使用蓝牙通信方法来设立所述安全信道,以及
其中,执行所述测距包括:通过使用UWB通信方法来发送或接收所述测距帧。
10.根据权利要求1所述的方法,所述方法进一步包括:
通过使用存储在所述第一实例中的第一SP的密钥来执行提供与所述第一SP有关的接入服务的第一装置与所述第一实例之间的相互认证,以及设立安全信道;
由所述第一实例使用所述第一SP的密钥来生成会话密钥,以及通过所述安全信道向所述第一装置发送所述会话密钥;
通过所述安全信道接收超宽带UWB会话密钥;以及
通过发送或接收包括加扰时间戳序列STS代码的测距帧来执行测距,所述加扰时间戳序列STS代码是使用所述UWB会话密钥生成的。
11.一种电子装置,所述电子装置包括:
安全区域,所述安全区域被配置为存储所述电子装置访问多个服务的密钥;以及
处理器,所述处理器连接到所述安全区域,
其中,安装在所述安全区域中的安全域SD被配置为向多个服务提供商SP发送所述安全域的证书,其中所述SD是用于控制、管理或保证小程序的应用,所述小程序与所述SD的多个实例相关联,
其中,所述处理器被配置为控制安装在所述电子装置中的框架:
从所述多个SP接收所述多个SP中的每一个SP的证书;
从所述多个SP当中的第一SP接收第一签名数据;以及
通过使用从所述第一SP接收的所述第一SP的证书来认证所述第一签名数据,并从所述第一签名数据中获得所述第一SP的经加密的密钥,并且
其中,安装在所述安全区域中的所述安全域被进一步配置为:
通过使用所述安全域的私用密钥对所述第一SP的经加密的密钥进行解密,以及
将所述第一SP的解密出的密钥存储在所述安全域的多个实例当中的与所述第一SP相对应的第一实例中。
12.根据权利要求11所述的电子装置,其中,所述处理器被进一步配置为控制所述框架生成所述安全域的与所述多个SP相对应的多个实例。
13.根据权利要求12所述的电子装置,其中,所述处理器被进一步配置为控制所述框架:
基于从安全区域发布者接收的信息将所述安全域安装在所述安全区域中,以及
通过实例化所述安全域来生成所述多个实例。
14.根据权利要求11所述的电子装置,其中,所述处理器被进一步配置为控制所述框架:
从所述多个SP当中的第二SP接收第二签名数据,
通过使用从所述第二SP接收的所述第二SP的证书来认证所述第二签名数据,以及
从所述第二签名数据中获得所述第二SP的经加密的密钥,并且
其中,安装在所述安全区域中的所述安全域被进一步配置为:
通过使用所述安全域的私用密钥对所述第二SP的经加密的密钥进行解密,以及
将所述第二SP的解密出的密钥存储在所述安全域的多个实例当中的与所述第二SP相对应的第二实例中。
15.一种存储有程序的计算机可读记录介质,所述程序在由电子装置执行时,使所述电子装置执行对用于访问多个服务的密钥进行管理的方法,其中,所述方法包括:
由所述电子装置的安全区域中的安全域SD向多个服务提供商SP发送所述SD的证书,其中所述SD是安装在所述安全区域中的用于控制、管理或保证小程序的应用,所述小程序与所述SD的多个实例相关联;
由安装在所述电子装置中的框架从所述多个SP接收所述多个SP中的每一个SP的证书;
由所述框架从所述多个SP当中的第一SP接收第一签名数据;
由所述框架使用从所述第一SP接收的所述第一SP的证书来认证所述第一签名数据,并从所述第一签名数据中获得所述第一SP的经加密的密钥;
由所述安全域使用所述SD的私用密钥对所述第一SP的经加密的密钥进行解密;以及
将所述第一SP的解密出的密钥存储在所述安全域的多个实例当中的与所述第一SP相对应的第一实例中。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2019-0161837 | 2019-12-06 | ||
| KR20190161837 | 2019-12-06 | ||
| KR1020200117043A KR20210071815A (ko) | 2019-12-06 | 2020-09-11 | 전자 디바이스 및 전자 디바이스가 디지털 키들을 관리하는 방법 |
| KR10-2020-0117043 | 2020-09-11 | ||
| PCT/KR2020/017591 WO2021112603A1 (en) | 2019-12-06 | 2020-12-04 | Method and electronic device for managing digital keys |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410388875.7A Division CN118265029A (zh) | 2019-12-06 | 2020-12-04 | 对数字密钥进行管理的方法和电子装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114762290A CN114762290A (zh) | 2022-07-15 |
| CN114762290B true CN114762290B (zh) | 2024-04-19 |
Family
ID=76210356
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080082009.5A Active CN114762290B (zh) | 2019-12-06 | 2020-12-04 | 对数字密钥进行管理的方法和电子装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US11563730B2 (zh) |
| EP (2) | EP4312448A3 (zh) |
| CN (1) | CN114762290B (zh) |
| WO (1) | WO2021112603A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11552807B2 (en) * | 2017-09-18 | 2023-01-10 | Huawei Technologies Co., Ltd. | Data processing method and apparatus |
| US11792001B2 (en) * | 2021-01-28 | 2023-10-17 | Capital One Services, Llc | Systems and methods for secure reprovisioning |
| US11852711B2 (en) * | 2021-03-19 | 2023-12-26 | Meta Platforms Technologies, Llc | Systems and methods for ultra-wideband radio |
| US11924707B2 (en) * | 2021-09-28 | 2024-03-05 | Qualcomm Incorporated | Sensor data for ranging procedure |
| CN116660824A (zh) * | 2022-02-18 | 2023-08-29 | 北京小米移动软件有限公司 | 测距方法、装置、电子设备和存储介质 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101729493A (zh) * | 2008-10-28 | 2010-06-09 | 中兴通讯股份有限公司 | 密钥分发方法和系统 |
| CN101729245A (zh) * | 2008-10-24 | 2010-06-09 | 中兴通讯股份有限公司 | 密钥分发方法和系统 |
| WO2015193578A1 (fr) * | 2014-06-20 | 2015-12-23 | Peugeot Citroen Automobiles Sa | Procede et systeme d'authentification au moyen de jetons |
| CN106031087A (zh) * | 2014-02-21 | 2016-10-12 | 三星电子株式会社 | 用于认证客户端凭证的方法和设备 |
| US9503433B2 (en) * | 2014-03-27 | 2016-11-22 | Intel Corporation | Method and apparatus for cloud-assisted cryptography |
| CN107690771A (zh) * | 2015-06-10 | 2018-02-13 | 高通股份有限公司 | 服务提供商证书管理 |
| CN107766724A (zh) * | 2017-10-17 | 2018-03-06 | 华北电力大学 | 一种可信计算机平台软件栈功能架构的构建方法 |
| WO2018099606A1 (en) * | 2016-12-02 | 2018-06-07 | Gurulogic Microsystems Oy | Protecting usage of key store content |
| CN108282466A (zh) * | 2017-12-29 | 2018-07-13 | 北京握奇智能科技有限公司 | 用于在tee中提供数字证书功能的方法、系统 |
| WO2018231519A1 (en) * | 2017-06-12 | 2018-12-20 | Secturion Systems, Inc. | Cloud storage using encryption gateway with certificate authority identification |
| WO2019026038A1 (en) * | 2017-08-03 | 2019-02-07 | Entersekt International Limited | SYSTEM AND METHOD FOR AUTHENTICATING A TRANSACTION |
| WO2019051839A1 (zh) * | 2017-09-18 | 2019-03-21 | 华为技术有限公司 | 一种数据处理的方法及装置 |
| WO2019225921A1 (ko) * | 2018-05-23 | 2019-11-28 | 삼성전자 주식회사 | 디지털 키를 저장하기 위한 방법 및 전자 디바이스 |
Family Cites Families (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5742677A (en) * | 1995-04-03 | 1998-04-21 | Scientific-Atlanta, Inc. | Information terminal having reconfigurable memory |
| ATE419586T1 (de) * | 1995-02-13 | 2009-01-15 | Intertrust Tech Corp | Systeme und verfahren zur gesicherten transaktionsverwaltung und elektronischem rechtsschutz |
| US7000006B1 (en) * | 2001-05-31 | 2006-02-14 | Cisco Technology, Inc. | Implementing network management policies using topology reduction |
| US20030078987A1 (en) * | 2001-10-24 | 2003-04-24 | Oleg Serebrennikov | Navigating network communications resources based on telephone-number metadata |
| US20040003287A1 (en) * | 2002-06-28 | 2004-01-01 | Zissimopoulos Vasileios Bill | Method for authenticating kerberos users from common web browsers |
| US6996251B2 (en) * | 2002-09-30 | 2006-02-07 | Myport Technologies, Inc. | Forensic communication apparatus and method |
| US7978655B2 (en) * | 2003-07-22 | 2011-07-12 | Toshiba America Research Inc. | Secure and seamless WAN-LAN roaming |
| US20050229004A1 (en) * | 2004-03-31 | 2005-10-13 | Callaghan David M | Digital rights management system and method |
| US20060026418A1 (en) * | 2004-07-29 | 2006-02-02 | International Business Machines Corporation | Method, apparatus, and product for providing a multi-tiered trust architecture |
| KR101314751B1 (ko) * | 2006-01-26 | 2013-10-02 | 삼성전자주식회사 | 디알엠 설치 관리 방법 및 장치 |
| US10558961B2 (en) * | 2007-10-18 | 2020-02-11 | Wayne Fueling Systems Llc | System and method for secure communication in a retail environment |
| US9270663B2 (en) * | 2010-04-30 | 2016-02-23 | T-Central, Inc. | System and method to enable PKI- and PMI-based distributed locking of content and distributed unlocking of protected content and/or scoring of users and/or scoring of end-entity access means—added |
| US9356916B2 (en) * | 2010-04-30 | 2016-05-31 | T-Central, Inc. | System and method to use a cloud-based platform supported by an API to authenticate remote users and to provide PKI- and PMI-based distributed locking of content and distributed unlocking of protected content |
| US20120171992A1 (en) * | 2010-12-30 | 2012-07-05 | Sk C&C | System and method for secure containment of sensitive financial information stored in a mobile communication terminal |
| US9690941B2 (en) * | 2011-05-17 | 2017-06-27 | Microsoft Technology Licensing, Llc | Policy bound key creation and re-wrap service |
| AU2012332957B2 (en) | 2011-11-01 | 2015-07-02 | Google Llc | Systems, methods, and computer program products for managing secure elements |
| US9054874B2 (en) * | 2011-12-01 | 2015-06-09 | Htc Corporation | System and method for data authentication among processors |
| US8429409B1 (en) | 2012-04-06 | 2013-04-23 | Google Inc. | Secure reset of personal and service provider information on mobile devices |
| EP2698756B1 (en) * | 2012-08-13 | 2016-01-06 | Nxp B.V. | Local Trusted Service Manager |
| DE102012016164A1 (de) * | 2012-08-14 | 2014-02-20 | Giesecke & Devrient Gmbh | Sicherheitselement und Verfahren zur Installation von Daten in dem Sicherheitselement |
| KR101825157B1 (ko) * | 2012-09-18 | 2018-03-14 | 구글 엘엘씨 | 복수의 서비스 제공자 신뢰 서비스 관리기들과 보안 요소들을 인터페이싱하기 위한 시스템들, 방법들, 및 컴퓨터 프로그램 제품들 |
| US10164953B2 (en) * | 2014-10-06 | 2018-12-25 | Stmicroelectronics, Inc. | Client accessible secure area in a mobile device security module |
| US10904234B2 (en) * | 2014-11-07 | 2021-01-26 | Privakey, Inc. | Systems and methods of device based customer authentication and authorization |
| US9853977B1 (en) * | 2015-01-26 | 2017-12-26 | Winklevoss Ip, Llc | System, method, and program product for processing secure transactions within a cloud computing system |
| KR101660791B1 (ko) * | 2015-07-06 | 2016-09-28 | 주식회사 플라이하이 | 서비스 제공 시스템의 클라이언트 장치 및 그것의 서비스 제공 방법 |
| US10305933B2 (en) * | 2015-11-23 | 2019-05-28 | Blackberry Limited | Method and system for implementing usage restrictions on profiles downloaded to a mobile device |
| US10133867B1 (en) * | 2016-03-29 | 2018-11-20 | Amazon Technologies, Inc. | Trusted malware scanning |
| CN109076487B (zh) * | 2016-04-14 | 2021-03-19 | 苹果公司 | 安全测距的方法和架构 |
| US10218696B2 (en) * | 2016-06-30 | 2019-02-26 | Microsoft Technology Licensing, Llc | Targeted secure software deployment |
| SG10201606061PA (en) * | 2016-07-22 | 2018-02-27 | Huawei Int Pte Ltd | A method for unified network and service authentication based on id-based cryptography |
| US10333715B2 (en) * | 2016-11-14 | 2019-06-25 | International Business Machines Corporation | Providing computation services with privacy |
| KR102604046B1 (ko) * | 2016-11-28 | 2023-11-23 | 삼성전자주식회사 | 전자 기기의 프로그램 관리 방법 및 장치 |
| US10958433B2 (en) * | 2017-01-31 | 2021-03-23 | Arris Enterprises Llc | Origin certificate based online certificate issuance |
| EP3425867B1 (en) * | 2017-07-05 | 2021-01-13 | Nxp B.V. | Communication devices and associated method |
| KR20190108888A (ko) * | 2018-03-15 | 2019-09-25 | 삼성전자주식회사 | 전자 장치 및 전자 장치에서의 인증 방법 |
| KR102501304B1 (ko) * | 2018-05-17 | 2023-02-20 | 삼성전자주식회사 | 복수의 프로세서들과 연결된 보안 모듈의 제어 방법 및 이를 구현한 전자 장치 |
| EP3681046B1 (en) * | 2019-01-10 | 2022-07-20 | Nxp B.V. | Key derivation scheme for data frame transmission in ultra-wide band ranging in keyless entry systems |
-
2020
- 2020-12-04 WO PCT/KR2020/017591 patent/WO2021112603A1/en unknown
- 2020-12-04 EP EP23216092.9A patent/EP4312448A3/en active Pending
- 2020-12-04 CN CN202080082009.5A patent/CN114762290B/zh active Active
- 2020-12-04 EP EP20896778.6A patent/EP4052414B1/en active Active
- 2020-12-07 US US17/113,969 patent/US11563730B2/en active Active
-
2023
- 2023-01-23 US US18/100,251 patent/US20230155996A1/en active Pending
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101729245A (zh) * | 2008-10-24 | 2010-06-09 | 中兴通讯股份有限公司 | 密钥分发方法和系统 |
| CN101729493A (zh) * | 2008-10-28 | 2010-06-09 | 中兴通讯股份有限公司 | 密钥分发方法和系统 |
| EP2341659A1 (en) * | 2008-10-28 | 2011-07-06 | ZTE Corporation | Key distribution method and system |
| CN106031087A (zh) * | 2014-02-21 | 2016-10-12 | 三星电子株式会社 | 用于认证客户端凭证的方法和设备 |
| US9503433B2 (en) * | 2014-03-27 | 2016-11-22 | Intel Corporation | Method and apparatus for cloud-assisted cryptography |
| WO2015193578A1 (fr) * | 2014-06-20 | 2015-12-23 | Peugeot Citroen Automobiles Sa | Procede et systeme d'authentification au moyen de jetons |
| CN107690771A (zh) * | 2015-06-10 | 2018-02-13 | 高通股份有限公司 | 服务提供商证书管理 |
| WO2018099606A1 (en) * | 2016-12-02 | 2018-06-07 | Gurulogic Microsystems Oy | Protecting usage of key store content |
| WO2018231519A1 (en) * | 2017-06-12 | 2018-12-20 | Secturion Systems, Inc. | Cloud storage using encryption gateway with certificate authority identification |
| WO2019026038A1 (en) * | 2017-08-03 | 2019-02-07 | Entersekt International Limited | SYSTEM AND METHOD FOR AUTHENTICATING A TRANSACTION |
| WO2019051839A1 (zh) * | 2017-09-18 | 2019-03-21 | 华为技术有限公司 | 一种数据处理的方法及装置 |
| CN107766724A (zh) * | 2017-10-17 | 2018-03-06 | 华北电力大学 | 一种可信计算机平台软件栈功能架构的构建方法 |
| CN108282466A (zh) * | 2017-12-29 | 2018-07-13 | 北京握奇智能科技有限公司 | 用于在tee中提供数字证书功能的方法、系统 |
| WO2019225921A1 (ko) * | 2018-05-23 | 2019-11-28 | 삼성전자 주식회사 | 디지털 키를 저장하기 위한 방법 및 전자 디바이스 |
Non-Patent Citations (2)
| Title |
|---|
| 李晖 主编.《无线通信安全》.北京邮电大学出版社,2018,第221页. * |
| 证书认证中心管理证书的策略及实现;鱼亮;周利华;;电子科技(06);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114762290A (zh) | 2022-07-15 |
| EP4052414A4 (en) | 2022-12-28 |
| EP4312448A2 (en) | 2024-01-31 |
| EP4312448A3 (en) | 2024-04-10 |
| US20230155996A1 (en) | 2023-05-18 |
| US11563730B2 (en) | 2023-01-24 |
| US20210176230A1 (en) | 2021-06-10 |
| WO2021112603A1 (en) | 2021-06-10 |
| EP4052414B1 (en) | 2024-02-07 |
| EP4052414A1 (en) | 2022-09-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114762290B (zh) | 对数字密钥进行管理的方法和电子装置 | |
| US11876917B2 (en) | Authentication apparatus and method | |
| US9485230B2 (en) | Efficient key generator for distribution of sensitive material from multiple application service providers to a secure element such as a universal integrated circuit card (UICC) | |
| CN106714139B (zh) | 电子订户身份模块的预个性化 | |
| CN104094267B (zh) | 安全共享来自源装置的媒体内容的方法、装置和系统 | |
| US9538372B2 (en) | Establishing communication between devices | |
| US10009760B2 (en) | Providing network credentials | |
| US11991527B2 (en) | Communication method and communication device | |
| US20210058252A1 (en) | Electronic device and method, performed by electronic device, of transmitting control command to target device | |
| KR20130111165A (ko) | 블루투스 저 에너지 프라이버시 | |
| WO2010048829A1 (zh) | 密钥分发方法和系统 | |
| JP2016178668A (ja) | ピア・トゥ・ピア無線通信ネットワークのためのエンハンスされたシステム・アクセス制御のための方法および装置 | |
| CN112994873B (zh) | 一种证书申请方法及设备 | |
| EP4152791A1 (en) | Electronic device and method for electronic device to provide ranging-based service | |
| CN112449323B (zh) | 一种通信方法、装置和系统 | |
| WO2017026930A1 (en) | Methods and devices for privacy enhancement in networks | |
| CN109960935B (zh) | 确定tpm可信状态的方法、装置及存储介质 | |
| US20220369103A1 (en) | Method and apparatus for performing uwb secure ranging | |
| CN118265029A (zh) | 对数字密钥进行管理的方法和电子装置 | |
| US20220131687A1 (en) | Device and method for updating immobilizer token in digital key sharing system | |
| KR20210071815A (ko) | 전자 디바이스 및 전자 디바이스가 디지털 키들을 관리하는 방법 | |
| KR20110080016A (ko) | 이동통신 단말기의 스마트카드 정보를 이용한 무선랜의 상호 인증 방법과 그 시스템 | |
| KR20130043335A (ko) | 액세스 포인트, 액세스 포인트의 동작 방법, 디스플레이기기 및 디스플레이기기의 액세스 포인트 접속 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |