CN116801256A - 执行密钥管理的方法、设备和系统 - Google Patents
执行密钥管理的方法、设备和系统 Download PDFInfo
- Publication number
- CN116801256A CN116801256A CN202310280161.XA CN202310280161A CN116801256A CN 116801256 A CN116801256 A CN 116801256A CN 202310280161 A CN202310280161 A CN 202310280161A CN 116801256 A CN116801256 A CN 116801256A
- Authority
- CN
- China
- Prior art keywords
- communication
- authentication information
- key management
- authentication
- management service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 238000004891 communication Methods 0.000 claims abstract description 747
- 238000005516 engineering process Methods 0.000 claims abstract description 193
- 238000004590 computer program Methods 0.000 claims description 5
- 230000008901 benefit Effects 0.000 description 11
- 230000005540 biological transmission Effects 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
执行密钥管理的方法、设备和系统。本公开涉及针对多个通信设备执行密钥管理的方法(60、70),所述多个通信设备中的每个通信设备被配置成使用第一无线通信技术来执行无线通信。所述方法包括:由所述多个通信设备中的至少一个通信设备使用第二无线通信技术建立(S60、S70、S62、S72)与密钥管理服务的第一安全连接。所述方法还包括:由所述至少一个通信设备使用所述第一安全连接与所述密钥管理服务协商(S61、S71、S63、S73)第一认证信息,所述第一认证信息包括用于在所述第一无线通信技术上进行安全通信和/或数据保护的第一认证包。
Description
技术领域
本公开涉及一种执行密钥管理的方法。此公开还涉及对应的通信设备、通信基础设施设备、系统、计算机程序和计算机可读存储介质。
背景技术
密码密钥和其它认证信息是通信系统中的重要工具。例如,密钥可以用于对通信网络的成员(例如,通信设备)进行认证,以使通信网络的这种成员之间的通信安全和/或保护由通信网络的这种成员交换的数据(通过签名和/或加密这种数据)。然而,以高效且安全的方式为通信网络的前述成员提供和管理这样的密钥可能相当困难,例如,可能需要提供者与通信设备之间的低效用户协助,例如,使用QR码、NFC标签、音频等。因此,本公开的目的是提高通信网络中密钥管理的效率和安全性。
发明内容
上述目的由所附的独立权利要求的主题来解决。在所附的从属权利要求中公开了进一步的实施方式。
根据第一方面,公开了一种对多个通信设备执行密钥管理的方法。多个通信设备中的每一者被配置成使用第一无线通信技术执行无线通信。该方法包括:由多个通信设备中的至少一者使用第二无线通信技术建立与密钥管理服务的第一安全连接。所述方法还包括:由所述至少一个通信设备使用所述第一安全连接与所述密钥管理服务协商第一认证信息,所述第一认证信息包括用于在所述第一无线通信技术上进行安全通信和/或数据保护的第一认证包。
根据第一方面的方法的优点在于,不同的无线通信技术被用于与密钥管理服务协商第一认证信息,并且被用于至少一个通信设备与其它通信设备的通信。由此,可以经由第一安全连接向至少一个通信设备提供第一认证信息,其中实现了不费力且高效的提供,而同时由于将不同通信技术用于通信设备之间的通信的事实而维持了高安全性标准。
对第二无线通信技术(例如,基于基础设施的无线通信技术)的访问还可以是例如由服务提供商使用身份和访问管理(例如,基于用于IEEE通信技术的可扩展认证协议(EAP)或基于用于3GPP通信技术的订户身份模块(SIM))来保护。换言之,与使用第一认证信息的其他设备的通信相比,用于提供第一认证信息的第一安全连接使用不同的无线通信技术。这避免需要提供器与通信设备之间的低效且复杂的用户辅助的带外信道。
本文中的多个通信设备可以使用第一无线通信技术来彼此通信,或者与其它设备通信。例如,使用第二无线通信技术建立第一安全连接以及协商第一认证信息可以根据本领域中已知的任何种类的机制来例如定期地完成或按需完成。多个通信设备中的一者或更多者可以随后与密钥管理服务协商其相应的第一认证信息。
第二无线通信技术可以是本领域已知的任何无线通信技术。至少一个通信设备可以使用第二无线通信技术无线地连接到网络设备(例如,路由设备),然后该网络设备可以具有到密钥管理服务的有线连接。
第一认证信息包括第一认证包(authentication bundle)。第一认证包可以由其所属的至少一个通信设备用于在第一无线通信技术上进行安全通信和/或数据保护。例如,第一认证包可以用于在第一无线通信技术上建立安全通信信道,和/或可以用于对使用第一无线通信技术发送的数据进行签名/验证和/或加密/解密。此外,第一认证包可以是用于相应通信设备的个性化的或唯一的安全包(security bundle)。安全包可以例如包括密钥信息、元数据、定时信息和加密证书中的任一者。
根据至少一个实施方式,在受信环境中向多个通信设备中的至少一个通信设备和密钥管理服务提供认证材料。利用对称加密和/或非对称加密使用所提供的认证材料建立与密钥管理服务的第一安全连接。
因此,提供了建立第一安全连接的特别安全的可能性,经由该第一安全连接来协商第一认证信息。在受信环境中提供认证材料,并且因此确保了可靠的信任根。
例如,在对称加密的情况下,认证材料可以是提供给至少一个通信设备和密钥管理服务两者的主秘密。在非对称加密的情况下,例如,认证材料可以是密钥对以及可选地是认证机构证书,所述密钥对和认证机构证书分别被提供给密钥管理服务和至少一个通信设备。对于每个通信设备,认证材料可以是唯一的。
例如,在受信环境中提供的认证材料可以仅用于第一认证信息的协商,以便最大化认证材料的关键操作寿命(也称为加密周期)。事实上,在受信环境中提供的认证材料通常不应被用于使第一无线通信技术上的通信安全还因为:通常考虑到正常用于该通信的高度安全性,建立安全通信可能是低效的。
根据至少一个实施方式,至少一个通信设备周期性地或按需协商第一认证信息。
由此,可以实现第一认证信息的高效协商。
根据至少一个实施方式,所述至少一个通信设备充当密钥管理服务与至少一个另外的通信设备之间的网关以协商第二认证信息。由所述至少一个另外的通信设备与所述密钥管理服务协商的所述第二认证信息包括用于在所述第一无线通信技术上进行安全通信和/或数据保护的第二认证包。
网关可以经由第二无线通信技术与密钥管理服务通信,并且可以经由第一无线通信技术与至少一个另外的通信设备通信。
充当网关的通信设备被布置成将来自所述至少一个另外的通信设备的消息中继到所述密钥管理服务,反之亦然。充当网关的通信设备可以在没有另外的处理的情况下中继这些消息。另选地,例如,在需要使用用于网关通信设备与密钥管理服务之间的通信以及网关通信设备与至少一个另外的通信设备之间的通信的不同协议来处理消息的情况下,网关通信设备可以执行这种另外的处理。
为了允许至少一个另外的通信设备经由网关通信设备协商第二认证信息,网关通信设备可以使用第二无线通信技术建立或接受与密钥管理服务的安全连接。该安全连接可以与第一安全连接相对应地建立,所述第一安全连接也使用第二无线通信技术。
网关通信设备与至少一个另外的通信设备之间的连接可以不认证或可以使用在受信环境中提供的认证材料来认证。
使用根据第一方面的至少一个通信设备作为网关的优点在于,甚至不能直接连接到密钥管理服务的另外的通信设备仍然可以受益于使用不同的无线通信技术来提供认证信息的上述优点。例如,在诸如室内定位系统之类的系统中,多个通信设备位于室内环境中。在这种情况下,例如,网关通信设备可能能够建立到密钥管理服务的连接,而另外的通信设备可能由于被阻挡的通信路径而不能够建立到密钥管理服务的连接。在另一示例中,另外的通信设备可以仅具有第一无线技术能力而不是第二无线技术能力。在这样的场景中,另外的通信设备可以使用网关通信设备作为网关,以与密钥管理服务协商它们相应的第二认证信息。
例如,网关通信设备不能以明文形式访问第二认证信息。例如,第二认证信息总是在密钥管理服务器与目的地另外的通信设备之间受到端到端地保护。
根据至少一个实施方式,由所述至少一个通信设备与所述密钥管理服务协商所述第一认证信息和/或由所述至少一个另外的通信设备与所述密钥管理服务协商所述第二认证信息包括以下各项中的至少一项:由所述密钥管理服务向所述至少一个通信设备提供第一通信和/或认证密钥,和/或向所述至少一个另外的通信设备提供第二通信和/或认证密钥;由所述密钥管理服务停用来自所述至少一个通信设备的第一通信和/或认证密钥,和/或停用来自所述至少一个另外的通信设备的第二通信和/或认证密钥;以及由所述密钥管理服务更新所述至少一个通信设备处的第一通信和/或认证密钥,和/或更新所述至少一个另外的通信设备处的第二通信和/或认证密钥。
由此,提供了一种高效且安全的方式来针对至少一个通信设备和/或至少一个另外的通信设备提供、停用和更新通信密钥和/或认证密钥。
根据至少一个实施方式,该方法还包括:由密钥管理服务使用第三通信技术经由至少一个第二安全连接向至少一个通信基础设施设备提供第一认证信息的至少一部分。
通信基础设施设备可以是例如基于基础设施的网络的任何基础设施设备。例如,在网络是定位网络的情况下,通信基础设施设备可以是定位引擎或锚点(具有用于推断其他设备的相对位置的公知固定位置的设备),其中,至少一个通信设备可以通过直接使用其定位引擎能力与通信基础设施设备通信或使用其中继能力到达定位引擎来与通信基础设施设备通信,以执行定位协议。在这种情况下,定位通信可以是高效且安全的,因为与执行至少一个通信设备与至少一个通信基础设施设备之间的通信(即,在那种情况下交换定位消息)相比,执行定位协议所需的对应的第一认证信息是与至少一个通信设备协商并使用不同的无线通信技术提供给至少一个通信基础设施设备的。
此外,提供了附加的安全性和效率,因为密钥管理服务可以仅将第一认证信息的一部分提供给通信基础设施设备。特别地,只有这样的认证信息可以与通信基础设施设备共享,这是通信基础设施设备执行与至少一个通信设备的安全通信所需的。例如,在不对称加密的情况下,第一认证信息的一部分可以包括通信设备的公钥,而第一认证信息的未被提供给通信基础设施设备的不同部分可以包括通信设备的私钥。
基于上述方法,通信基础设施设备可以注册通信设备,所述通信设备被允许参与到通信网络中,该通信网络使用第一无线通信技术基于从密钥管理服务接收的第一认证信息的至少一部分来在该通信网络的成员之间进行通信。
附加地,在这种情况下,如上所述,所述至少一个通信设备可以用作针对至少一个另外的通信设备的网关,以协商针对所述至少一个另外的通信设备的相应的第二认证信息。在这种情况下,密钥管理服务然后可以经由上述第二安全连接提供第二认证信息的至少一部分。通过这种方式,至少一个另外的通信设备在没有网关不能直接访问密钥管理服务的情况下,也可以执行与通信基础设施设备或其他通信设备的安全通信。
根据至少一个实施方式,该方法还包括由至少一个通信设备使用第一认证信息来经由第一无线通信技术执行安全通信。
与此一起实现经由第一无线通信技术的高度通信安全性。
根据至少一个实施方式,第一通信技术是短程通信技术、特别是根据蓝牙标准或ZigBee标准或线程网络协议或IEEE标准的无线自组织网络通信技术,和/或第二通信技术是远程无线通信技术、特别是根据3GPP或IEEE标准的基于基础设施的无线通信技术,和/或第三通信技术是根据3GPP或IEEE标准的通信技术。
第一通信技术是短程通信技术、特别是无线自组织通信技术的优点在于,在这种情况下,根据第一方面和/或第二方面的方法可以被应用于无线网状网络或混合网状/基础设施无线网络。第一通信技术可以是根据蓝牙标准或ZigBee标准或线程网络协议的通信技术。另选地,第一通信技术可以是根据IEEE标准的通信技术,例如,根据IEEE 802项目的任何标准(例如,IEEE 802.11标准或IEEE 802.15标准)。短程通信技术例如是具有小于1000米、特别是小于600米、特别是小于200米、特别是小于50米的传输范围的通信技术。
第二通信技术是远程无线通信技术、特别是根据3GPP标准(例如,UMTS、GSM、LTE或5G/NR)或IEEE标准(例如,IEEE 802.11标准)的基于基础设施的无线通信技术的优点在于,实现远程提供相应认证信息的安全且高效的解决方案。作为远程无线通信技术的第二通信技术意味着其具有比第一通信技术更长的传输范围。例如,第二通信技术可以是全球通信技术。特别地,第二通信技术可以是基于基础设施的通信技术,对于该基于基础设施的通信技术,可以经由由基础设施服务提供商管理的安全且认证的信道来执行通信。
第三通信技术可以是根据3GPP标准或IEEE标准(如IEEE 802.11标准)的基于无线基础设施的通信技术,或者是根据IEEE标准(如以太网IEEE 802.3标准)的有线通信技术。例如,在实施方式中,第一通信技术可以是蓝牙,第二通信技术可以是LTE,并且第三通信技术可以是以太网。
根据3GPP标准(例如,私有LTE或私有5G)或IEEE标准(例如,IEEE 802.11标准),第二通信技术和/或第三通信技术可以是基于内联网的。
根据第二方面,通信设备包括至少一个通信单元和处理单元。所述至少一个通信单元被配置成使用第一无线通信技术来执行通信。所述至少一个通信单元还被配置成使用第二无线通信技术建立与密钥管理服务的第一安全连接。所述处理单元被配置成使用所述第一安全连接与所述密钥管理服务协商第一认证信息,所述第一认证信息包括用于在所述第一无线通信技术上进行安全通信和/或数据保护的第一认证包。
第二方面的实施方式和优点可以对应于上面关于第一方面所讨论的那些实施方式和优点。
在根据第二方面的通信设备中,所述至少一个通信单元可以被实现为:两个单独的通信单元,每种通信技术一个通信单元;或者可以在公共模块中实现,所述公共模块具有两个接口,每种通信技术一个接口;或者在一个通信单元中。
例如,所述至少一个通信单元可以是一种通信技术的仅一个通信单元,其模拟另一种通信技术的另一通信单元。例如,所述一个通信单元可以是LTE通信单元,并且可以使用LTE硬件来模拟蓝牙通信。另选地,所述至少一个通信单元可以是例如单个集成电路(IC)中的LTE通信单元和蓝牙通信单元。另选地,所述至少一个通信单元可以是单个IC中的LTE通信单元和单个IC中的蓝牙通信单元。两个IC都可以在同一模块上实现。
根据至少一个实施方式,所述通信设备还被配置成充当用于在至少一个另外的通信设备与所述密钥管理服务之间协商第二认证信息的网关,其中,由所述至少一个另外的通信设备与所述密钥管理服务协商的所述第二认证信息包括用于在所述第一无线通信技术上进行安全通信和/或数据保护的第二认证包。
根据第三方面,通信基础设施设备包括第一通信单元、第三通信单元和处理单元。第一通信单元被配置成使用第一无线通信技术来执行通信。第三通信单元被配置成使用第三通信技术建立与密钥管理服务的第二安全连接。处理单元被配置成:使用所述第二安全连接与所述密钥管理服务协商第一认证信息,所述第一认证信息包括用于在所述第一无线通信技术上进行安全通信和/或数据保护的第一认证包;以及接收至少一个通信设备的第一认证信息的至少一部分,所接收的第一认证信息包括用于在所述第一无线通信技术上与所述至少一个通信设备进行安全通信和/或数据保护的第一认证包的至少一部分。
第三方面的优点和实施方式总体上对应于关于第一方面和第二方面所讨论的那些优点和实施方式,并且在本文中不再重复。
通信基础设施设备还可以经由与密钥管理服务的第一安全连接(对应于上面讨论的至少一个通信设备与密钥管理服务之间的第一安全连接)来接收通信基础设施设备自身的认证包(对应于上面讨论的第一认证包)。此外,为了提供其他设备的认证包的一部分,为了能够与它们交换数据,可以使用第二安全连接。在第三通信技术上执行的第一安全连接和第二安全连接可以是相同的连接以节省资源。
根据第四方面,一种系统包括:多个通信设备,所述多个通信设备中的至少一个通信设备是根据所述第二方面的通信设备;以及密钥管理服务,所述密钥管理服务包括安全单元和第二通信单元。密钥管理服务的第二通信单元被配置成使用第二无线通信技术经由第一安全连接与多个通信设备中的至少一个通信设备进行通信。所述安全单元被配置成使用所述至少一个第一安全连接与所述多个通信设备中的所述至少一个通信设备协商第一认证信息,所述第一认证信息包括用于在所述第一无线通信技术上进行安全通信和/或数据保护的第一认证包。安全单元还包括第一存储器单元,所述第一存储器单元被配置成存储第一认证信息的至少一部分。
第四方面的优点和实施方式总体上对应于关于先前方面所讨论的那些优点和实施方式,并且在本文中不再重复。
根据至少一个实施方式,该系统还包括根据第三方面的通信基础设施设备,并且密钥管理服务还包括第三通信单元。第三通信单元被配置成使用第三通信技术经由第二安全连接与通信基础设施设备进行通信。安全单元还被配置成使用至少一个第二安全连接向至少一个通信基础设施设备提供第一认证信息的至少一部分。
根据至少一个实施方式,安全单元还被配置成使用第二无线通信技术通过使用至少一个通信设备作为网关来与多个通信设备中的至少一个另外的通信设备协商第二认证信息。第二认证信息包括用于在第一无线通信技术上进行至少一个另外的通信设备的安全通信和/或数据保护的第二认证包。第一存储器单元还被配置成存储第二认证信息的至少一部分。
根据至少一个实施方式,第一存储器单元还被配置成存储至少一个通信设备的唯一标识符。所述安全单元还被配置成基于所述唯一标识符来确定是否将所述第一认证信息的至少一部分提供给所述至少一个通信基础设施设备。
本发明的优点在于,密钥管理服务可以向通信基础设施设备仅提供某些通信设备的认证信息,这些通信设备根据它们的唯一标识符是已知的或注册的。因此,进一步提高了安全性。
根据至少一个实施方式,通信设备还包括第二存储器单元,该第二存储器单元被配置成存储在受信环境中提供给通信设备的认证材料。密钥管理系统的第一存储器单元还被配置成存储相同认证材料的至少一部分。通信设备的至少一个通信单元被配置成使用所提供的认证材料来建立与密钥管理服务的第一安全连接,以用于使用对称加密和/或非对称加密在第二无线通信技术上进行安全通信和/或数据保护。
根据第五方面,一种计算机程序包括指令,所述指令在由至少一个处理器执行时执行根据第一方面的方法。
根据第六方面,一种计算机可读存储介质包括根据第五方面的计算机程序。
关于以上方面中的任何方面描述的优点和实施方式可以相应地应用于其它方面中的任何方面。
附图说明
下面将借助于附图更详细地解释本公开的上述方面及其实施方式。贯穿附图,具有相同或相似功能的元素和功能框具有相同的附图标记。因此,它们的描述不一定在下面的附图中重复。
在附图中:
图1示出了根据本公开的一个实施方式的系统;
图2示出了根据本公开的另一实施方式的系统;
图3示出了根据本公开的另一实施方式的系统;
图4示出了根据本公开的一个实施方式的通信设备;
图5示出了根据本公开的一个实施方式的通信基础设施设备;
图6示出了根据本公开的一个实施方式的用于执行密钥管理的方法;以及
图7示出了根据本公开的一个实施方式的用于执行密钥管理的方法。
具体实施方式
图1示出了根据本公开的一个实施方式的系统1。系统1包括密钥管理服务(KMS)2和三个通信设备3a、3b、3c。三个通信设备3a、3b、3c各自包括第一通信单元4a、4b、4c、第二通信单元5a、5b、5c和处理单元6a、6b、6c。密钥管理服务2还包括第二通信单元5d和安全单元7。安全单元7包括存储器单元8。
例如,KMS 2(也称为可信凭证管理系统)是基于互联网或基于内联网的服务,以提供、停用和更新用于通信设备3a、3b、3c的通信密钥。
通信设备3a、3b、3c是通信网络的设备,并且被布置成彼此通信,或者可选地与中继去往/来自互联网或内联网的消息的至少一个主通信设备(本文未示出)通信。在该实施方式中,通信设备3a、3b、3c是网状系统11的一部分,在该网状系统11中,通信设备3a、3b、3c被配置成彼此通信。通信设备3a、3b、3c可以是定位系统11的标签和/或锚。可以存在附加定位实体(本文未示出)。特别地,通信设备3a、3b、3c中的一个通信设备可以是锚,而其他通信设备可以是标签。在系统11是定位系统的情况下,作为标签的通信设备3a、3b、3c通常不会彼此通信。
例如,通信设备3a(标签)可以通过其认证信息来发送受保护(有符号和/或已加密)的信号,所述认证信息由通信设备3c和3b(作为锚)使用,其中到达角(Angle ofArrival,AoA)技术以组合所收集的AoA数据的可信方式来推断通信设备3a的位置。在另一示例中,通信设备3a(标签)可以监听由锚3c和3b生成的、用锚3c和3b的认证信息保护的信号,以便利用离去角(Angle of Departure,AoD)技术以可信方式推断该通信设备3a自身的位置。然而,本公开在这方面不受限制。事实上,例如,图1还可以表示网状网络的密钥管理,在该网状网络中,节点、通信设备3a与通信设备3b和3c使用第一无线技术交换由相应的第一认证信息保护的任何种类的信息。
通信设备3a、3b、3c之间的通信使用第一无线通信技术,其通信链路在图1中以双线箭头9的形式示出。在通信设备3a、3b、3c中的多个通信设备是标签的情况下,通常在那些标签之间不存在通信链路,而仅在例如标签与锚之间存在通信链路。
在本文所示实施方式中,第一无线通信技术是根据蓝牙标准(例如,根据蓝牙低功耗(Bluetooth Low Energy,BLE)标准或根据任何蓝牙5.X标准)的通信技术。另选地,第一无线通信技术也可以是任何其它种类的无线通信技术,特别是任何种类的短程无线通信技术。
通信设备3a、3b、3c的第一通信单元4a、4b、4c被布置成以使用第一无线通信技术实现通信。因此,在本文所示实施方式中,第一通信单元4a、4b、4c是蓝牙单元。
通信设备3a、3b、3c中的每一者与KMS 2之间的通信使用第二无线通信技术,经由该第二无线通信技术建立相应的第一安全连接10。在本文所示实施方式中,第二无线通信技术是根据全球第三代合作伙伴计划(3GPP)标准(例如,根据长期演进(LTE)标准或根据5G或新无线电(NR)标准)的远程通信技术。另选地,第二无线通信技术也可以是根据电气和电子工程师协会(IEEE)标准(例如,无线保真(IEEE 802.11Wi-Fi)标准)的通信技术或任何其它种类的无线通信技术。
通信设备3a、3b、3c和KMS 2的第二通信单元5a、5b、5c、5d被布置成使用第二无线通信技术来实现通信。因此,在本文所示实施方式中,第二通信单元5a、5b、5c、5d是LTE或5G/NR单元。
另选地,在附图中未明确示出的实施方式中,通信设备3a、3b、3c的第二通信单元5a、5b、5c也可以是支持不同无线通信技术的不同通信单元。例如,通信单元5a和5b可以是窄带物联网(NB-IoT)单元,并且通信单元5c可以是Wi-Fi单元。在这种情况下,KMS 2的第二通信单元5d支持那些不同的第二通信技术,或者KMS 2包括用于支持各种不同的第二通信技术的多个第二通信单元。
在图1所示实施方式中,通信设备3a、3b、3c中的每一者被配置成使用第二通信技术建立与KMS 2的第一安全连接10。可以使用在受信环境中提供的3a、3b、3c和2的认证材料所允许的任何种类的非对称加密或对称加密来建立第一安全连接10。可以使用第二无线通信技术的安全信道来建立第一安全连接10。
然后,各个通信设备3a、3b、3c被配置有其相应的处理单元6a、6b、6c,以与KMS 2的安全单元7协商各个通信设备3a、3b、3c自身的第一认证信息。相应的第一认证信息可以包括通信密钥,所述通信密钥可以由各个通信设备3a、3b、3c使用,例如以经由通信链路9使用第一无线通信技术执行与其他通信设备3a、3b、3c的安全通信。附加地或另选地,各个通信设备3a、3b、3c的第一验证信息还可以包括验证密钥,其中各个通信设备3a、3b、3c可以在由通信设备3a、3b、3c组成的通信网络中验证自身。针对每个通信设备3a、3b、3c,KMS 2可以提供和/或停用和/或更新相应的通信密钥和/或认证密钥。
另外,另选地或附加地,第一认证信息还可以用于向通信设备3a、3b、3c提供来自第二无线通信网络的用于使定位安全的网络时间,从而例如改进保护以不受通信设备3a、3b、3c的通信网络中的重放攻击。
KMS 2的存储器单元8被配置成存储各个通信设备3a、3b、3c的第一认证信息。
鉴于以上所述,与使用所述第一认证信息的通信技术相比,通信设备3a、3b、3c被布置成使用不同的通信技术(所谓的带外OOB)与KMS 2协商它们相应的第一认证信息。由此,在通信设备3a、3b、3c之间使用第一通信技术的通信链路9的安全性被显著提高,特别是在第一无线通信技术是无线自组织通信技术而无服务提供商强制实施建立安全信道的情况下。由于对于OOB认证信息协商而言,使用了基于远程基础设施的无线通信技术,因此可以充裕地远程提供第一认证信息,这允许非常高效地提供这样的第一认证信息。
图2示出了根据本公开的另一实施方式的系统1’。系统1’包括如上文关于图1所描述的系统1的所有实体,在此不再重复对其的描述。然而,在这种情况下,通信设备3a’和3b’两者不能够与KMS 2’直接通信,例如由于壁12阻挡了KMS 2’与所述两个通信设备3a’和3b’之间的直接通信,或者例如由于缺少第二通信单元5a’和5b’的可用性(由于不存在或不工作)。
因此,在图2所示实施方式中,通信设备3a’和3b’可以使用通信设备3c’作为网关来与KMS 2’协商它们相应的认证信息。通信设备3a’和3b’发现通信设备3c’能够到达KMS2’,因此它们使用第一无线通信技术向通信设备3c’发送它们的消息,以与KMS 2’协商它们相应的认证信息,并且通信设备3c’经由其第一安全连接10’或使用第二无线通信技术的另一安全连接向KMS 2’转发具有或不具有处理的那些消息。
通信设备3a’和3b’可以使用发现阶段发现通信设备3c’可以充当网关,经由该发现阶段,设备3a’和3b’从设备3c’获得对应信息,或者设备3a’和3b’可以使用广播消息来请求哪个设备可以访问KMS 2’的信息,设备3c’响应于该广播信息。类似地,从KMS 2’到通信设备3a’和3b’的响应消息由通信设备3c’从KMS 2’接收并使用第一无线通信技术转发到相应的通信设备3a’和3b’。
用于与通信设备3a’和3b’协商认证信息的消息可以是与根据图1在系统1中直接从对应的通信设备3a和3b发送到KMS 2的消息相同的消息。
在充当网关的通信设备3c’与用于提供相应的认证信息的通信设备3a’和3b’之间的连接(在本文中以虚线箭头21’示出)可以不认证或使用在受信环境中提供的认证材料来认证。该连接21’可以在如关于图1所讨论的所有通信设备3a’、3b’、3c之间的通信链路9’之前建立。
此外,例如,通信设备3c’永远不能以明文(plain text)形式访问通信设备3a’和通信设备3b’的认证信息。事实上,认证信息可以总是端对端地在KMS 2’与相应的通信设备3a’和通信设备3b’之间受到保护。
鉴于以上所述,KMS 2’甚至可以与通信设备3a’和3b’协商认证信息,通信设备3a’和3b’不能使用第二无线通信技术直接建立与KMS 2’的直接连接。这样,针对通信系统1’中的不包括第二通信单元并因此不能建立到KMS 2’自身的安全连接的简单标签,也可以经由网关设备3c’来协商相应的认证信息。可以根据关于图1描述的过程来执行对通信设备3c’自身的认证信息的协商。
图3示出了根据本公开的另一实施方式的系统1”。系统1’包括如上关于图1所描述的系统1的所有实体,在此不再重复对其的描述。通信设备3a”、3b”、3c”可以使用第二无线通信技术经由相应的第一安全连接10”来与KMS 2”协商它们相应的认证信息。
通信设备3a”、3b”、3c”之间的通信可以使用对应于图1和图2中的上述通信链路9、9’的通信链路9”以第一无线通信技术执行。
此外,图3示出了通信基础设施设备13”。在本文所示实施方式中,在通信网络是网状系统11”或定位系统11”的情况下,通信基础设施设备13”可以是定位系统11”的定位引擎。通信设备3a”、3b”、3c”可以是定位系统11”的标签和/或锚。可以存在附加定位实体(本文未示出)。特别地,通信设备3a”、3b”、3c”中的一个通信设备可以是锚,而其他通信设备可以是标签。在系统11”是定位系统的情况下,作为标签的通信设备3a”、3b”、3c”通常在它们之间不具有通信链路。然而,通信基础设施设备13”也可以是锚点自身(即,具有用于推断其他设备的相对位置的公知固定位置的设备),其中,通信设备3a”、3b”、3c”可以通过直接使用其定位引擎能力与通信基础设施设备13”通信或使用其中继能力到达定位引擎来与通信基础设施设备13”通信,以执行定位协议。
通信基础设施设备13”包括第一通信单元4e”,经由该第一通信单元4e”,定位引擎可以使用第一无线通信技术与通信设备3a”、3b”、3c”通信。
此外,通信基础设施设备13”包括第三通信单元14e”,经由该第三通信单元,通信基础设施设备13”被配置成经由第二安全连接15”使用第三通信技术与KMS 2”通信。经由所述第二安全连接15”,通信基础设施设备13”被配置成提供有(即,与KMS 2”协商)第一认证信息,所述第一认证信息包括用于在第一无线通信技术上进行安全通信和/或数据保护的第一认证包,以用于与例如通信设备3a”、3b”、3c”通信。对于所述通信,KMS 2”还包括对应的第三通信单元14d”。此外,通信基础设施设备13”还包括处理单元6e”。
通信基础设施设备13”被布置成使用第三通信技术来建立第二安全连接15”。第三通信技术可以是无线通信技术或有线通信技术,诸如任何3GPP或任何基于IEEE的标准,特别是上述的任何一种。第三通信技术可以与第二无线通信技术相同,或者可以与第二无线通信技术不同。
在本文所示实施方式中,经由第二安全连接,KMS 2”被布置成向通信基础设施设备13”提供通信设备3a”、3b”、3c”的第一认证信息的至少一部分。例如,KMS 2”可以向通信基础设施设备13”传送各个通信设备3a”、3b”、3c”的唯一ID和/或公共密钥和/或共享秘密。
通信基础设施设备13”被布置成存储从KMS 2”接收的信息,并且基于该信息和其自身的第一认证信息使用第一无线通信技术经由通信链路9”与通信设备3a”、3b”、3c”通信。例如,通信基础设施设备13”可以执行定位协议,以确定和传送通信设备3a”、3b”、3c”的位置。因此,通信基础设施设备13”可以充当系统1”的数据收集器。实际上,例如,图3还可以表示混合网格/基础设施网络的密钥管理,其中节点(通信设备3a”、3b”和3c”)使用第一无线技术将由相应的第一认证信息保护的任何种类的信息路由到通信基础设施设备13”。在另一实施方式中,例如,图3可以表示基础设施网络的密钥管理,其中节点(通信设备3a”、3b”和3c”)使用第一无线技术仅与通信基础设施设备13”交换由相应的第一认证信息保护的数据。
在图3所示实施方式中,通信设备3a”、3b”、3c”中的每一者直接与KMS 2”协商所述通信设备3a”、3b”、3c”自身的认证信息。
然而,另选地,将通信设备3a”、3b”、3c”中的一者充当参考图2所描述的网关也是可能的。
另选地或附加地,通信基础设施设备13”充当网关也是可能的,使得通信设备3a”、3b”、3c”中一者或更多者可以使用通信基础设施设备13”,以使用第二安全连接15”或通信基础设施设备13”与KMS 2”之间的另一安全连接来与KMS 2”协商所述通信设备3a”、3b”、3c”中一者或更多者的认证信息。在后者中,换言之,通信基础设施设备13”充当对应于参考图2描述的网关场景的网关,以用于将通信设备3a”、3b”、3c”的认证信息中继到通信设备3a”、3b”、3c”。例如,这在通信设备3a”、3b”、3c”中没有一个能直接访问KMS 2”的情况下可能是特别有利的,例如,由于诸如图2中所示的被壁阻挡的通信设备3a’和3b’。关于图2描述的网关场景的细节在本文中不再重复。
图4示出了根据本公开的一个实施方式的通信设备3。通信设备3可以实现关于图1至图3所描述的通信设备中的任一者的功能。
然而,根据图4的通信设备3示出了通信单元的另选实施方式。代替关于图1至图3所描述的两个单独的通信单元,根据图4的通信设备3包括一个通信单元16,所述通信单元16被布置成以通过使用通信单元16模拟第一通信技术(因此是第一通信单元)而使用关于图1到3所描述的第一无线通信技术和第二无线通信技术两者通信。通信单元16根据第二通信技术(例如,根据3GPP技术)操作,并且例如根据BLE来模拟第一通信技术。
通信单元16包括用于第一无线通信技术的第一接口17。通信单元16可以例如是LTE通信单元,其模拟例如蓝牙低功耗(BLE)通信单元。因此,通信单元16能够经由第一接口17根据BLE接收和发送消息。然而,可以相应地实现其他通信标准。可选地,在不是两种无线通信技术都可以经由同一第一接口17来访问的情况下,通信设备16还可以包括用于第二无线通信技术的第二接口18。另选地,通信设备3可以包括在单个集成电路中实现的用于第一无线通信技术和第二无线通信技术的两个专用通信单元,或者可以包括在单独的集成电路中实现的用于每个无线通信技术的两个专用通信单元。
在另一实施方式中,通信设备3可以具有仅允许经由第一无线技术进行通信的通信单元16。
此外,通信设备3包括处理单元6,处理单元6对应于关于图1至图3所描述的通信设备的处理单元。处理单元6被布置成执行指令以执行通信设备的上述特征。
此外,通信设备3包括存储器单元19。存储器单元19被布置成存储由通信设备3获得或处理的任何信息。特别地,存储器单元19被布置成存储认证材料(例如,唯一的位代码或密钥对的任何种类的主秘密或秘密密钥),所述认证材料在受信环境(例如,在生产时)中被提供给通信设备3。
在受信环境中提供的认证材料的副本被存储在关于图1至图3描述的KMS处。这样,通信设备3可以使用认证材料来建立与KMS的第一安全连接,如参考图1至图3所描述的。另选地或附加地,KMS可以使用认证材料来识别通信设备3,例如,基于白名单(其列出受信通信设备),以在受信通信设备被部署时确认和识别该受信通信设备。
图5示出了根据本公开的一个实施方式的通信基础设施设备13。通信基础设施设备13可以实现关于图3描述的通信基础设施设备的功能。
然而,根据图5的通信基础设施设备13示出了另选实施方式。代替如关于图3所描述的两个单独的通信单元,根据图5的通信基础设施设备13包括一个组合的通信单元22,所述组合的通信单元22被布置成在单个集成电路中使用关于图3描述的第一无线通信技术和第三通信技术两者进行通信。然而,通信基础设施设备13的组合通信单元22包括用于第一无线通信技术的第一接口17和用于第三通信技术的第三接口20。然而,另选地,通信基础设施设备13也可以包括模拟另一通信单元的一个通信单元,或者可以包括专用于第一通信技术和第三通信技术的两个单独的集成电路,如上所述。
此外,通信基础设施设备13包括处理单元6,处理单元6对应于关于图3描述的通信基础设施设备的处理单元。处理单元6被布置成执行指令以执行通信基础设施设备的上述特征。通信基础设施设备13还包括存储器单元19,以存储在受信环境中提供的其自身的认证材料和从KMS接收的通信设备的认证信息的部分。
图6示出了根据本公开的一个实施方式的用于执行密钥管理的方法60。
方法60可以应用于包括多个通信设备的通信网络,多个通信设备中的每一者被配置成使用第一无线通信技术来执行无线通信。
在一个步骤S60中,第一通信设备3c使用第二无线通信技术建立与密钥管理服务2的第一安全连接。
在另一步骤S61中,第一通信设备3c使用第一安全连接与密钥管理服务2协商,第一通信设备3c的第一认证信息包括用于在第一无线通信技术上进行安全通信和/或数据保护的、第一通信设备3c的第一认证包。
在另一步骤S62中,第二通信设备3b使用第二无线通信技术建立与密钥管理服务2的另一第一安全连接。
在另一步骤S63中,第二通信设备3b使用第一安全连接与密钥管理服务2协商第二通信设备3b的其自身的第一认证信息,该第二通信设备3b的第一认证信息包括用于在第一无线通信技术上进行安全通信和/或数据保护的、第二通信设备3b的第一认证包。
在另一步骤S64中,第一通信设备3c和第二通信设备3b然后可以使用它们相应的认证信息经由第一通信技术执行安全通信。
在另一步骤S65中,第三通信设备3a向第一通信设备3c发送协商认证信息的请求。例如,这可以在第三通信设备3a不能使用第二无线通信技术建立与KMS 2的第一安全连接的情况下(例如,由于被阻挡的通信路径或在第三通信设备3a上缺少用于第二无线通信技术的对应通信单元)完成。第三通信设备3a使用第一无线通信技术向第一通信设备3c发送请求。上面已经关于网关场景详细讨论了关于这种请求的认证和加密的进一步细节,并且在此不再重复。
在另一步骤S66中,充当第三通信设备3a与KMS 2之间的网关的第一通信设备3c向KMS转发请求。
在另一步骤S67中,第三通信设备3a使用第一通信设备3c作为网关与KMS 2协商第二认证信息。在该上下文中,如果通信设备在没有网关的情况下协商认证信息,则该认证信息被称为“第一”认证信息,如果通信设备使用另一设备作为网关与KMS协商认证信息,则该认证信息被称为“第二”认证信息。
在另外的步骤S68和S69中,第三通信设备3a然后可以执行与第一通信设备3c和第二通信设备3b的安全通信,所述第一通信设备3c和第二通信设备3b各自使用它们相应的认证信息。
图7示出了根据本公开的一个实施方式的用于执行密钥管理的方法70。
方法70可以应用于包括多个通信设备3c、3b和通信基础设施设备13的通信网络,多个通信设备3c、3b中的每一者和通信基础设施设备13被配置成使用第一无线通信技术来执行无线通信。
在一个步骤S70中,第一通信设备3c使用第二无线通信技术建立与密钥管理服务2的第一安全连接。
在另一步骤S71中,第一通信设备3c使用第一安全连接与密钥管理服务2协商第一通信设备3c的第一认证信息,该第一通信设备3c的第一认证信息包括用于在第一无线通信技术上进行安全通信和/或数据保护的、第一通信设备3c的第一认证包。
在另一步骤S72中,第二通信设备3b使用第二无线通信技术建立与密钥管理服务2的另一第一安全连接。
在另一步骤S73中,第二通信设备3b使用第一安全连接与密钥管理服务2协商第二通信设备3b的其自身的第一认证信息,该第二通信设备3b的第一认证信息包括用于在第一无线通信技术上进行安全通信和/或数据保护的、第二通信设备3b的第一认证包。
在另一步骤S74中,通信基础设施设备13使用第三通信技术建立与KMS 2的第二安全连接。
在另一步骤S75中,通信基础设施设备13与KMS 2协商其自身的认证信息,该认证信息包括用于在第一无线通信技术上进行安全通信和/或数据保护的认证包。
在另一步骤S76中,KMS 2经由第二安全连接提供第一通信设备3c和第二通信设备3b中的每一者的第一认证信息的至少一部分。
在另外的步骤S77和S78中,通信基础设施设备13然后可以使用所接收的相应认证信息的部分与第一通信设备3c和第二通信设备3b通信。例如,通信基础设施设备13可以认证通信系统中的设备3c、3b。
在另一步骤S79中,第一通信设备3c和第二通信设备3b可以使用它们相应的认证信息来执行安全通信。
应当理解,参考附图1至图7中的任何图解释的关于上述实施方式中的一个实施方式描述的任何特征也可以对应地与参考其他附图中的任意附图所解释的其他实施方式组合。例如,可以实现参考图2所描述的网关场景和参考图3所描述的通信基础设施设备场景的组合。例如,参考图3描述的场景中的通信设备中的一个通信设备可以充当网关,或者如参考图2描述的系统可以包括通信基础设施设备。此外,使通信基础设施设备自身充当网关(对应于关于图2所描述的网关)也是可能的。
附图标记列表
1 系统
2 密钥管理服务
3 通信设备
4 第一通信单元
5 第二通信单元
6 处理单元
7 安全单元
8 存储器单元
9 通信链路
10 第一安全连接
11 网格或定位系统
12 壁
13 通信基础设施设备
14 第三通信单元
15 第二安全连接
16 组合通信单元
17 第一接口
18 第二接口
19 存储器单元
20 第三接口
21 提供连接
22 组合通信单元
60、70 方法
S60至S69步骤
S70至S79步骤
Claims (17)
1.一种针对多个通信设备执行密钥管理的方法(60、70),所述多个通信设备中的每个通信设备被配置成使用第一无线通信技术来执行无线通信,所述方法包括以下步骤:
由所述多个通信设备中的至少一个通信设备使用第二无线通信技术建立(S60、S70、S62、S72)与密钥管理服务的第一安全连接;以及
由所述至少一个通信设备使用所述第一安全连接与所述密钥管理服务协商(S61、S71、S63、S73)第一认证信息,所述第一认证信息包括用于在所述第一无线通信技术上进行安全通信和/或数据保护的第一认证包。
2.根据权利要求1所述的方法(60、70),其中:
在受信环境中向所述多个通信设备中的所述至少一个通信设备和所述密钥管理服务提供认证材料;
利用对称加密和/或非对称加密使用所提供的认证材料来建立与所述密钥管理服务的所述第一安全连接。
3.根据权利要求1或2所述的方法(60),其中,所述至少一个通信设备充当所述密钥管理服务与至少一个另外的通信设备之间的网关,以协商(S67)第二认证信息,其中,由所述至少一个另外的通信设备与所述密钥管理服务协商的所述第二认证信息包括用于在所述第一无线通信技术上进行安全通信和/或数据保护的第二认证包。
4.根据权利要求1或2所述的方法(60、70),其中,由所述至少一个通信设备与所述密钥管理服务协商(S61、S71、S63、S73)所述第一认证信息,和/或如果返回参考权利要求3,由所述至少一个另外的通信设备与所述密钥管理服务协商(S67)所述第二认证信息包括以下项中的至少一项:
由所述密钥管理服务向所述至少一个通信设备提供第一通信和/或认证密钥,和/或向所述至少一个另外的通信设备提供第二通信和/或认证密钥;
由所述密钥管理服务停用来自所述至少一个通信设备的第一通信和/或认证密钥,和/或停用来自所述至少一个另外的通信设备的第二通信和/或认证密钥;
由所述密钥管理服务更新所述至少一个通信设备处的第一通信和/或认证密钥,和/或更新所述至少一个另外的通信设备处的第二通信和/或认证密钥。
5.根据权利要求1或2所述的方法(70),所述方法还包括以下步骤:
由所述密钥管理服务使用第三通信技术经由至少一个第二安全连接向至少一个通信基础设施设备提供(S75)所述第一认证信息的至少一部分。
6.根据权利要求1或2所述的方法(60、70),所述方法还包括以下步骤:
由所述至少一个通信设备使用(S64、S68、S69、S77、S78、S79)所述第一认证信息来经由所述第一无线通信技术执行安全通信。
7.根据权利要求1或2所述的方法(60、70),其中,所述第一通信技术是短程通信技术,具体是根据蓝牙标准或ZigBee标准或线程网络协议或IEEE标准的无线自组织网络通信技术,并且/或者所述第二通信技术是远程无线通信技术,具体是根据3GPP或IEEE标准的基于基础设施的无线通信技术,并且/或者如果返回参考权利要求5,则所述第三通信技术是根据3GPP或IEEE标准的通信技术。
8.一种通信设备(3),所述通信设备包括至少一个通信单元(4、5、16)和处理单元(6),其中:
所述至少一个通信单元(4、16)被配置成使用第一无线通信技术来执行通信;
所述至少一个通信单元(5、16)还被配置成使用第二无线通信技术建立与密钥管理服务(2)的第一安全连接(10);并且
所述处理单元(6)被配置成使用所述第一安全连接(10)与所述密钥管理服务(2)协商第一认证信息,所述第一认证信息包括用于在所述第一无线通信技术上进行安全通信和/或数据保护的第一认证包。
9.根据权利要求8所述的通信设备(3c’),其中:
所述通信设备(3c’)还被配置成充当在至少一个另外的通信设备(3a’、3b’)与所述密钥管理服务(2’)之间协商第二认证信息的网关,其中,由所述至少一个另外的通信设备(3a’、3b’)与所述密钥管理服务(2’)协商的所述第二认证信息包括用于在所述第一无线通信技术上进行安全通信和/或数据保护的第二认证包。
10.一种通信基础设施设备(13、13”),所述通信基础设施设备(13、13”)包括第一通信单元(4e’)、第三通信单元(22、14e”)和处理单元(6、6e”),其中:
所述第一通信单元(4e’)被配置成使用第一无线通信技术执行通信;
所述第三通信单元(22、14e”)被配置成使用第三通信技术建立与密钥管理服务(2”)的第二安全连接(15”);并且
所述处理单元(6、6e”)被配置成:使用所述第二安全连接(15”)与所述密钥管理服务(2”)协商第一认证信息,所述第一认证信息包括用于在所述第一无线通信技术上进行安全通信和/或数据保护的第一认证包;以及接收至少一个通信设备(3a”、3b”、3c”)的第一认证信息的至少一部分,所接收的第一认证信息包括用于在所述第一无线通信技术上与所述至少一个通信设备(3a”、3b”、3c”)进行安全通信和/或数据保护的所述第一认证包的至少一部分。
11.一种系统(1、1’、1”),所述系统(1、1’、1”)包括:多个通信设备(3、3’、3”),所述多个通信设备(3、3’、3”)中的至少一者是根据权利要求8或9所述的通信设备;以及密钥管理服务(2、2’、2”),所述密钥管理服务(2、2’、2”)包括安全单元(7、7’、7”)和第二通信单元(5、5’、5”),其中:
所述密钥管理服务(2、2’、2”)的所述第二通信单元(5、5’、5”)被配置成使用第二无线通信技术经由第一安全连接与所述多个通信设备(3、3’、3”)中的所述至少一者通信;
所述安全单元(7、7’、7”)被配置成使用所述至少一个第一安全连接(10、10’、10”)与所述多个通信设备(3、3’、3”)中的所述至少一者协商第一认证信息,所述第一认证信息包括用于在所述第一无线通信技术上进行安全通信和/或数据保护的第一认证包;并且
所述安全单元(7、7’、7”)还包括第一存储器单元(8、8’、8”),所述第一存储器单元(8、8’、8”)被配置成存储所述第一认证信息的至少一部分。
12.根据权利要求11所述的系统(1”),其中,所述系统(1”)还包括根据权利要求10所述的通信基础设施设备(13”),并且所述密钥管理服务(2”)还包括:
第三通信单元(14d”),所述第三通信单元(14d”)被配置成使用第三通信技术经由第二安全连接与所述通信基础设施设备(13”)通信,并且
所述安全单元(7”)还被配置成使用所述第二安全连接向所述通信基础设施设备提供所述第一认证信息的至少一部分。
13.根据权利要求11或12所述的系统(1'),其中:
所述安全单元(7’)还被配置成通过使用所述至少一个通信设备(3c’)作为网关来与所述多个通信设备中的至少一个另外的通信设备(3a’、3b’)协商第二认证信息,其中,所述第二认证信息包括用于在所述第一无线通信技术上针对所述至少一个另外的通信设备(3a’、3b’)进行安全通信和/或数据保护的第二认证包;并且
所述第一存储器单元(8’)还被配置成存储所述第二认证信息的至少一部分。
14.根据权利要求11或12所述的系统(1”),其中:
所述第一存储器单元(8”)还被配置成存储所述至少一个通信设备(3a”、3b”、3c”)的唯一标识符;并且
所述安全单元(7”)还被配置成基于所述唯一标识符来确定是否将所述第一认证信息的至少一部分提供给所述至少一个通信基础设施设备(13”)。
15.根据权利要求11或12所述的系统(1、1’、1”),其中:
所述通信设备(3)还包括第二存储器单元(19),所述第二存储器单元(19)被配置成存储在受信环境中向所述通信设备(3)提供的认证材料;
所述密钥管理系统(2、2’、2”)的所述第一存储器单元(8、8’、8”)还被配置成存储相同的认证材料的至少一部分;并且
所述通信设备(3、3’、3”)的所述至少一个通信单元(5、5’、5”、16)被配置成使用所提供的认证材料建立与所述密钥管理服务(2、2’、2”)的所述第一安全连接,所提供的认证材料用于利用对称加密和/或非对称加密在所述第二无线通信技术上进行安全通信和/或数据保护。
16.一种计算机程序,所述计算机程序包括指令,所述指令在由至少一个处理器执行时执行根据权利要求1至7中任一项所述的方法(60、70)。
17.一种计算机可读存储介质,所述计算机可读存储介质包括根据权利要求16所述的计算机程序。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP22163546.9 | 2022-03-22 | ||
| EP22163546.9A EP4250641A1 (en) | 2022-03-22 | 2022-03-22 | Method, devices and system for performing key management |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116801256A true CN116801256A (zh) | 2023-09-22 |
Family
ID=80930212
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310280161.XA Pending CN116801256A (zh) | 2022-03-22 | 2023-03-21 | 执行密钥管理的方法、设备和系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20230308868A1 (zh) |
| EP (1) | EP4250641A1 (zh) |
| CN (1) | CN116801256A (zh) |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4475377B2 (ja) * | 2002-12-27 | 2010-06-09 | 日本電気株式会社 | 無線通信システム、共通鍵管理サーバ、および無線端末装置 |
| WO2013068033A1 (en) * | 2011-11-07 | 2013-05-16 | Option | Establishing a communication session |
-
2022
- 2022-03-22 EP EP22163546.9A patent/EP4250641A1/en active Pending
-
2023
- 2023-03-21 CN CN202310280161.XA patent/CN116801256A/zh active Pending
- 2023-03-22 US US18/187,845 patent/US20230308868A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20230308868A1 (en) | 2023-09-28 |
| EP4250641A1 (en) | 2023-09-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Cao et al. | A survey on security aspects for 3GPP 5G networks | |
| CN107005569B (zh) | 端对端服务层认证 | |
| US10790995B2 (en) | Oracle authentication using multiple memory PUFs | |
| Lai et al. | Secure group communications in vehicular networks: A software-defined network-enabled architecture and solution | |
| Lai et al. | Toward secure large-scale machine-to-machine comm unications in 3GPP networks: chall enges and solutions | |
| KR101018562B1 (ko) | 요청 서비스에 서플리컨트 액세스를 제공하는 방법 및 장치 | |
| CN101356759A (zh) | 安全密钥材料的基于令牌的分布式生成 | |
| AU2009251887A1 (en) | Authentication and key establishment in wireless sensor networks | |
| US11523277B2 (en) | Method of dynamically provisioning a key for authentication in relay device | |
| KR20090111315A (ko) | 배전 시스템, 보안 액세스 통신 시스템 및 방법 | |
| US20100023752A1 (en) | Method and device for transmitting groupcast data in a wireless mesh communication network | |
| CN116405193A (zh) | 一种证书申请方法及设备 | |
| CN113841366B (zh) | 通信方法及装置 | |
| Singh et al. | An efficient secure key establishment method in cluster-based sensor network | |
| Zhang et al. | Design of a lightweight authentication scheme for IEEE 802.11 p vehicular networks | |
| Martignon et al. | Design and implementation of MobiSEC: A complete security architecture for wireless mesh networks | |
| TW202137792A (zh) | 物聯網網路組網認證系統及其方法 | |
| EP4250641A1 (en) | Method, devices and system for performing key management | |
| Bowitz et al. | BatCave: Adding security to the BATMAN protocol | |
| Martignon et al. | DSA‐Mesh: a distributed security architecture for wireless mesh networks | |
| EP3713152A1 (en) | Techniques for authenticating establishment of an ad-hoc communication link | |
| Xiong et al. | Security analysis and improvements of IEEE standard 802.16 in next generation wireless metropolitan access network | |
| WO2017169957A1 (ja) | 通信システム、子機及び親機 | |
| Lee et al. | An enhanced Trust Center based authentication in ZigBee networks | |
| CN112039838B (zh) | 一种适用于移动通信不同应用场景的二次认证方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |