CN117280654A - 用于控制对传感器数据的访问的方法和系统 - Google Patents
用于控制对传感器数据的访问的方法和系统 Download PDFInfo
- Publication number
- CN117280654A CN117280654A CN202280029702.5A CN202280029702A CN117280654A CN 117280654 A CN117280654 A CN 117280654A CN 202280029702 A CN202280029702 A CN 202280029702A CN 117280654 A CN117280654 A CN 117280654A
- Authority
- CN
- China
- Prior art keywords
- sensor data
- data
- protected
- key
- perform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 112
- 238000013475 authorization Methods 0.000 claims description 104
- 230000000295 complement effect Effects 0.000 claims description 42
- 238000012545 processing Methods 0.000 claims description 17
- 230000015654 memory Effects 0.000 description 33
- 239000000872 buffer Substances 0.000 description 12
- 238000012423 maintenance Methods 0.000 description 12
- 230000008569 process Effects 0.000 description 12
- 238000013480 data collection Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 9
- 230000002085 persistent effect Effects 0.000 description 7
- 230000007613 environmental effect Effects 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 5
- 238000005057 refrigeration Methods 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 4
- 230000004907 flux Effects 0.000 description 3
- 230000036541 health Effects 0.000 description 3
- 230000033001 locomotion Effects 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 239000000779 smoke Substances 0.000 description 2
- 102100034112 Alkyldihydroxyacetonephosphate synthase, peroxisomal Human genes 0.000 description 1
- 101000799143 Homo sapiens Alkyldihydroxyacetonephosphate synthase, peroxisomal Proteins 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 238000000848 angular dependent Auger electron spectroscopy Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000005684 electric field Effects 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 230000007717 exclusion Effects 0.000 description 1
- 239000012530 fluid Substances 0.000 description 1
- 239000000446 fuel Substances 0.000 description 1
- 230000007787 long-term memory Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000003908 quality control method Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000006403 short-term memory Effects 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/009—Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/61—Time-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/38—Services specially adapted for particular environments, situations or purposes for collecting sensor information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Storage Device Security (AREA)
Abstract
一种控制对传感器数据的访问的方法,包括:生成传感器数据,并保护传感器数据以生成受保护的传感器数据;将受保护的传感器数据传输至设备以供存储;传感器接收:定义允许设备对受保护的传感器数据执行的一个或多个操作的访问控制数据;传感器基于访问控制数据确定允许设备对受保护的传感器数据执行的操作;使设备能够对受保护的传感器数据执行允许的操作。一种通过设备访问受保护的传感器数据的方法,该设备上存储有定义允许设备对受保护的传感器数据执行的一个或多个操作的访问控制数据,该方法包括以下步骤:从传感器接收受保护的传感器数据;存储接收的受保护的传感器数据;向传感器发送授权访问控制数据;从传感器接收信号,该信号使设备能够对受保护的传感器数据执行允许的操作。
Description
技术领域
本发明涉及控制对传感器数据的访问。更具体地,本发明涉及依赖于在传感器处基于本地密钥的加密和使用授权令牌来确保设备只能访问其被允许访问的数据的方法和系统。本发明的各个方面涉及系统的不同部分和由这些不同部分执行的方法。
背景技术
传感器在日常生活中无处不在,对于所见和所用的几乎所有设备的运行和维护都是必不可少的。需要确保由给定传感器获得的数据不能被任何其他设备访问或修改。例如,可能希望由检测工业机械中的磨损的传感器收集的数据只能由属于负责维护这些机器的工程师的设备访问。同样,确保传感器数据不能被操纵(除非被授权方操纵)也很重要。传统上,设备的访问权限由安全平台控制。然而,随着边缘计算(edge computing)(其中,数据处理发生在网络节点上的设备上,而不是集中执行)的出现,边缘设备(edge device)可能通过所谓的“空气间隙(air gap)”与安全平台明显分离。在这些情况下,边缘设备和安全平台之间可能没有安全连接或安全网络。因此,需要一种系统,在该系统中,即使当设备和传感器远离控制访问权限的安全平台时,也可以安全地控制设备对传感器数据的访问。通过本申请所针对的本发明来解决这种需要。
发明内容
总的来说,本发明提供了一种系统,在该系统中,访问控制数据部署在诸如边缘设备的设备上,该访问控制数据例如被包括在可由远程安全平台生成的授权令牌上,例如在授权令牌上的访问控制数据定义设备有权访问的传感器数据,以及允许设备对该传感器数据执行的操作。传感器生成传感器数据,对传感器数据进行保护,然后将传感器数据传输至设备进行存储。因此,即使传感器数据存储在设备上,因为传感器数据受到保护,所以设备也可能无法利用传感器数据。如果设备希望访问传感器数据,设备可以向传感器发送请求,以及例如在授权令牌上的访问控制数据。然后,传感器例如通过将仅可用于执行允许的操作的密钥返回到设备,使设备仅能执行某些允许的操作。通过在设备上部署授权令牌,设备不需要与安全平台进行物理连接。此外,由于存储在设备上的数据受到保护,并且只能通过正确的权限进行访问,因此数据安全性不会受到影响。应注意,本发明存在许多部分,每个部分都有助于实现技术优点。因此,本发明有许多方面。
本发明的一个方面提供了一种控制对传感器数据的访问的方法,该方法包括以下步骤:生成传感器数据,并保护传感器以生成受保护的传感器数据;将受保护的传感器数据传输至设备以供存储;传感器接收访问控制数据,访问控制数据定义允许设备对受保护的传感器数据执行的一个或多个操作;传感器基于访问控制数据确定允许设备对受保护的传感器数据执行的操作;使设备能够对受保护的传感器数据执行允许的操作。在本文中,可以使用秘密密钥(例如加密密钥)来保护传感器数据。此外,如上所述,传感器可以接收包括访问控制数据的授权令牌。使设备能够执行允许的操作可以通过向设备提供数据来实现,数据例如是可由设备用于对受保护的传感器数据执行允许的操作的一个或多个密钥。具体地,使设备能够执行允许的操作可以包括向设备发送包括一个或多个密钥的信号或编码一个或多个密钥的数据,一个或多个密钥可由设备用于对受保护的传感器数据执行允许的操作。本发明的另一方面提供了一种传感器,该传感器用于执行本发明先前方面的方法。有两种重要的方法可以控制对传感器数据的访问:首先,根据允许的操作,可以向设备提供不同的密钥。替代地或附加地,传感器数据可以包括传感器数据的多个子集(多个子集可以不同),每个子集都被单独保护。在这种情况下,传感器可以仅向设备提供可用于访问允许的传感器数据的子集的密钥。
本发明的另一互补方面是由设备而不是传感器执行的方法,具体是设备访问受保护的传感器数据的方法,设备上存储有访问控制数据,访问控制数据定义允许设备对受保护的传感器数据执行的一个或多个操作,该方法包括以下步骤:从传感器接收受保护的传感器数据;存储接收的受保护的传感器数据;向传感器发送访问控制数据;从传感器接收信号,该信号使设备能够对受保护的传感器数据执行允许的操作。在一些情况下,设备上可以存储包括访问控制数据的授权令牌。此外,在一些情况下,接收使设备能够对受保护的数据执行允许的操作的信号可以包括接收可由设备用于对受保护的传感器数据执行允许的操作的一个或多个密钥。本发明的另一方面提供了一种设备,该设备用于执行本发明先前方面的方法。
本发明的另一方面提供了一种包括上述传感器和上述设备的系统。
本发明的各实施方式使得能够在“边缘”执行更多的处理和计算,同时降低被恶意行为者干扰的风险。因此,本发明可以有利地应用于各种用例,例如智能车辆和智能建筑。在本发明的上下文中,术语“智能”通常可用于指代如下技术领域:遍布例如车辆或建筑物的传感器收集数据,并且数据用于为与车辆或建筑物相关的控制过程提供信息。随着所谓的“物联网”的出现,传感器本身的计算和处理量也在增加。根据本发明的另一方面,提供了一种包括通过网络互连的多个传感器的建筑物,其中多个传感器中的至少一个传感器是根据本发明先前方面的传感器。优选地,多个传感器中的每个传感器是根据本发明先前方面的传感器。本发明的等效方面提供了车辆而不是建筑物。
根据本发明所有方面的传感器可以包括以下中的任何或全部:照相机、接近传感器、CO2传感器、烟雾传感器、压力传感器、湿度传感器、加速度计、位置传感器、运动传感器、基于激光雷达(LiDAR)的传感器、温度传感器、力传感器、振动传感器、压电传感器、流体属性传感器、光电传感器、光强度传感器。然而,应当理解,这是一个非详尽的列表,并且本发明决不限于这些类型的传感器。
在车辆的背景下,本发明的“传感器”可以用于感测车辆内的特定条件。然后,可以保护数据,以确保只有授权的维护人员能够访问传感器数据,以便为维护决策提供信息。可以从智能车辆或更一般的车辆的背景下获得的特定类型的传感器数据或其他信息包括以下内容:
-关于车辆身份的信息(该信息可以被编码在诸如QR码的代码或其他标识符中或从该代码或其他标识符中获得,其中,传感器可以是用于从该代码或其他标识符中获得身份信息的设备)。这可适用于例如自动车牌识别系统。类似地,还可以存在关于车辆的乘客或驾驶员的身份的信息,该信息可以从例如图像传感器或通过扫描代码(例如用于车辆身份的代码)获得。
-可用于导航的信息,例如车辆的位置、指示车辆运动的向量、以及指示车辆方向变化或车辆加速或减速的向量变化。这可以由位于汽车中的GPS跟踪器(或其他卫星导航系统)感测。在这种情况下,为了车主的隐私,保护传感器数据可能特别重要。由于此类信息经常被保险公司和执法部门使用,因此可预防或可检测任何篡改所获得数据的企图也是非常重要的。类似地,传感器数据可以包括车辆里程,或者已经使用车辆的时间。
-传感器可以用于检测车辆的各种组件何时需要维护或损坏。该信息与维护人员特别相关。类似地,传感器可以检测车辆内例如油、燃料、电池能量的消耗。电池功率的检测在电动汽车中尤为重要。
-车辆内可能存在前文列出的环境传感器。
传感器获得这样的信息可能特别有用的商业环境包括:保险、车队管理、商业/交易、车辆健康/维护、车对车通信、自动驾驶汽车、智能停车、交通管理。
类似的考虑也适用于包括传感器的建筑物:确保传感器数据只能由授权的维护人员访问很重要。
本发明包括所描述的各方面和优选特征的组合,除非这样的组合明显不允许或明确冲突。
附图说明
现在将参照以下附图描述本发明的各实施例,在附图中:
图1示出了包括传感器10和设备20的系统。
图2示出了可由传感器10执行的方法的示例。
图3示出了可由设备20执行的方法的示例。
图4示出了传感器100的替代示例。
图5示出了设备200的替代示例。
图6示出了如何将传感器数据划分为子集。
图7示出了用于恢复或生成一个给定数据的加密密钥的过程。
图8A和图8B示出了两个示例加密密钥数据表的布局。
图9示出了生成加密密钥的方法。
图10示出了认证方法。
图11示出了包括传感器、设备、以及操作组件的系统。
具体实施方式
现在将参照附图讨论本发明的各方面和各实施例。对于本领域技术人员来说,其他方面和实施例将是显而易见的。本文中提到的所有文献引入本文作为参考。
本发明涉及各种方法和装置。具体地,本发明涉及由传感器执行的方法、由诸如边缘设备或服务器的设备执行的方法、以及由包括该传感器和该设备的系统执行的方法。本发明还涉及传感器、设备、以及系统本身。图1示出了包括传感器10和设备20的系统1。图2和图3分别示出了根据本发明的可以由传感器10和设备20执行的方法的具体示例。
如所讨论的,图1的系统1包括传感器10和设备20。传感器10和设备20经由连接C连接。连接C可以是能够在传感器10和设备20之间传送数据和/或信息的任何形式的连接。优选地,连接C是电连接,并且可以是有线连接或无线连接,例如经由无线网络(例如Wi-Fi或蜂窝网络)的连接。可选地,无线连接可以是蓝牙连接或近场通信连接的形式。应当理解,连接C可以采取许多不同的形式,本文不需要明确列出。
传感器10包括处理器11,处理器11包括加密模块12和访问确定模块13。参考图1和本申请的其余部分,应注意,术语“模块”指用于执行给定功能的任何功能单元。模块可以用专用的、适配的、或修改的硬件来实现,或者可以替代地以软件模块的形式来实现,例如以代码段的形式来实现。
传感器10还包括发射器14和接收器15。在本文中,术语“发射器”被广泛用于涵盖能够传输数据或影响数据传输的任何组件。例如,发射器14可以用于生成和发送无线信号,该无线信号对数据进行编码。或者,发射器14可以用于通过有线连接(例如连接C)来实现数据传输。类似地,术语“接收器”应被广义地视为能够接收数据的任何组件。例如,接收器15可以用于接收无线信号,或者可以用于经由有线连接(例如连接C)接收数据。传感器10、处理器11、加密模块12、访问确定模块13、发射器14、以及接收器15的功能将在本申请下文中参考图2和图3进行更详细的描述。
设备20包括接收器21、存储器22、处理器25、以及发射器26。术语“发射器”和术语“接收器”应按照上一段的规定加以解释。设备20的存储器22包括或存储有授权令牌23和加密的传感器数据24。这些组件的性质将在下文描述。
在描述本发明的具体实施例之前,首先概述本发明的第一方面和第二方面的可选特征。尽管在下面的本公开中使用了附图标记,但是应注意,明确地设想可以使用不同于图1所示系统的系统来实现该方法。
如前所述,本发明的第一方面提供了一种控制对传感器数据的访问的方法,该方法包括以下步骤:生成传感器数据,并使用一个或多个密钥保护传感器数据,以生成受保护的传感器数据24;将受保护的传感器数据24传输至设备20以供存储;传感器10接收包括访问控制数据的授权令牌23,访问控制数据定义允许设备20对受保护的传感器数据24执行的一个或多个操作;传感器10基于访问控制数据确定允许设备20对受保护的传感器数据24执行的操作;向设备20提供可由设备20用于对受保护的传感器数据24执行允许的操作的一个或多个密钥。在优选的情况下,为了减少传感器10(具体来说,其存储器)的存储要求,该方法还可以包括在将传感器数据传输至设备20的步骤之后删除传感器数据的步骤。本发明的核心思想是,传感器10将基于授权令牌23中的访问控制数据,仅向设备20提供设备10可用于执行其被允许执行的操作的一个或多个密钥。允许的操作以及与其相关联的密钥的性质将在下文更详细地讨论,但是在此之前,描述一种一般情况,在该情况下,在生成受保护的传感器数据期间可以应用各种密钥,并且这些密钥的组合可用于对受保护的传感器数据执行各种操作。应注意,各种密钥可以以“堆叠”的方式一个接一个地应用。
在一些情况下,保护传感器数据包括将第一秘密密钥应用于传感器数据,以生成第一受保护的传感器数据。然后,如果访问控制数据定义允许设备对第一受保护的传感器数据执行第一操作,则提供步骤可以包括向设备提供可由设备用于执行第一操作的第一互补密钥。在本文中,第一操作可以与将第一秘密密钥应用于传感器数据互补,例如加密/解密(具体示例将在本申请下文详细讨论)。在本文中,术语“互补(complementary)”应理解为意味着密钥能够执行对秘密密钥的互补动作。例如,如果秘密密钥是加密密钥,则互补密钥可以是相应的解密密钥。如果秘密密钥用于生成认证码,则互补密钥可以与秘密密钥相同,从而使设备能够生成相同的认证码,以便认证受保护的传感器数据。需要注意的是,互补密钥可以与秘密密钥相同。
在优选的情况下,第一秘密密钥是加密密钥,并且第一受保护的传感器数据是加密的传感器数据。然后,第一操作可以是解密操作或读取操作。在这种情况下,上述提供步骤可以包括向设备提供解密密钥形式的互补密钥。在一些实施例中,加密密钥可以是对称加密密钥,在这种情况下,加密密钥和解密密钥可以相同。在该示例中,传感器加密传感器数据,并且只有当访问控制数据指定允许时,设备才能接收密钥来解密传感器数据。
在其他情况下,保护传感器数据可以包括将第二秘密密钥应用于第一受保护的传感器数据,以生成第二受保护的传感器数据。那么,有两种可能的结果:
1.如果访问控制数据定义允许设备对第二受保护的数据执行第二动作,则上述提供步骤可以包括向设备提供第二互补密钥,第二互补密钥可由设备用于对第二受保护的传感器数据执行第二操作。在本文中,如上所述,第二操作可以与将第二秘密密钥应用于第一受保护的传感器数据互补。
2.如果访问控制数据定义允许设备执行第一操作和第二操作,或执行第三操作(可选地,第三操作可以是第一操作和第二操作的组合,或者为了执行该第三操作需要第一操作和第二操作都被执行),则上述提供步骤可以包括:向设备提供第一互补密钥和第二互补密钥,第一互补密钥和第二互补密钥可组合用于对第二受保护的传感器数据执行第三操作。或者,上述提供步骤可以包括:向设备提供第一互补密钥和第二互补密钥,第二互补密钥可由设备用于对第二受保护的传感器数据执行第二操作以恢复第一受保护的传感器数据,然后第一互补密钥可由设备用于对第一受保护的传感器数据执行第一操作。
下面描述可以使用两个密钥的两个示例场景。
第一个场景中,传感器数据首先应用认证密钥,以生成认证码。然后,将加密密钥应用于传感器数据和认证码的组合,以生成加密的传感器数据。在这种情况下,第一秘密密钥是认证密钥;第一受保护的数据是传感器数据和认证码的组合;第二秘密密钥是加密密钥;第二受保护的传感器数据是加密的传感器数据。然后,考虑上述情况1和情况2:
1.第二操作可以是解密。换句话说,如果访问控制数据定义允许设备解密加密的传感器数据,则上述提供步骤可以包括向设备提供可由设备用于解密加密的传感器数据的解密密钥(加密密钥的互补)。在使用对称加密密钥的情况下,加密密钥和解密密钥可以相同。
2.第一操作可以是认证,第二操作可以(仍然)是解密。换句话说,第三操作可以包括例如修改传感器数据,特别是以可以被认证的方式修改传感器数据。为了让设备修改传感器数据,需要首先能够解密传感器数据,此时将能够修改传感器数据。如果未经授权的设备这样做,则会因为(没有认证密钥)这样的设备无法生成与修改的传感器数据相对应的认证码而被检测到。因此,授权设备需要能够解密传感器数据(即读取传感器数据),并且在修改传感器数据后,能够重新验证传感器数据,以便可以验证修改后的传感器数据。因此,如果访问控制数据定义允许设备解密和重新认证加密的传感器数据,或者修改传感器数据,则上述提供步骤可以包括:
a.向设备提供第一认证密钥和解密密钥,第一认证密钥和加密密钥组合可用于修改传感器数据;或者
b.向设备提供第一认证密钥和解密密钥,解密密钥可由设备用于解密加密的传感器数据以恢复传感器数据和认证码的组合,从而使设备能够修改传感器数据以生成修改后的传感器数据,并且第一认证密钥可由设备用于修改后的传感器数据以生成第二认证码。在一些情况下,如上所述,加密密钥是对称的,因此加密密钥与解密密钥相同。在这种情况下,设备则可以使用密钥来重新加密修改后的传感器数据和第二认证码的组合,以生成修改后的加密的传感器数据,以供存储在例如设备的存储器上。
在第二示例中,第一秘密密钥可以是加密密钥,并且第一受保护的传感器数据可以是加密的传感器数据。然后,第二秘密密钥可以是第二认证密钥(与形成前一示例的一部分的第一认证密钥无关),并且第二受保护的传感器数据可以采取认证码的形式,或者优选地,加密的传感器数据和认证码的组合。第一操作可以是解密操作,第二操作可以是认证操作。请注意,这与前面的示例相反。
则:
1.第二操作可以是认证。在这种情况下,如果访问控制数据定义允许设备认证加密的传感器数据,则上述提供步骤可以包括:向设备提供可由设备用于认证加密的传感器数据的认证密钥。在本文中的认证步骤可以包括对加密的传感器数据使用认证密钥以生成认证码,并将生成的认证码与包括在第二受保护的传感器数据中的认证码进行比较。如果这两个认证码相同,则可以得出结论,加密的传感器数据没有被篡改。如果这两个认证码不匹配,则加密的传感器数据可能已以未经授权的方式被篡改。
2.第一操作可以是加密。在这种情况下,如果访问控制数据定义允许设备解密加密的传感器数据,则向设备提供可由设备用于解密加密的传感器数据的解密密钥的步骤,从而恢复传感器数据。应注意,在这种情况下,上述解密可以在没有认证的情况下进行。然而,首先确认加密的传感器数据是真实的是有益的。因此,如果访问控制数据定义允许设备对加密的传感器数据进行认证和解密,则优选地设备在解密步骤之前执行认证步骤。
上述示例只需要(显式地)应用第一秘密密钥和第二秘密密钥。然而,应当理解,该方法可以推广到一般的多个秘密密钥的应用。在这种情况下,保护传感器数据可以包括对传感器数据应用多个秘密密钥以生成受保护的传感器数据。然后,上述提供步骤可以包括向设备提供多个互补密钥,每个互补密钥与上述多个秘密密钥中的相应秘密密钥互补,多个互补密钥的组合可被设备用于执行允许的操作。
在作为上述具体示例的扩展的情况下,使用三个密钥:
1.第一秘密密钥是第一认证密钥。
2.第二秘密密钥是加密密钥。
3.第三秘密密钥是第二认证密钥。
在这种情况下,保护传感器数据包括以下步骤:应用第一认证密钥以生成包括传感器数据和第一认证码的第一受保护的传感器数据;将加密密钥应用于第一受保护的传感器数据,以生成加密的传感器数据形式的第二受保护的传感器数据(第二受保护的传感器数据是传感器数据和第一认证码的加密);应用第二受保护的传感器数据的第二认证密钥以生成包括加密的传感器数据和第二认证码的第三受保护的传感器数据。
该示例有效地结合了上面列出的两个示例。在这种情况下:
1.第一操作是认证传感器数据。
2.第二操作是解密操作。
3.第三操作是认证加密的传感器数据。
如果访问控制数据定义允许设备认证加密的传感器数据,则上述提供步骤可以包括:向设备提供可由设备用于认证加密的传感器数据的第二认证密钥。
如果访问控制数据定义允许设备解密加密的传感器数据,则上述提供步骤可以包括向设备提供可由设备用于解密加密的传感器数据的解密密钥(加密密钥的互补)。在使用对称加密密钥的情况下,加密密钥和解密密钥可以相同。在访问控制数据定义允许设备认证和解密加密的传感器数据的情况下,则可以提供两个密钥,以使设备执行两个操作。
如果访问控制数据定义允许设备解密和重新认证加密的传感器数据、或修改传感器数据,则上述提供步骤可以包括:向设备提供第一认证密钥和解密密钥,第一认证密钥和加密密钥组合可用于修改传感器数据;或者向设备提供第一认证密钥和解密密钥,解密密钥可由设备用于解密加密的传感器数据以恢复传感器数据和第一认证码的组合,从而使设备能够修改传感器数据以生成修改后的传感器数据,并且第一认证密钥可由设备用于修改后的传感器数据以生成第三认证码。在一些情况下,如上所述,加密密钥是对称的,因此加密密钥与解密密钥相同。在这种情况下,设备然后可以使用密钥来重新加密修改后的传感器数据和第三认证码的组合,以生成修改后的加密的传感器数据,以供存储在例如设备的存储器上。
在可能的情况下,应用多个秘密密钥的顺序是重要的,并且相应地,应用多个互补密钥的顺序也是重要的。在这些情况下(可以形成上述先前情况的子集或可以不形成上述先前情况的子集),保护传感器数据可以包括:连续地向传感器数据应用N个秘密密钥,以生成第N个受保护的传感器数据,其中,将第一秘密密钥应用于传感器数据生成第一受保护的传感器数据,并且对于k>1,将第k个密钥应用于第(k-1)个受保护的传感器数据生成第k个受保护的传感器数据,其中1<k≤N。然后,如果访问控制数据定义允许设备对第N个受保护的传感器数据执行第M个操作,其中1≤M≤N,则上述提供步骤包括向设备提供与多个密钥的密钥子集互补的(N+1-M)个互补密钥,其中,M≤k≤N,从第N个互补密钥连续到第M个互补密钥,M个密钥可用,以执行或促进第M个操作的执行。具体地,设备然后可以从N到M依次在第N个受保护的传感器上应用多个互补密钥,其中将第k个互补密钥应用于第k个受保护的传感器数据来恢复第(k-1)个受保护的传感器数据(k>1),并且其中将第一个互补密钥应用于第一个受保护的传感器数据恢复传感器数据。
根据某些实施方式,该方法还可以包括为传感器生成的每个单独的数据生成秘密密钥的步骤。以这种方式生成和存储秘密密钥将在本申请下文中在加密密钥的背景下更详细地解释。然而,应注意,本公开同样适用于用于保护传感器数据的通用密钥的情况。
在一些情况下,设备可以被允许对数据的不同子集执行不同的操作。例如,给定的设备可能能够修改和重新认证数据的一个子集,但只能解密另一子集。这种允许优选地被定义在授权令牌中包括的访问控制数据中。具体地,传感器数据可以包括传感器数据的第一子集和传感器数据的第二子集。因此,生成受保护的传感器数据可以包括:保护传感器数据的第一子集以生成受保护的传感器数据的第一子集,保护传感器数据的第二子集以生成受保护的传感器数据的第二子集。传感器数据可以被划分为子集的方式在本申请下文中详细阐述。如前所述,生成受保护的传感器数据的第一子集可以包括将第一秘密密钥应用于传感器数据的第一子集,生成受保护的传感器数据的第二子集可以包括将第二秘密密钥应用于传感器数据的第二子集。
在这些情况下,访问控制数据可以定义:允许设备对受保护的传感器数据的第一子集执行的第一操作;和/或允许设备对受保护的传感器数据的第二子集执行的第二操作。
然后,确定步骤可以包括基于访问控制数据确定:允许设备对受保护的传感器数据的第一子集执行的第一操作;和/或允许设备对受保护的传感器数据的第二子集执行的第二操作。设备可能不被允许对第一子集和第二子集执行操作。因此,上述提供步骤可以包括:仅当确定允许设备执行第一操作时,提供可由设备用于对受保护的传感器数据的第一子集执行第一操作的一个或多个密钥;仅当确定允许设备执行第二操作时,提供可由设备用于对受保护的传感器数据的第二子集执行第二操作的一个或多个密钥。换句话说,除非访问控制数据指示允许设备这样做,否则不能执行第一操作和第二操作。
在更一般的情况下,传感器数据可以包括传感器数据的多个子集。则加密传感器数据的步骤可以包括用相应的密钥保护传感器数据的多个子集中的每个子集,以生成受保护的传感器数据的相应的多个子集。因此,访问控制数据可以定义允许设备对受保护的传感器数据的相应子集执行的一个或多个操作。例如,可以为每个数据子集、仅为其中一个子集、或其中一些子集定义操作。然后,上述确定步骤可以包括确定允许设备对受保护的传感器数据的相应子集执行的一个或多个操作。在确定之后,则该方法可以包括向设备提供一个或多个密钥的步骤,每个密钥可由设备用于对受保护的传感器数据的相应子集执行允许的操作。
在上述示例中,只指定授权令牌由传感器接收。应当理解,上述确定步骤响应于接收到授权令牌而发生。在上述情况下,应该理解,响应于上述确定步骤,传感器基于访问控制数据向设备提供可由设备用于执行所有允许的操作的一个或多个密钥。然而,在一些情况下,设备可能不希望执行所有可能的操作。在这种情况下,该方法还可以包括从设备接收访问请求的步骤,该访问请求指定:对受保护的传感器数据的第一子集执行第一操作和/或对受保护的传感器数据的第二子集执行第二操作。然后,上述确定步骤可以包括:确定是否允许设备对受保护的传感器数据的第一子集执行第一操作;和/或确定是否允许设备对受保护的传感器数据的第二子集执行第二操作。然后,正如已经讨论过的,仅在发生了肯定确定的情况下,才会提供相关的密钥。
在上文中已经列出了一些实施方式,其中根据给定设备的权限,可以对受保护的传感器数据执行多个操作。还阐述了设备可以对传感器数据的不同子集执行不同操作的实施方式。应当注意,本发明还包括这样的实施方式,其中受保护的传感器数据的多个子集中的每个子集由多个秘密密钥保护,并且访问控制数据定义可以对受保护的传感器数据的每个子集执行的单独操作。这种实施方式可通过组合上述可选特征获得,并且应被视为在本申请中明确公开。
当传感器10接收到授权令牌23时,传感器10可以执行认证授权令牌23的步骤。例如,当授权令牌23被生成时,授权令牌23可以已经使用例如椭圆曲线数字签名算法(elliptic curve digital signature algorithm)和私钥进行签名。私钥可以放在PKI中,因此私钥由证书颁发机构(certification authority,CA)以证书的形式进行签名。根CA公钥可以被硬编码到传感器10中(例如传感器10的传感器安全元件),然后可以用于认证授权令牌23。当设备20请求访问数据时,可以在传感器10和设备20之间建立安全信道。在这种情况下,传感器10和/或设备20可以使用例如预共享的对称密钥或非对称PKI来执行相互认证过程。
在本发明的优选实施方式中,上述方法用于至少通过对传感器数据进行加密从而生成加密的传感器数据来保护传感器数据。在这种情况下,该方法包括以下步骤:生成传感器数据,并使用加密密钥加密传感器数据,以生成加密的传感器数据24;将加密的传感器数据24传输到设备20以供存储;传感器10接收包括访问控制数据的授权令牌23,访问控制数据定义允许设备20对加密的传感器数据24执行的一个或多个操作;传感器10基于访问控制数据确定允许设备20对受保护的传感器数据24执行的操作;向设备20提供设备20可用的一个或多个密钥,以对加密的传感器数据24执行允许的操作。本发明的附加可选特征如下所述。应当注意,下面列出的特征可以代表上述示例的重新措辞。在兼容的情况下,本申请中公开的本发明的任何可选特征可以与任何其他特征相结合,而不超出本公开的预期范围。特别地,应注意,下面列出的与加密或加密密钥相关的任何可选特征可以同样适用于使用密钥的一般保护或秘密密钥本身及其互补。
本发明的一个重要目的是确保传感器数据保持安全,并且只能由特定方、指定方读取和/或修改。因此,操作可以包括解密加密的传感器数据24、以及修改和重新认证传感器数据。在后一种情况下,应当理解,在可以修改相应的(即未加密的)传感器数据之前,需要首先解密加密的传感器数据24。
首先考虑访问控制数据定义允许设备20解密加密的传感器数据24的情况。在这种情况下,该方法可以包括向设备20提供设备20可用于解密加密的传感器数据的解密密钥。换句话说,因为访问控制数据定义了允许设备解密加密的传感器数据24,所以将(基于此)确定允许设备解密加密的传感器数据24。在一些情况下,加密密钥可以是对称密钥,在这种情况下,解密密钥可以与初始用于加密传感器数据的加密密钥相同。
在其他情况下,可以允许设备20更进一步操作,并修改传感器数据。将注意到,具有解密密钥的任何一方都能够解密和修改数据。然而,重要的是可以识别对数据的未经授权的修改,以便可以忽略这些未经授权的修改。为了确保这种情况,加密步骤可以包括在使用加密密钥之前将第一认证密钥应用于数据。这样,如果未授权方要修改传感器数据然后对传感器数据重新加密,但没有第一认证密钥,未授权方将无法认证数据,并且将直接检测到发生了未授权的篡改。现在考虑允许设备20修改数据的情况。如果访问控制数据定义允许设备20修改传感器数据,则该方法可以包括:向设备20提供可用于解密加密的传感器数据的解密密钥,从而输出传感器数据;以及向设备20提供第一认证密钥,第一认证密钥可由设备20用于重新认证修改后的传感器数据。因此,设备20可以用于解密数据、修改数据、以及重新应用认证密钥来认证修改后的传感器数据。设备20然后可以重新加密数据。
在一些其他情况下,操作可以包括仅认证加密的传感器数据。换句话说,在一些情况下,设备20可能希望确认加密的传感器数据24在其生成和传输至设备并存储在设备期间没有被篡改。为了实现这一点,加密步骤可以包括对加密的传感器数据24应用第二认证密钥。然后,上述提供步骤可以包括向设备20提供第二认证密钥,第二认证密钥可由设备20用于认证加密的传感器数据。应当注意,在如上所述允许设备20解密和/或修改传感器数据的情况下,第二认证密钥也可以提供给设备20。
应当注意,在本申请的上下文中,认证密钥是可以应用于一些(加密或未加密)数据的密钥,其输出消息认证码(message authentication code,MAC)。然后可以将MAC标记到原始数据(即“消息”)。具体地,将认证密钥应用于数据可以包括将基于密钥的算法应用于数据,该算法的输出取决于输入数据和密钥。换句话说,只有当输入数据和密钥都相同时,才能获得相同的结果。不同的密钥会产生不同的结果。在优选示例中,将认证密钥应用于传感器数据(或加密的传感器数据)可以包括在传感器数据(或加密的传感器数据)上使用涉及认证密钥的密钥化散列算法(keyed hash algorithm)或HMAC方案来生成HMAC。还设想了其他密钥认证方案。
应当注意,在本申请中描述的关于加密密钥的任何动作(特别是与这些密钥的生成和/或恢复相关的那些动作)也可以针对第一认证密钥和/或第二认证密钥执行。
在一些情况下,对于传感器数据的不同子集,可以允许不同的操作。例如,传感器10可以获得两种不同类型的数据,并且可以仅允许给定的设备20读取一种类型的数据而修改另一种类型的数据。可选地,设备20可以仅被允许查看在特定时间帧内记录的数据。本发明的一些实施方式使得不同的规则能够应用于传感器数据的不同子集。具体地,传感器数据可以包括传感器数据的第一子集和传感器数据的第二子集。当然,通常,传感器数据可以被分成传感器数据的多个子集。在本文中,划分为第一子集和第二子集是为了说明的目的。一般情况将在下文描述。
有许多方法可以将传感器数据划分成子集。例如,这样的方法可以包括生成头部并将头部附加到所生成的每个传感器数据,头部包括包含关于该传感器数据的信息的元数据,元数据包括以下中的一个或多个:指示收集/生成该传感器数据的时间和/或日期的时间戳;标识收集该数据的传感器的传感器ID;指示该数据的类型的数据类型;以及标识被允许访问该数据的设备20的一个或多个设备ID。在这种情况下,每个传感器数据所属的子集基于该传感器数据的头部中的元数据。
加密步骤可以包括用第一加密密钥加密传感器数据的第一子集,以生成加密的传感器数据的第一子集24;用不同于第一加密密钥的第二加密密钥加密传感器数据的第二子集,以生成加密的传感器数据的第二子集24。在这种情况下,访问控制数据可以定义允许设备20对加密的传感器数据24的第一子集执行的第一操作;和/或允许设备20对加密的传感器数据24的第二子集执行的第二操作。因此,上述确定步骤可以包括基于访问控制数据确定:允许设备20对加密的传感器数据24的第一子集执行的第一操作;和/或允许设备20对加密的传感器数据24的第二子集执行的第二操作。设备20可以不被允许对第一子集和第二子集两者执行操作。因此,上述提供步骤可以包括:仅当确定允许设备20执行第一操作时,提供设备20可用于对加密的传感器数据24的第一子集执行第一操作的一个或多个密钥;以及仅当确定允许设备20执行第二操作时,提供设备20可用于对加密的传感器数据24的第二子集执行第二操作的一个或多个密钥。换句话说,除非访问控制数据指示允许设备20执行第一操作和第二操作,否则不能执行。
在更一般的情况下,传感器数据可以包括传感器数据的多个子集。加密传感器数据24的步骤然后可以包括用相应的密钥加密传感器数据的多个子集中的每个子集,以生成加密的传感器数据24的相应的多个子集。因此,访问控制数据可以定义允许设备20对加密的传感器数据24的相应子集执行的一个或多个操作。例如,可以为每个数据子集、仅为其中一个子集、或其中一些子集定义操作。然后,上述确定步骤可以包括确定允许设备20对加密的传感器数据24的相应子集执行的一个或多个操作。一旦发生上述确定,则该方法可以包括向设备20提供一个或多个密钥的步骤,每个密钥可由设备20用于对加密的传感器数据24的相应子集执行允许的操作。
在上述示例中,只指定授权令牌23由传感器10接收。应当理解,上述确定步骤响应于接收到授权令牌23而发生。在上述情况下,应该理解,响应于上述确定步骤,传感器10基于访问控制数据向设备20提供设备20可用于执行所有允许的操作的一个或多个密钥。然而,在一些情况下,设备20可能不希望执行所有可能的操作。在这种情况下,该方法还可以包括从设备20接收访问请求的步骤,该访问请求指定:对加密的传感器数据24的第一子集执行的第一操作和/或对加密的传感器数据24的第二子集执行的第二操作。然后,上述确定步骤可以包括:确定是否允许设备20对加密的传感器数据24的第一子集执行第一操作;和/或确定是否允许设备20对加密的传感器数据24的第二子集执行第二操作。然后,正如已经讨论过的,仅在发生了肯定的确定的情况下,才会提供相关的密钥。
如前所述,这可以推广到存在传感器数据的多个子集的情况。在这种情况下,访问请求可以指定要对传感器数据的相应子集执行的一个或多个操作,并且上述确定步骤包括确定是否允许设备20对加密的传感器数据24的每个指定子集执行相应指定的操作。
上文呈现的可选特征主要涉及本发明的第一方面,即由传感器10执行的方法。然而,应当理解,在兼容的情况下,这些特征同样适用于本发明的第二方面,即由设备20执行的方法。下面,概述了可以应用于本发明第二方面的一些附加的可选特征。本发明的第二方面提供了一种通过设备20访问受保护的传感器数据的方法,设备20上存储有包括访问控制数据的授权令牌23,访问控制数据定义允许设备20对加密的传感器数据24执行的一个或多个操作,该方法包括以下步骤:从传感器接收加密的传感器数据24,加密的传感器数据使用加密密钥进行加密;存储接收的传感器数据;向传感器发送授权令牌23;接收可由设备20用于对加密的传感器数据24执行允许的操作的密钥。如前所述,上述操作可以包括解密加密的传感器数据24;修改和重新认证传感器数据。
如上所述,当广义地定义本发明时,设备20仅向传感器10发送授权令牌23。在这些情况下,设备20可以接收可用于执行授权令牌23的访问控制数据所允许的所有操作的密钥。然而,在不希望这样做的一些情况下,设备20可以向传感器10发送访问请求,该访问请求指定要对加密的传感器数据24执行的请求操作。
如在上文参照本发明的第一方面阐述的,传感器数据可以包括第一子集和第二子集,并且设备20可以被允许对不同的子集执行不同的操作。如前所述,加密的传感器数据24可以包括加密的传感器数据24的第一子集和加密的传感器数据24的第二子集。然后,访问控制数据可以定义允许设备对加密的传感器数据24的第一子集执行的第一操作,和/或允许设备对加密的传感器数据24的第二子集执行的第二操作。在这种情况下,作为在传感器10处发生的确定步骤的结果,接收步骤可以包括:仅当访问控制数据中了定义允许设备执行第一操作时,接收可由设备20用于对加密的传感器数据24的第一子集执行第一操作的一个或多个密钥;仅当访问控制数据中定义了允许设备20执行第二操作时,接收可由设备20用于对加密的传感器数据24的第二子集执行第二操作的一个或多个密钥。当然,传感器数据可以不仅仅包括第一子集和第二子集。本段中描述的可选特征可以推广到传感器数据的一般的多个子集。具体地,设备20可以接收加密的传感器数据24的多个子集,并且访问控制数据可以定义允许设备20对加密的传感器数据24的相应子集执行的一个或多个操作。例如,可以为每个数据子集、仅为其中一个子集、或其中一些子集定义操作。然后,该方法包括从传感器10接收一个或多个密钥的步骤,每个密钥可由设备20用于对加密的传感器数据24的相应子集执行允许的操作。
在设备20发送访问请求的情况下,访问请求可以指定以下中的一个或多个:对加密的传感器数据24的第一子集执行的第一操作,以及对加密的传感器数据24的第二子集执行的第二操作。
为了增加安全性,传感器10可以在将密钥提供给设备之前对密钥进行加密。在优选的实施方式中,传感器10可以预装公钥,设备20可以预装私钥,并且该方法可以包括使用公钥加密一个或多个密钥的步骤。因为只有被发送密钥的设备20具有能够解密该加密密钥的私钥,所以防止了其他外部方访问该密钥,并相应地防止了其他外部方访问传感器数据。本发明第二方面的方法可以包括(优选地使用私钥)解密一个或多个密钥的相应步骤。
本发明的第二方面的方法还可以包括使用从传感器接收的一个或多个密钥来执行允许的操作(例如第一操作和/或第二操作)的步骤。
图2和图3以可由图1的系统1执行的一系列步骤S1至步骤S12的形式示出了本发明的第一方面和第二方面的方法的具体示例。尽管技术人员将理解可以改变一些步骤的顺序,但是在优选的情况下,步骤S1至步骤S12按顺序执行。图2示出了由传感器10执行的步骤,图3示出了由设备20执行的步骤。
在步骤S1中,传感器10生成传感器数据。在这一点上,值得具体说明本发明的一些设想用途。例如,设备20可以是管理若干传感器的边缘网关或控制单元,为此设备20需要不同的和特定的访问。一个示例可以是连接到集装箱的跟踪控制单元,跟踪控制单元使用生成的加速度计数据来指导特定操作(例如,飞机着陆检测),并且还存储由温度传感器或门状态传感器生成的加密数据以报告至云端,从而保证运输质量和不被篡改。温度和门状态跟踪数据的完整性和隐私性在传感器和系统之间受到端对端保护。在另一示例中:车辆(例如汽车、船、火车等)具有多个传感器,这些传感器都连接到本地网络,本地网络中存在不同的控制单元,这些控制单元需要对传感器生成的数据进行不同的和特定的访问。一个传感器可以向不同的控制单元提供不同类型的数据,所有这些控制单元都由生产、维护阶段或现场连接时应要求设置的系统管理和授权。
一旦传感器10已经生成了传感器数据,则在步骤S2中,传感器数据由处理器11的加密模块12加密。然后,在步骤S3中,发射器14将加密的传感器数据24发送至设备20,加密的传感器数据24在图3的步骤S4中由设备20的接收器21接收。在优选的情况下,该方法还包括在将传感器数据传输至设备20以存储在存储器22中之后删除传感器数据的步骤。或者,传感器10可以用于在将传感器数据传输至设备20以存储在存储器22中之后删除传感器数据。
然后,在步骤S5中,加密的传感器数据24被存储在设备20的存储器22中。此时,当设备20的用户希望访问部分或全部加密的传感器数据24时,在步骤S6中,设备20的处理器25可以生成访问请求,该访问请求可以可选地指定设备20的用户希望访问的加密的传感器数据24的子集。访问请求是来自设备20的对加密的传感器数据执行某种操作的请求,并且将在本申请下文详细讨论。在步骤S7中,设备20的发射器26将请求连同授权令牌23或其副本一起发送至传感器10。应当注意,在一些情况下,发射器26可以仅发送授权令牌23。在这种情况下,传感器10可以向设备10发送使得能够执行所有允许的动作的密钥。
授权令牌23包括定义允许设备20访问的传感器数据24的访问控制数据。例如,访问控制数据可以定义允许设备20访问的传感器数据24的一个或多个子集。此外,访问控制数据可以定义设备20可以对加密的传感器数据执行的操作。
授权令牌23的特征将在本申请下文更详细地描述。返回图2,在步骤S8中,传感器10的接收器15从设备20的发射器26接收访问请求和授权令牌23。然后,在步骤S9中,传感器10的处理器11的访问确定模块13基于授权令牌23中的访问控制数据,确定是否允许设备20访问加密的传感器数据24。在一些情况下,访问确定模块13确定允许设备20访问哪些加密的传感器数据24,或者允许设备20执行哪些操作。该访问确定过程是本发明的核心,并且将在下文更详细地描述。在步骤S10中,传感器10(具体是其发射器14)向设备10发送一个或多个访问密钥,这些密钥可用于执行允许的操作。最后回到图3,设备20的接收器21在步骤S11中接收访问密钥,设备20的处理器25使用一个或多个访问密钥对加密的传感器数据24执行允许的操作。
图4示出了传感器模块100的替代示例,该替代示例可以形成本发明的系统的一部分或者可以执行本发明的方法(例如,如图2所示的步骤S1、S2、S3、S8、S9、以及S10)。图4的传感器模块100的基本结构类似于图1的传感器10的结构,但是示出了许多可选特征。
尽管图4的可选特征在单个图中示出,但是应该强调的是,出于其作为可选特征的本质,没有必要完全如图4所示组合地存在所有这些特征。为了说明的目的,在单个传感器100中示出了这些可选特征,并且应该理解,图4的替代传感器100中示出的任何、一些、或所有特征可以从示例中排除,而所得布置不落在本公开的范围之外。
与图1一样,将首先描述传感器100的结构,然后阐述各种可选模块的功能。传感器100包括传感器安全环境(sensor secure environment,SSE)101,SSE 101可定义为传感器100的子系统,实现传感器数据的受控存储和使用。SSE 101等安全环境的一个目的是在数据丢失时保护安全/机密数据。SSE 101可以使用诸如哈希的加密手段作为保护信息的方式。在图4中,SSE 101包括处理器102、存储器104、数据收集模块103、以及设备接口模块106。优选地,处理器102和存储器104位于SSE 101内,然而,设备接口模块106可以位于传感器100内但位于SSE 101之外。设备接口模块106充当外部信号和设备(例如设备20或设备200)与传感器100之间的接口。图4中的设备接口模块106包括发射器124和接收器126。可选地,在其他情况下,设备接口模块106可以仅充当接口,并且用于向发射器124传送信号以及从接收器126接收信号;这样的示例仍然属于本发明的范围。
图4的处理器102可以包括加密模块108、访问确定模块110、以及授权模块112中的一个或多个。同样,存储器104可以包括持久存储器114和缓冲器116。缓冲器的容量可以是100KB到10MB。在本文中,术语“持久存储器”应理解为指长期存储器或永久存储器。只有需要长期存储的数据(例如本示例中的元数据118和加密密钥数据120)应该存储在持久存储器114上。该数据的性质将在下文更详细地描述。缓冲器116是短期存储器,并且可以用于在传感器数据122已经生成之后和已经由例如发射器124传输至设备(例如20或200)之前存储传感器数据122。
现在将在图2和图3的高级方法的背景下更详细地描述图4中所示的组件的功能,列出任何其他的可选特征。
数据收集模块103是传感器100的模块,数据收集模块103本身执行感测,并且因此数据收集模块103可以包括感测元件105,感测元件105用于感测、检测、和/或测量一些外部参数。感测元件105可以包括以下中的一个或多个:温度传感器、光传感器、声音传感器、湿度传感器、CO2传感器、烟雾传感器、压力传感器、湿度传感器、接近检测器、或摄像头。数据收集模块103还可以包括用于测量以下一项或多项的一个或多个设备:电压、电流、电阻、磁场强度、磁通密度、电容、电感、频率、以及波长。感测元件105还可以包括加速度计。应当理解,感测元件105可以包括用于感测、检测、或测量任何形式的外部物理或环境刺激的设备。除了检测物理或环境刺激,感测元件105可以以软件模块的形式实现,用于检测计算机设备(例如计算机、平板电脑、或智能手机)中预定过程的发生。例如,感测元件105可以用于检测预定的数据处理操作,或者检测数据处理操作的特定结果。感测元件105可以包括用于对特定事件发生的次数进行计数的计数器。数据收集模块103可以可选地包括其自己的处理器,该处理器用于将由感测设备105收集的原始数据转换成可由处理器102处理的形式。或者,原始数据可以直接发送至处理器102,然后将其转换成更合适的形式。应当理解,传感器100可以包括一个以上的数据收集模块103。每个数据收集模块103还可以包括一个或多个本段所述类型的感测元件105。
在图2的步骤S2中,对传感器数据进行加密。在讨论加密过程之前,更详细地描述所获得的传感器数据的可能性质以及在加密之前可以对传感器数据执行的可选过程是有用的。
当第一次收集到一个传感器数据时,处理器102可用于生成头部(header),并将该头部附加到该数据。在收集数据和附加头部之间,传感器数据可以存储在传感器100的存储器104的缓冲器116中用于处理。缓冲器116适用于这种存储,因为缓冲器116仅是短期存储。头部优选地包含元数据,元数据包含关于该传感器数据的信息,元数据优选地包括以下中的一个或多个:指示收集该数据的时间和/或日期的时间戳、指示收集该数据的传感器100或感测元件105的身份的传感器ID、指示该数据的类型(例如,该数据所属的物理参数或检测到的活动类型)的数据类型、随机数材料(nonce material)、以及可用于生成所需密钥的密钥生成数据、诸如硬件和固件编号的传感器信息(例如,ID和版本)。这些被称为“元数据的类型”。传感器数据可以分成多个子集。这些子集可以是排他子集,即每个传感器数据只属于一个子集。或者,每个传感器数据可以属于一个或多个子集。子集可以仅包括单个传感器数据。
可以基于第一类型的元数据将传感器数据细分为子集。换句话说,传感器数据可以被分成多个子集,每个子集被记录在不同的时间帧内,或者每个子集是不同类型的数据,或者每个子集由不同的传感器记录。传感器数据可以基于第二类型的元数据进一步划分为多个子集。
在本文中,术语“划分”不一定意味着传感器数据被分割,或者不同的子集彼此分开存储,尽管这可以是可选的情况。然而,优选地,可以基于元数据来分配多个子集,但是这些子集(至少在这一点上)不是彼此分离的。此时,已经建立了多个数据子集,每个数据可选地包括包含元数据的头部,该元数据提供关于该数据的信息,并且子集基于元数据。此时,具有附加头部的数据可以临时存储在传感器100的存储器104的缓冲器116中。
然后,处理器102的加密模块108用于加密传感器数据,以生成加密的传感器数据。加密模块108可以用于加密传感器数据和头部,但是优选地仅加密传感器数据。具体地,加密模块108用于用不同的相应加密密钥加密多个数据子集中的每个子集。在每个传感器数据属于多个子集中的单个子集的情况下,这是简单的。
然而,在一个数据可能属于或被分配给一个以上的子集(例如,基于记录数据的时间建立的子集,以及基于记录数据的传感元件105的子集)的情况下,情况更复杂,并且可以按照以下方式中的任何方式来处理:
(i)加密模块108可以用于用不同的相应密钥加密每个传感器数据,以生成单个加密的传感器数据集,每个加密的传感器数据对应于相应的(原始的、未加密的)传感器数据。然后,处理器102(可选地,其加密模块108)可以将头部附加到每个加密的传感器数据,该头部包括标识该加密的传感器数据所属的一个或多个数据子集(或者更具体地,相应的未加密的传感器数据所属的一个或多个子集)的元数据。这在图6中示出,其中密钥K1至密钥K4分别用于传感器数据A至D。在本文中,每次加密生成一个传感器数据,并且在每个头部中标识两个子集。
(ii)加密模块108可以用于用同一个加密密钥加密每个相应子集中的每个数据,以生成对应于原始的、未加密的传感器数据的子集的多条加密数据。加密模块108可以用于对数据的所有子集这样做(注意这些子集可以重叠)。在传感器数据的多个子集重叠的情况下(即,其中每条传感器数据属于一个以上的子集),对于给定的未加密的传感器数据,可以由此生成多个加密的传感器数据,每个加密的传感器数据用不同的相应加密密钥加密,每个加密密钥与该未加密的传感器数据所属或被分配到的子集中的相应一个子集相关联。同样,处理器102(可选地,其加密模块108)可以将头部附加到每个加密的传感器数据,头部包括标识该加密的传感器数据所属的数据子集(或者更具体地,相应的未加密的传感器数据所属的一个或多个子集)的元数据。这在图6中示出,其中可以看到每个传感器数据被加密两次:一次加密使用对应于其“时间子集”的密钥,一次加密使用对应于其“数据类型”子集的密钥。K1用于T1子集中的数据,K2用于温度子集中的数据,K3用于当前子集中的数据,K4用于T2子集中的数据。可以看出,根据情况(ii),产生了两倍多的加密数据。
现在讨论加密是如何进行的。在简单的情况下,加密模块108可以用于使用加密密钥来加密给定的传感器数据(在本申请中,除非另有说明,否则术语“传感器数据”可以理解为指未加密的传感器数据),以生成相应的加密的传感器数据。加密密钥可以是对称密钥或非对称密钥。根据系统的优先级,这些类型的密钥中的每一种密钥都有相关的优点。例如,对称密钥的生成要简单得多,因此如果加密密钥是对称密钥,则处理器102的处理要求降低,从而允许传感器100更简单、更小、且制造成本更低。另一方面,非对称密钥更安全,但需要更强的处理能力来生成和应用。
为了能够响应于请求和允许访问的确定来识别适当的访问密钥并将其传输至设备20或设备200,传感器100需要能够将与标识传感器数据的元数据或加密数据相关联的密钥存储在存储器104中。或者,为了降低传感器104的存储器104的存储需求,传感器100的处理器102可以能够基于一些输入可靠地重新生成访问密钥。这两种可能性都描述如下。
图7示出了第一种情况的方法,图7示出了对单个传感器数据执行的处理。在步骤S108A中,在加密模块108接收传感器数据,该传感器数据包括元数据,该元数据标识该传感器数据所属的子集。然后,在步骤S108B中,加密模块108(或者可选地,处理器102)用于在加密密钥数据表120中执行查找,以确定是否存在对应于该子集的加密密钥。可选地,在执行该步骤之前,加密模块108或处理器102可以从传感器数据中移除头部,并从传感器数据中提取包含子集ID或指示子集ID的元数据(未示出)。在存在加密密钥的情况下,在步骤S108C中,从加密密钥数据表120中恢复该密钥,并在步骤S108E中使用该密钥加密传感器数据。即使确定不存在对应于该子集的密钥,在步骤S108D中,例如由密钥生成模块109生成新的密钥,并在步骤S108E中使用密钥加密传感器数据之前,将该新的密钥存储在加密密钥数据表120中。该方法可以在此停止,但是可选地,该方法可以继续到步骤S108F,在步骤S108F中,确定该传感器数据是否属于任何其他子集。如果不属于任何其他子集,则该数据的处理完成,并且该方法可以可选地返回到步骤S108A,接收另一传感器数据。否则,如果确定该传感器数据确实属于传感器数据的另一子集,则方法返回到步骤S108B。使用该方法,随着接收到更多的传感器数据,加密密钥数据表120变大。在图8A至图8B中示出了加密密钥数据表的示例布局的两个示例。在图8A中,加密密钥与表示特定子集的子集ID相关联地存储,而在图8B中,加密密钥与对应于子集和子集ID的特定元数据相关联地存储。在稍微不同的情况下,子集ID可以不包括在加密密钥数据表120中。
应当注意,在加密模块108使用非对称密钥来加密传感器数据的情况下,在步骤S108D中,将生成加密密钥和互补的解密密钥,然后加密密钥和解密密钥都存储在加密密钥数据表120中。或者,一旦生成并使用了加密密钥,就可以删除加密密钥,并且只存储解密密钥。
在上面给出的示例中,加密密钥数据表120生成,并随着接收到越来越多的传感器数据而变大。在一些情况下,例如当存储器104的容量有限时,这可能是不希望的情况。因此,在替代示例中,密钥生成模块109可以用于生成加密密钥,加密密钥基于元数据或子集ID以及本地密钥生成数据118中的一个或多个,本地密钥生成数据118对于传感器100是唯一的并且是秘密的。这样,一旦已经生成了加密密钥,就不需要将其存储在传感器100的存储器中或其他地方,因为加密密钥可以基于与其所保护的传感器数据相关的元数据可靠地重新生成。需要存储在存储器中的只是本地密钥生成数据118。图9示出了该方法的示例。在步骤S109A中,在加密模块接收传感器数据。然后,在步骤S109B中,密钥生成模块109可以基于传感器数据的头部中的元数据和本地密钥生成数据118来生成加密密钥。重要的是使用本地密钥生成数据118,并且保持秘密,否则任何其他行为人都有可能仅通过已知元数据来重新生成密钥,这存在明显且不可忽视的安全风险。在步骤S109C中,生成的加密密钥用于加密传感器数据。然后,可以在步骤S109D中删除生成的加密密钥。或者,生成的加密密钥可以存储在缓冲器116中,存储在临时密钥数据表123。这样,当遇到来自同一子集的另一传感器数据时,加密模块108可以在临时密钥数据表123中执行查找,以便确定是否已经生成了对应于该子集的加密密钥,在这种情况下,从临时密钥数据表123中恢复该加密密钥,并用于加密后续的传感器数据。这在子集基于收集数据的时间的情况下可能特别有用,因此可以使用相同的加密密钥来加密一系列传感器数据,所有这些数据都是在预定的时间范围内收集的。因此,存储在临时密钥数据表123中的生成的加密密钥可以具有相关联的生命周期或过期时间,在此之后这些加密密钥被从表123中删除。在步骤S109C中对传感器数据进行加密并在步骤S109D中删除传感器数据片之后,该方法返回到步骤S109A,新的传感器数据到达。在生成非对称密钥的情况下,在步骤S109B中,密钥生成模块109生成加密密钥和互补的解密密钥。然后,在步骤S109C中,加密密钥(优选为私钥)用于加密传感器数据。解密密钥优选为公钥。
使用生成的或恢复的加密密钥对数据进行加密,确保了数据被有效地加扰为无法识别,从而确保其机密性,即确保拦截数据传输的用户无法从中获得任何意义。除了加密传感器数据之外,同样重要的是传感器100和设备20或设备200能够确保其接收到的数据是从其所认为的实体接收的——这称为“认证”。有许多方案可用于此过程,例如先加密再MAC(encrypt-then-MAC)、先MAC再加密(MAC-then-encrypt)、以及加密并MAC(encrypt-and-MAC)。优选地,在本发明中使用先加密再MAC处理。这将针对第一传感器数据来解释,但是将理解,该方法可以应用于每个输入的传感器数据。
图10示出了这方面的一个示例。首先,在步骤S108M中,可以如前述段落中所阐述的那样对传感器数据进行加密,以生成加密的传感器数据。然后,在步骤S108N中,加密模块108可以用于将认证密钥应用于加密的传感器数据,以生成消息认证码(在本文中为“MAC”)。应该强调的是,加密的传感器数据不会被删除;MAC与加密的传感器数据一起生成。然后,在步骤S108O中,可以将加密的传感器数据和MAC连接起来,以生成消息。这种信息的安排将在下文讨论。在一些情况下,在使用加密密钥对传感器数据进行加密之前,可以将认证密钥应用于传感器数据。这在本申请的其他地方有所描述。
此时,在图2的步骤S3中,加密的传感器数据由发射器124传输至设备20或设备200。具体地,可以传输加密的传感器数据,或者如上一段所述生成的消息。在一些情况下,加密模块108可以将加密的传感器数据传输至缓冲器116用于临时存储,而不是在生成加密的传感器数据后立即发送。然后,当缓冲器116中加密的传感器数据超过预定阈值量时,发射器124可以发送所有加密的传感器数据。或者,发射器124可以用于以规则的时间间隔发送缓冲器116中所有加密的传感器数据。在更详细地讨论设备20或设备200执行的步骤之前,更详细地考虑设备的结构是有用的。
因此,非常类似于图4,图5示出了设备200的替代示例,该替代示例可以形成本发明的系统的一部分或者可以执行本发明的方法(例如,步骤S4、S5、S6、S7、S11、以及S12)。图5的设备200的基本结构类似于图1的设备20的结构,但是示出了许多可选特征。尽管图5的可选特征在单个图中示出,但是应该强调的是,出于其作为可选特征的本质,没有必要完全如图5所示组合地存在所有这些特征。为了说明的目的,在单个设备200中示出了这些可选特征,并且应该理解,图5的替代设备200中示出的任何、一些、或所有特征可以从示例中排除,而所得布置不落在本公开的范围之外。
在讨论组成设备200的组件之前,重要的是要考虑设备200实际上是什么。在优选情况下,设备200是一个边缘设备。在本发明的上下文中,术语“边缘设备”应该被理解为指一种设备,该设备提供进入设备网络的入口点,该设备其自身具备一些处理能力,以便允许非集中的处理,从而提高整个网络的效率。在一些情况下,设备可能是服务器。设备也可以是车辆或其他系统的电子控制单元,或者是具有多点控制单元(multipoint controlunit,MCU)的基本嵌入式系统,该系统使用一种或多种类型的传感器数据作为输入。
图5的设备200经由连接C2连接到安全平台300。安全平台300包括授权令牌生成模块302,其功能将在下文描述。例如,像传感器100一样,设备200包括安全环境,在这种情况下该安全环境是设备安全环境(device secure environment,DSE)201。在图5所示的示例中,DSE 201包括:处理器202和存储器204。此外,DSE 201还可以包括:用户接口模块206、传感器接口模块208、以及安全平台接口模块209。尽管上述五个组件在图5中被示为DSE 201的一部分,但需要理解,这些组件中的一个或多个或所有组件可以位于DSE 201的外部。处理器202可以包括解密模块210、访问请求生成模块212、以及授权模块214中的一个或多个。存储器204可以包括持久存储器216(具有与图4中相同的含义),其本身可以存储授权令牌216和加密的传感器数据220。用户接口模块206可以包括显示器222和用户输入接收器224。传感器接口模块208可以包括发射器226和接收器228。最后,安全平台接口模块209还可以包括发射器230和接收器232(可选地,发射器230和接收器232可以分别与发射器226和接收器228相同)。现在将在图3所示的方法的上下文中描述图5的各种组件的操作,并公开可选特征。
在步骤S4中,传感器接口模块206的接收器228接收由传感器100的发射器124传输的加密的传感器数据。接着,在步骤S5中,接收到的加密的传感器数据220被存储在持久存储器216中。
此时,设备200的用户可能需要访问由传感器100的数据收集设备103的感测元件105收集的数据的子集。用户通常是需要访问子系统的数据(即,存储在设备20中的传感器数据)的维护用户。用户可以使用例如智能手机、USB盘、维护设备、或设备UI连接到设备,用户提供其凭证以获得授权令牌,从而请求密钥来处理传感器数据。
为此,在步骤S6中,访问请求生成模块212生成访问请求。允许用户访问的数据由授权令牌218管理,因此在讨论由访问请求生成模块212生成请求之前,先描述授权令牌218的性质。
广义地说,授权令牌218是部署在设备200的存储器204的永久存储器216中的电子令牌,授权令牌218包括访问控制数据,访问控制数据定义允许设备200访问的传感器数据的一个或多个子集。如图5所示,授权令牌218可以由安全平台300的授权令牌生成模块302生成。
授权令牌218可以使用例如子集ID(或者优选地根据与子集相关联的元数据)来定义子集。具体地,授权令牌218可以定义以下中的一个或多个:
-允许设备200访问的数据的类型。例如,授权可以指定仅允许设备200访问温度数据。
-允许设备200访问的数据的时间戳或时间戳范围。例如,授权令牌218可以指定设备200仅被允许访问2020年10月记录的数据。
-在存在一个以上传感器100的系统中,授权令牌可以指定仅允许设备200访问一个特定传感器100的数据。可选地,在系统100包括多个感测元件105的系统中,授权令牌218可以指定仅允许设备200访问由一个特定感测元件115收集的数据。
除了指定与收集的传感器数据相关的元数据之外,授权令牌218还可以包括其他约束。例如,在一些情况下,授权令牌218可以定义一个或多个有效性条件。在本文中,“有效性条件(validity condition)”指的是定义授权令牌218何时可以有效、可以使用、或可以生效的规则。如果不满足有效性条件,则授权令牌218被认为无效。有效性条件可以包括以下中的一个或多个:
-对授权令牌218有效的时间段的限制。例如,授权令牌218可以仅在每个月的第一天有效,或者可以仅在一年内有效(这不应与对记录传感器数据的时间周期的限制相混淆。有效性条件是授权令牌本身的区域属性,无论所讨论的传感器数据的性质如何,其都适用)。在此之后,授权令牌218可以过期。
-对授权令牌218可以被使用的次数的限制。授权令牌218可以包括每次使用时递增1的使用计数器,并且授权令牌218可以在使用计数器达到预定值之后过期。
-对授权令牌218的使用者的限制。为此,授权令牌218可以指定其有效的用户凭证或用户凭证集。在这种情况下,传感器100的处理器102或设备200的处理器202可以用于将授权令牌218中的用户凭证与例如包括在请求中的用户凭证或在设备200的用户输入接口206处接收的用户凭证进行比较。然后,如果用户凭证不匹配,则授权令牌218可被视为无效。
-在包括多个设备200的系统中,授权令牌218还可以指定允许访问所请求的传感器数据的特定设备200(或多个设备)。如果请求来自不同的设备,则授权令牌218可以被认为无效,并且请求被拒绝。
授权令牌218可以指定对数据访问的特定类型:
-授权令牌218可以指定仅允许设备200解密和读取相关的加密的传感器数据220。换句话说,设备200将无法修改数据。
-授权令牌218可以指定允许设备200解密和认证相关的加密的传感器数据220。
-授权令牌218可以指定仅允许设备200认证加密形式的加密的传感器数据220,即不解密加密的传感器数据220。
现在将参照图5阐述该过程的可选特征。在步骤S6中,生成访问请求。在该方法的一些示例中,访问请求包括加密的传感器数据的一个或多个子集的指示。然而,在其他情况下,该请求不包括这种指示。在后一种情况下,步骤S7仅包括向传感器100传输用于访问一些数据的请求和授权令牌218。
然而,理想情况下,请求包括存储在设备的存储器204中的(设备200希望访问(即解密))的加密的传感器数据220的一些指示。在生成访问请求之前,用户接口模块206的用户输入接收器224可以接收来自用户的用户输入。用户输入可以是用于访问由传感器100获得的数据的特定子集的请求的形式。该请求可以包括标识用户希望访问的传感器数据子集的信息,例如,该请求可以包括数据的类型、收集数据的时间范围、和/或收集数据的特定传感器或感测元件。根据前文,当第一次收集数据时,可能会将包含元数据的头部附加到该数据上,元数据包括关于该特定传感器数据的信息。在一些情况下,来自用户的请求可以包括相同形式的元数据。
在经由用户接口模块208接收到数据请求之后,访问请求生成模块212基于从用户接收到的内容生成请求。发生这种情况的方式有很多种,结果大体相同。概括地说,这些情况可以分为两类:(i)请求标识了子集ID的情况,以及(ii)请求未标识子集ID的情况。
(i)在一些情况下,由用户输入接收器224接收的请求可以包括元数据,该元数据的形式与元数据存储在存储器中的形式兼容或等效,然后该请求可以被直接转发到访问请求生成模块212。然后,访问请求生成模块212可以用于在加密的传感器数据220中执行查找,以便确定对应于相关元数据的数据的一个或多个子集。例如,使用图6中间的表中的数据作为示例,如果访问请求是针对所有温度数据的,那么将返回“温度”子集。从本申请的其余部分可以明显看出,子集可以具有相关联的子集ID(例如数字或字母数字ID)。然后,访问请求生成模块212生成请求,该请求包含与经由用户接口接收的所有元数据相对应的子集ID。可选地,请求也可以包括元数据。在该方法的稍作修改的版本中,如果由用户输入接收器224接收的请求包括不适合由访问请求生成模块212处理的格式的数据,则该方法可以包括将在用户接口206接收的请求转换成适合由访问请求生成模块212处理的格式的元数据的其他步骤。因此,处理器202还可以包括如图5所示的元数据转换模块211。
(ii)可选地,一旦在用户接口206接收到请求,那么访问请求生成模块212可以用于生成包括元数据的请求,而不查找和识别子集ID。
此时,访问请求生成模块212已经生成了请求,该请求可选地包括其希望能够解密的加密的传感器数据220的子集的指示。子集的指示可以是与数据相关的元数据的形式,或者是子集ID的形式。
然后,在步骤S8中,传感器接口模块208的发射器226向传感器100发送请求和授权令牌218。此时,返回图2的步骤S8,在步骤S8中,设备接口模块106的接收器126接收请求和授权令牌218。
在访问确定模块110确定允许设备200访问哪些传感器数据之前,如果授权令牌218包括有效性条件,则处理器102或传感器100或访问确定模块110可以可选地首先确定是否满足有效性条件。
然后,在步骤S9中,处理器102(具体地,其访问确定模块110)使用授权令牌218确定是否允许设备200访问其所请求的传感器数据。在本文中有若干情况:请求不包括所请求数据的指示的情况、请求包括元数据但不包括子集ID的情况、以及请求包括子集ID的情况。下文将讨论这些情况。
(i)在请求不包括所请求数据的指示的情况下,传感器100(特别是其访问确定模块110)需要继续处理的唯一信息是存储在授权令牌218中的信息,授权令牌218与数据请求一起接收。实际上,这是对设备200有权访问的所有加密的传感器数据的解密密钥的请求。如前所述,授权令牌可以包括标识设备200可以访问的数据子集的元数据,或者授权令牌可以包括特定的子集ID。在任一情况下,访问确定模块110然后可以执行对加密密钥数据表120中的元数据和/或子集ID的查找,并恢复与每个元数据或子集ID相关联的解密密钥。应当理解,在加密密钥是对称的情况下,解密密钥与加密密钥相同。
(ii)在请求指定设备200希望访问的元数据的情况下,首先需要验证是否允许设备200访问该数据。因此,访问确定模块110基于授权令牌218的访问控制数据来验证请求中的元数据或子集ID。具体地,访问确定模块将请求中的元数据或子集ID与访问控制数据中列出的元数据或子集ID进行比较。可能会出现以下若干结果:
-如果确定允许设备200访问所有所请求的元数据或子集ID,则访问确定模块110可以在加密密钥数据表120中查找请求中的所有元数据或子集ID,并恢复与每个元数据或子集ID相关联的解密密钥。应当理解,在加密密钥是对称的情况下,解密密钥与加密密钥相同。
-如果确定仅允许设备200访问请求中所请求的一些元数据或子集ID,则:
a.请求将视为无效,并且该方法结束,或者
b.访问确定模块110将确定允许设备200访问请求中的哪些元数据或子集ID,并且仅在加密密钥数据表120查找那些元数据或子集ID,并且恢复与那些元数据或子集ID中的每个相关联的解密密钥。应当理解,在加密密钥是对称的情况下,解密密钥与加密密钥相同。
-如果确定不允许设备200访问所请求的任何元数据或子集ID,则该请求将视为无效,并且该方法结束。
可选地,可以存在附加步骤,其中,处理器102执行查找以识别对应于请求中的元数据或设备200可以访问的元数据的子集ID,然后使用识别出的子集ID作为输入来执行加密密钥数据表120的查找。
以上涉及加密密钥/解密密钥存储在加密密钥数据表120中的场景。然而,还讨论了可以基于元数据和/或子集ID以及本地存储的密钥生成数据118来生成加密密钥和/或解密密钥的可能性。在这些情况下,如果在请求中没有指定数据或指示数据,则访问确定模块110可以将授权令牌218的访问控制数据中定义的所有元数据和/或子集ID转发到加密模块108、密钥生成模块109、或处理器102的任何其他适当模块(未示出)。此处,该方法可以包括为对应于由访问控制数据定义的元数据和/或子集ID的每个加密的传感器数据生成解密密钥的步骤。如本申请前面所讨论的,解密密钥以与加密密钥相同的方式确定地生成。
对于请求包括请求元数据/子集ID的指示的情况,过程是类似的。首先需要验证是否允许设备200访问该数据。因此,访问确定模块110基于授权令牌218的访问控制数据验证请求中的元数据或子集ID。具体地,访问确定模块将请求中的元数据或子集ID与访问控制数据中列出的元数据或子集ID进行比较。然后,和前述一样:
-如果确定允许设备200访问所有所请求的元数据或子集ID,则访问确定模块110可以将请求中定义的所有元数据和/或子集ID转发到加密模块108、密钥生成模块109、或处理器102的任何其他适当模块(未示出)。此处,该方法可以包括为对应于由访问控制数据定义的元数据和/或子集ID的每个加密的传感器数据生成解密密钥的步骤。如本申请前面所讨论的,解密密钥以与加密密钥相同的方式确定性地生成。
-如果确定仅允许设备200访问请求中所请求的一些元数据或子集ID,则:
a.请求将视为无效,并且该方法结束,或者
b.访问确定模块110将识别请求中允许设备200访问的元数据或子集ID。然后,访问确定模块110可以将授权令牌218的访问控制数据中定义的所有识别出的元数据和/或子集ID转发到加密模块108、密钥生成模块109、或处理器102的任何其他适当模块(未示出)。此处,该方法可以包括为对应于由访问控制数据定义的元数据和/或子集ID的每个加密的传感器数据生成解密密钥的步骤。如本申请前面所讨论的,解密密钥以与加密密钥相同的方式确定地生成。
-如果确定不允许设备200访问所请求的任何元数据或子集ID,则该请求将视为无效,并且该方法结束。
此时,已经在传感器100上生成或恢复了对应于由元数据或子集ID定义的加密的传感器数据220的解密密钥,例如由密钥生成模块109、访问确定模块110、或处理器102上的任何其他适当模块生成或恢复。在一些情况下,已经恢复或生成了对应于由元数据或子集ID定义的(如由授权令牌中的访问控制数据定义的)允许设备200访问的所有加密的传感器数据220的解密密钥。在其他情况下,已经恢复或生成了对应于由请求中包括的元数据或子集ID定义的所有加密的传感器数据220的解密密钥。并且,在其他情况下,已经恢复或生成了对应于由请求中包括的以及如由授权令牌中的访问控制数据定义的允许设备200访问的元数据或子集ID定义的所有加密的传感器数据220的解密密钥。然后,在步骤S10中,传感器100的设备接口模块106的发射器124将这些解密密钥传输至设备200。
返回图3,设备200的传感器接口模块208的接收器228接收发送的密钥,然后处理器202的解密模块210能够使用接收的解密密钥来解密所需的数据以供进一步处理,从而完成该方法。
图11示出了包括各种组件的系统1000。从下面的描述中可以理解,系统1000表示可以部署本发明的环境。下文还参考特别是相关传感器类型和操作参数描述了具体用例。在前面的描述中已经详细描述了本发明的方法的细节,并且各种可选项在本文中不重复,但是应该理解,在兼容的情况下,先前描述的任何特征可以与以下任何特征相结合。
系统1000包括多个传感器1002a、1002b、1002c、1002d、1002e(尽管应该理解,容器可以包括任意数量的传感器(包括仅有单个传感器1002))。传感器1002中的每个传感器可以用于执行本发明第一方面的方法。每个传感器1002可以包括缓冲存储器,在缓冲存储器中临时存储传感器数据,例如生成并存储在相应传感器1002上的保护密钥。可选地,如前所述,传感器1002可以在特定的基础上生成密钥,并且密钥可以仅用于保护生成的传感器数据,而不存储在传感器1002上。传感器1002可以如先前在本申请中所述。
系统1000还包括多个设备1006a、1006b、1006c。在图11所示的示例中,每个设备1006可以对应于相应的传感器1002。然而,这不是必须的。例如,设想每个传感器1002可以将其生成的受保护的传感器数据发送至单个设备1006。或者,单个传感器1002可以向不同的设备1002发送不同种类的受保护的传感器数据。在该示例中,设备1006可以是系统1000上或附近的监测站的形式,或者设备1006可以是终端设备(可由用户访问)或控制单元。为了说明的目的,这些组件中的每个组件的一个示例在图11中示出。
每个设备1006可以包括存储器1008a、1008b、1008c(其中可以存储受保护的传感器数据)和相应的处理器1010a、1010b、1010c。设备1006的一个用途是允许用户访问允许的数据,例如用于系统维护、控制或质量控制目的。若干示例如下(重申,尽管这些示例在此结合系统1000的具体示例公开,但是这些示例可以一般地应用于本发明的任何实施方式):·设备1006a可以是具有显示器1012a的终端。终端1008a的存储器可以包括授权令牌,授
权令牌包括访问控制数据。在这种情况下,当用户想要访问受保护的传感器数据时,可以激活终端,并输入指令,使得终端1006a向传感器1002a发送访问请求和/或授权令牌。
于是,根据本发明的一个实施例,传感器1002a可以向终端1006a发送相关的访问密钥,
允许用户进行相关的访问,例如查看显示器上的数据,或者修改和重新加密数据。
·设备1006b也可以是具有显示器1012b的终端。在该示例中,终端1006b与终端1006a的不同之处在于终端1006b没有授权令牌。在这种情况下,想要访问受保护的传感器数据的用户可以具有自己的便携式设备1014b(例如便携式计算机、膝上型计算机、平板电脑、智能手机等),便携式设备1014b上部署有授权令牌。设备1006b包括接口1016b(可以是物理接口或无线接口),用户可以通过该接口连接便携式设备1014b。然后,便携式设备1014b可以将授权令牌部署到设备1006b。此时,授权令牌可以被认为部署在设备1006b上。或者,授权令牌可以保留在便携式设备1014b上。在这种情况下,设备1006b和便携式设备1014b的组合可以被认为代表“其上部署有授权令牌的设备”或等效物。此时,可以执行上述步骤。数据访问可以经由便携式设备1014b的显示器1012b或显示器1018b。
·设备1006c可以是控制单元,控制单元用于控制系统1000中的组件1020的一个或多个
操作参数。系统1000的控制单元1006c可以用于基于传感器数据来调整一个或多个操作参数。为了获得传感器数据,控制单元1006c需要访问存储在其存储器1008c中的受保护的传感器数据。控制单元1006c上存储有授权令牌,尽管授权令牌可以经由便携式设备来部署。然后,根据一个实施例,控制单元1006c可以接收适当的密钥来访问期望的数据。然后,控制单元1006c可以用于基于传感器数据改变、选择或以其他方式确定一个或多个操作参数的值。通过根据本发明保护数据,可以确保未经授权的设备不能控制操作参数。
下面描述了一些具体用例。
在一种情况下,系统1000可以是用于运输货物的容器(例如运输容器)的形式。例如,该容器可以用于长距离运输食品。在这种情况下,容器可以包括制冷单元,制冷单元可以包括温度传感器,并且操作参数可以是制冷单元的存储区域的温度。
这样,系统100能够安全地监测制冷单元的温度,并基于接收到的温度数据来调节温度。在容器示例中,可以包括的其他传感器是其他种类的环境传感器,例如温度传感器、湿度传感器、压力传感器、门状态传感器、运动传感器等。因此,诸如维护人员或工程师之类的用户可以监测容器中的条件,而因为只有授权人员才能访问数据,所以不存在传感器数据被篡改的任何风险,并且可以确保任何篡改都是可检测的。
在另一种情况下,系统1000可以是交通工具的形式,例如汽车、火车、飞机、公共汽车、直升机、或任何其他交通工具。在优选的情况下,系统1000可以是“智能”车辆的形式。本发明在车辆或智能车辆(具有例如雷达传感器、激光传感器(包括3D激光雷达传感器)或超声波传感器等各种类型的传感器)中的两种情况下尤其有利:
·监测。在这种情况下,传感器可以包括磨损传感器,每个磨损传感器用于监测车辆的相
应部件的磨损,或者传感器可以包括用于测量指示车辆部件的“健康”或“磨损”的参数的其他传感器。在特别有利的情况下,当传感器或设备检测到测量参数的值满足预定阈值或超过预定阈值时,传感器或设备可以用于生成警报。警报可以通知车辆的使用者或所有者车辆应该被送去修理。注册工程师也可以访问传感器数据(或传感器数据的不同子集),以帮助其进行维修。这可以确保只有注册或授权的工程师才能对有问题的车辆进行维修。
·控制。本发明可用于启用车辆的高级驾驶员辅助系统(advanced driverassistance system,ADAS)或自主功能。在本文中,术语“自动驾驶(autopilot)”应该理解为对应于车辆的任何自动控制,而不一定仅仅是飞机。该功能可以类似于关于容器讨论的制冷控制来实现。传感器可以用于检测与车辆的控制相关的各种参数,例如与其他车辆或障碍物的接近度、位置(例如,汽车在地图上的位置、飞机相对于跑道的位置、船体相对于海底特征的位置)、高度、深度、速度/速率、车辆的方向。然后,基于这些参数,控制单元可以用于确定或改变一个或多个操作参数的值。例如,该功能可用于飞机的自动着陆、汽车或火车的停车或船舶的系泊。本发明在这种情况是有利的,因为本发明能够确保未经授权的设备不能访问传感器数据(未经授权的设备访问传感器数据显然将具有灾难性的后果)。
类似于智能车辆的用例,本发明也可以在上述监测和控制背景下应用于工业控制系统。换句话说,系统1000可以是工业控制系统。在监测环境中,系统的工作方式可能与智能车辆的情况非常相似。在工业控制的情况下,由传感器测量的参数可能不同。例如,传感器可以用于测量环境条件,例如温度、压力、湿度/水分水平、pH值、某些物质的浓度或分压。附加条件可以包括各种电特性(例如,电流、电压、功率、电场强度/磁通密度、磁场强度/磁通密度、电荷、电阻、电感、电容、电导率/电导率、电阻率/电阻)、热导率、以及可以给出工业过程进度指示的任何其他参数。此外,还设想采用“磨损”传感器,以便监测工业部件的健康状况。如前所述,控制单元可以用于基于传感器数据改变一个或多个操作参数。
可以使用本发明的另一种情况是在医院中。
在前述描述、权利要求、或附图中公开的特征,以其特定形式或根据用于执行所公开功能的手段或用于获得所公开结果的方法或过程来表示,可以单独地用于实现不同形式的本发明或以这些特征的任意组合来用于实现不同形式的本发明。
虽然已经结合上述示例性实施例描述了本发明,但是当给出本公开时,对于本领域技术人员来说,许多等效的修改和变化将是显而易见的。因此,上述本发明的示例性实施例被认为是说明性的而非限制性的。在不脱离本发明的精神和范围的情况下,可以对所描述的实施例进行各种改变。
为避免任何疑问,本文提供的任何理论解释都是为了提高读者的理解。发明人不希望受这些理论解释中的任何一个的约束。
此处使用的任何章节标题仅用于组织目的,不得解释为限制所描述的主题。
在整个本说明书中,包括之前的权利要求,除非上下文另有要求,否则词语“包括”,以及诸如“包含”的变体将被理解为暗示包含所述的整数或步长或一组整数或步长,但不排除任何其他整数或步长或一组整数或步长。
需要注意,除非上下文另有明确规定,否则如说明书和所附权利要求中所使用的单数形式“一”、“一个”、以及“该”包括复数指代。在本文中的范围可以表示为从“大约”一个特定值和/或到“大约”另一特定值。当表示这样的范围时,另一实施例包括从一个特定值和/或到另一特定值。类似地,当值被表示为近似值时,通过使用先行词“大约”,可以理解特定值形成另一实施例。与数值相关的术语“大约”是可选的,例如表示+/-10%。
Claims (20)
1.一种控制对传感器数据的访问的方法,所述方法包括以下步骤:
生成传感器数据,并保护所述传感器数据以生成受保护的传感器数据;以及
将所述受保护的传感器数据传输至设备以供存储;
所述传感器接收访问控制数据,所述访问控制数据定义允许所述设备对所述受保护的传感器数据执行的一个或多个操作;
所述传感器基于所述访问控制数据确定允许所述设备对所述受保护的传感器数据执行的操作;
使所述设备能够对所述受保护的传感器数据执行允许的操作。
2.根据权利要求1所述的方法,其中:
保护传感器数据包括使用秘密密钥保护所述传感器数据。
3.根据权利要求1或2所述的方法,其中:
所述传感器接收访问控制数据包括接收授权令牌,所述授权令牌包括所述访问控制数据。
4.根据权利要求1至3中任一项所述的方法,其中:
使所述设备能够对所述受保护的传感器数据执行所述允许的操作包括:
向所述设备提供可由所述设备用于对所述传感器数据执行所述允许的操作的一个或多个密钥。
5.根据权利要求1至4中任一项所述的方法,其中:
所述方法还包括在将所述受保护的传感器数据传输至所述设备的步骤之后,删除所述传感器数据和/或所述受保护的传感器数据。
6.根据权利要求1至5中任一项所述的方法,其中:
保护所述传感器数据包括:
将第一秘密密钥应用于所述传感器数据,以生成所述受保护的传感器数据;以及
如果所述访问控制数据定义允许所述设备对所述受保护的传感器数据执行第一操作,则所述提供步骤包括:向所述设备提供可由所述设备用于执行所述第一操作的第一互补密钥,所述第一互补密钥是所述第一秘密密钥的互补。
7.根据权利要求6所述的方法,其中:
所述第一秘密密钥是加密密钥;
所述第一受保护的传感器数据是加密的传感器数据;
所述第一操作是解密操作或读取操作;
所述提供步骤包括:
向所述设备提供解密密钥形式的互补密钥。
8.根据权利要求7所述的方法,其中:
保护所述传感器数据包括:
将第二秘密密钥应用于所述第一受保护的传感器数据,以生成第二受保护的传感器数据;以及
(i)如果所述访问控制数据定义允许所述设备对所述第二受保护的数据执行第二操作,则所述提供步骤包括:
向所述设备提供第二互补密钥,所述第二互补密钥可由所述设备用于对所述第二受保护的传感器数据执行所述第二操作;或者
(ii)如果所述访问控制数据定义允许所述设备执行所述第一操作和所述第二操作,则所述提供步骤包括:
向所述设备提供所述第一互补密钥和所述第二互补密钥,所述第二互补密钥可由所述设备用于对所述第二受保护的传感器数据执行所述第二操作以恢复所述第一受保护的传感器数据,然后所述第一互补密钥可由所述设备用于对所述第一受保护的传感器数据执行所述第一操作;
(iii)如果所述访问控制数据定义允许所述设备对所述第二受保护的数据执行第三操作,则所述提供步骤包括:
向所述设备提供所述第一互补密钥和所述第二互补密钥,所述第一互补密钥和所述第二互补密钥组合可用于对所述第二受保护的传感器数据执行所述第三操作。
9.根据权利要求8所述的方法,其中:
所述第一秘密密钥是第一认证密钥;
所述第二秘密密钥是加密密钥;
保护所述传感器数据的步骤包括:
将所述第一认证密钥应用于所述传感器数据以生成认证码,所述第一受保护的传感器数据是所述传感器数据和所述认证码的组合;
将所述加密密钥应用于所述第一受保护的传感器数据,以生成加密的传感器数据。
10.根据权利要求9所述的方法,其中:
如果所述访问控制数据定义允许所述设备解密所述加密的传感器数据,则所述提供步骤可以包括向所述设备提供可由所述设备用于解密所述加密的传感器数据的解密密钥;以及
如果所述访问控制数据定义允许所述设备解密和重新认证所述加密的传感器数据、或修改所述传感器数据,则所述提供步骤包括:
向所述设备提供所述第一认证密钥和所述解密密钥,所述第一认证密钥和所述加密密钥组合可用于修改所述传感器数据;或者
向所述设备提供所述第一认证密钥和所述解密密钥,所述解密密钥可由所述设备用于解密所述加密的传感器数据以恢复所述传感器数据和所述认证码的所述组合,从而使所述设备能够修改所述传感器数据以生成修改后的传感器数据,并且所述第一认证密钥可由所述设备用于所述修改后的传感器数据以生成第二认证码。
11.根据权利要求1至10中任一项所述的方法,其中:
所述传感器数据包括传感器数据的第一子集和传感器数据的第二子集;
保护所述传感器数据的步骤包括:
保护所述传感器数据的第一子集,以生成受保护的传感器数据的第一子集;以及
保护所述传感器数据的第二子集,以生成受保护的传感器数据的第二子集;
所述访问控制数据定义:
允许所述设备对所述受保护的传感器数据的第一子集执行的第一操作;和/或
允许所述设备对所述受保护的传感器数据的第二子集执行的第二操作;
所述确定步骤包括基于所述访问控制数据确定:
允许所述设备对所述受保护的传感器数据的第一子集执行的第一操作;和/或
允许所述设备对所述受保护的数据的所述第二子集执行的第二操作;以及
所述提供步骤包括:
仅当确定允许所述设备执行所述第一操作时,提供可由所述设备用于对所述受保护的传感器数据的第一子集执行所述第一操作的一个或多个密钥;以及
仅当确定允许所述设备执行所述第二操作时,提供可由所述设备用于对所述受保护的传感器数据的第二子集执行所述第二操作的一个或多个密钥。
12.一种通过设备访问受保护的传感器数据的方法,所述设备上存储有访问控制数据,所述存储访问数据定义允许所述设备对受保护的传感器数据执行的一个或多个操作,所述方法包括以下步骤:
从传感器接收受保护的传感器数据;
存储接收的所述受保护的传感器数据;
向所述传感器发送所述访问控制数据;以及
从所述传感器接收信号,所述信号使所述设备能够对所述受保护的传感器数据执行允许的操作。
13.根据权利要求12所述的方法,其中:
所述设备上存储有包括所述访问控制数据的授权令牌;以及
向所述传感器发送所述访问控制数据包括向所述设备发送所述授权令牌。
14.根据权利要求12或13所述的方法,其中:
接收使所述设备能够对所述受保护的传感器数据执行所述允许的操作的信号包括接收可由所述设备用于对所述受保护的传感器数据执行所述允许的操作的一个或多个密钥。
15.根据权利要求12至14中任一项所述的方法,还包括:
向所述传感器发送访问请求,所述访问请求指定要对所述受保护的传感器数据执行的所请求的操作。
16.根据权利要求12至15中任一项所述的方法,其中:
所述受保护的传感器数据包括受保护的传感器数据的第一子集和受保护的传感器数据的第二子集;
所述访问控制数据定义:
允许所述设备对所述受保护的传感器数据的第一子集执行的第一操作;和/或
允许所述设备对所述受保护的传感器数据的第二子集执行的第二操作;
所述接收步骤包括:
仅当所述访问控制数据中定义允许所述设备执行所述第一操作时,接收可由所述设备用于对所述受保护的传感器数据的所述第一子集执行所述第一操作的一个或多个密钥;以及
仅当所述访问控制数据中定义允许所述设备执行所述第二操作时,接收可由所述设备用于对所述受保护的传感器数据的第二子集执行所述第二操作的一个或多个密钥。
17.根据权利要求16所述的方法,包括:
向所述传感器发送访问请求,所述访问请求指定以下中的一个或多个:
要对所述加密的传感器数据的第一子集执行的所述第一操作,以及
要对所述加密的传感器数据的第二子集执行的所述第二操作。
18.根据权利要求12至17中任一项所述的方法,其中:
所述授权令牌定义一个或多个有效性条件,所述有效性条件的形式为使得所述授权令牌有效必须要满足的条件,所述有效性条件包括以下中的一个或多个:
对所述授权令牌有效的一个或多个时间段的限制;
对所述授权令牌可以被使用的次数的限制;
对可以与所述授权令牌关联使用的用户凭证或用户凭证集的限制;以及
对发送所述授权令牌的设备的限制。
19.一种传感器,用于生成传感器数据,并且用于控制对所述传感器数据的访问,所述传感器用于执行根据权利要求1至11中任一项所述的方法。
20.一种用于处理受保护的传感器数据的设备,所述设备用于执行根据权利要求12至18中任一项所述的方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP21158265.5 | 2021-02-19 | ||
EP21158265.5A EP4047899A1 (en) | 2021-02-19 | 2021-02-19 | Methods and systems for controlling access to sensor data |
PCT/EP2022/054149 WO2022175490A1 (en) | 2021-02-19 | 2022-02-18 | Methods and systems for controlling access to sensor data |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117280654A true CN117280654A (zh) | 2023-12-22 |
Family
ID=74672243
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202280029702.5A Pending CN117280654A (zh) | 2021-02-19 | 2022-02-18 | 用于控制对传感器数据的访问的方法和系统 |
Country Status (6)
Country | Link |
---|---|
US (1) | US20240107311A1 (zh) |
EP (2) | EP4047899A1 (zh) |
JP (1) | JP2024507773A (zh) |
KR (1) | KR20230146641A (zh) |
CN (1) | CN117280654A (zh) |
WO (1) | WO2022175490A1 (zh) |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9582671B2 (en) * | 2014-03-06 | 2017-02-28 | Sensity Systems Inc. | Security and data privacy for lighting sensory networks |
-
2021
- 2021-02-19 EP EP21158265.5A patent/EP4047899A1/en active Pending
-
2022
- 2022-02-18 CN CN202280029702.5A patent/CN117280654A/zh active Pending
- 2022-02-18 US US18/276,664 patent/US20240107311A1/en active Pending
- 2022-02-18 JP JP2023548703A patent/JP2024507773A/ja active Pending
- 2022-02-18 WO PCT/EP2022/054149 patent/WO2022175490A1/en active Application Filing
- 2022-02-18 EP EP22711173.9A patent/EP4295537A1/en active Pending
- 2022-02-18 KR KR1020237032097A patent/KR20230146641A/ko unknown
Also Published As
Publication number | Publication date |
---|---|
WO2022175490A1 (en) | 2022-08-25 |
KR20230146641A (ko) | 2023-10-19 |
US20240107311A1 (en) | 2024-03-28 |
EP4295537A1 (en) | 2023-12-27 |
JP2024507773A (ja) | 2024-02-21 |
EP4047899A1 (en) | 2022-08-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9692605B2 (en) | Certificate authority server protection | |
Wolf et al. | State of the art: Embedding security in vehicles | |
CN100533368C (zh) | 控制对区域的访问 | |
EP3036926B1 (en) | Authorized access to vehicle data | |
CN111149324A (zh) | 用于管理具有链接值的数字证书的密码学方法和系统 | |
KR101105205B1 (ko) | 실시간 데이터의 무결성과 기밀성을 보장하기 위한 데이터 처리방법과 장치 및 이를 이용한 블랙박스 시스템 | |
US20150156013A1 (en) | Data prioritization, storage and protection in a vehicular communication system | |
CN105323753A (zh) | 车内安全模块、车载系统与车辆间进行信息交互的方法 | |
CN113168480A (zh) | 基于环境因子的可信执行 | |
US11748510B1 (en) | Protection of personal data stored in vehicular computing systems | |
KR101210723B1 (ko) | 차량용 블랙박스 시스템 | |
CN101510238B (zh) | 一种文档库安全访问方法及系统 | |
CN101065789B (zh) | 记录对区域的访问尝试 | |
CN103942479A (zh) | 一种电子指纹身份标签生成及验证的方法 | |
Feng et al. | Autonomous vehicles' forensics in smart cities | |
CN117280654A (zh) | 用于控制对传感器数据的访问的方法和系统 | |
CN103793742A (zh) | 一种交通电子车牌的电子标签安全认证和信息加密的技术 | |
CN114039771A (zh) | 一种数据处理方法、装置、系统、电子设备及存储介质 | |
KR20120053451A (ko) | 차량용 프라이버시 마스킹 장치와 이를 이용한 프라이버시 보호 방법 | |
Vránics et al. | Electronic administration of unmanned aviation with Public Key Infrastructure (PKI) | |
US20140068782A1 (en) | Persona-Notitia Intellection Codifier | |
Shemaili et al. | Securing E-Seal real time tracking system for Internet of Things | |
Patsakis et al. | Securing In-vehicle Communication and Redefining the Role of Automotive Immobilizer. | |
Vaidya et al. | Privacy and security technologies for smart city development | |
Kim et al. | Security Vulnerability Analysis and Solution Proposal to Smart Vehicle Network Environments |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |