用于使得能够实现凭证的安全供应的方法以及相关无线装置和服务器制造方法及图纸
【技术实现步骤摘要】
【国外来华专利技术】用于使得能够实现凭证的安全供应的方法以及相关无线装置和服务器
本公开涉及安全性,并且具体来说涉及凭证供应。更具体来说,本公开涉及用于使得能够实现从服务器到无线装置的凭证的安全供应的方法以及相关无线装置和服务器。
技术介绍
设想在2020年有500亿台装置将连接到因特网,并且物联网IoT(其中连接诸如传感器、灯泡等的无线装置)将是所连接装置的主要部分。安全性对这些无线装置非常重要。例如,重要的是确保从传感器所传递的数据结束于正确的人手中,并且它未被篡改,以及来自这些传感器的敏感数据没有暴露。另一个示例是需要防止篡改对/从控制装置(诸如门锁或起搏器(对其而言,篡改能够对人们的财产或健康具有严重后果))所发送的数据。不仅应当保护无线装置本身以及由无线装置所提供的服务(例如无线装置与服务器(无线装置向其传递敏感传感器数据)之间的安全通信),而且还需要按照安全方式来操控装置管理(例如装置的SW更新和配置)以及服务注册和实现。因此,重要的是防止中间人操纵SW、将无线装置置于错误/不安全配置中、或者使无线装置向欺诈服务器注册。无线装置通常是具有有限计算和通信功率及存储器的受约束装置。对于这类无线装置,在各种标准化论坛中已提出了若干标准。这些标准之一是轻量机器对机器LwM2M协议,其提供用于受约束无线装置的引导、注册、管理、服务实现和信息报告的手段。LwM2M协议运行于受约束应用协议CoAP之上,CoAP是用于由IETF最近标准化的用于受约束装置的表述性状态传递REST-ful应用协议。LwM2M和CoAP均要求将数据报传输层安全性DTLS用于包括无线装置与服务器(引导服...
【技术保护点】
一种在无线装置(60)中执行以用于能够实现从服务器(70)的凭证的安全供应的方法,所述无线装置(60)存储装置公共密钥和装置私有密钥,所述服务器(70)存储所述装置公共密钥,所述方法包括:‑ 接收(S1)来自所述服务器(70)的认证请求;‑ 生成(S2)装置认证和完整性DAI指示符;‑ 向所述服务器(70)传送(S3)认证响应,所述认证响应包括所述DAI指示符;‑ 接收(S4)来自所述服务器(70)的凭证消息,所述凭证消息包括服务器认证和完整性SAI指示符;其中所述SAI指示符提供所述服务器对所述装置公共密钥的拥有的证据;以及‑ 使用所述装置公共密钥来检验(S5)所接收凭证消息。
【技术特征摘要】
【国外来华专利技术】1.一种在无线装置(60)中执行以用于能够实现从服务器(70)的凭证的安全供应的方法,所述无线装置(60)存储装置公共密钥和装置私有密钥,所述服务器(70)存储所述装置公共密钥,所述方法包括:-接收(S1)来自所述服务器(70)的认证请求;-生成(S2)装置认证和完整性DAI指示符;-向所述服务器(70)传送(S3)认证响应,所述认证响应包括所述DAI指示符;-接收(S4)来自所述服务器(70)的凭证消息,所述凭证消息包括服务器认证和完整性SAI指示符;其中所述SAI指示符提供所述服务器对所述装置公共密钥的拥有的证据;以及-使用所述装置公共密钥来检验(S5)所接收凭证消息。2.根据权利要求1所述的方法,其中,所述凭证消息包括服务器凭证;以及其中所述方法包括:-在成功检验时存储(S6)所接收服务器凭证。3.根据以上权利要求中的任一项所述的方法,其中,所述DAI指示符包括基于所述装置私有密钥所计算的数字签名和/或基于所述装置公共密钥所计算的消息认证代码。4.根据以上权利要求中的任一项所述的方法,其中,所述凭证消息包括由所述服务器(70)使用所述装置公共密钥所计算的密码文本,以及其中检验(S5)所述凭证消息包括使用所述装置私有密钥对所述密码文本进行解密(S51),以得到明文。5.根据以上权利要求中的任一项所述的方法,其中,所述认证请求包括服务器现时值;以及其中生成(S2)所述DAI指示符包括使用所述装置私有密钥在所述服务器现时值上生成(S21)数字签名并且使用所述装置公共密钥在所述服务器现时值上生成消息认证代码。6.根据以上权利要求中的任一项所述的方法,其中,所述认证请求包括使用所述装置公共密钥或者从所述装置公共密钥所导出的密钥进行加密的服务器现时值;以及其中生成(S2)所述DAI指示符包括使用所述装置私有密钥或者从所述装置公共密钥所导出的密钥对所述加密服务器现时值进行解密,并且在所述认证响应中返回所述服务器现时值。7.根据以上权利要求中的任一项所述的方法,其中,所述SAI指示符包括数字签名;以及其中检验(S5)所接收凭证消息包括检验(S53)所述数字签名。8.根据以上权利要求中的任一项所述的方法,所述方法还包括生成装置现时值,并且其中所述认证响应包括所述装置现时值。9.根据以上权利要求中的任一项所述的方法,其中,所述凭证消息包括验证确认或者验证错误。10.根据权利要求2-9中的任一项所述的方法,其中,所述服务器凭证是服务器公共密钥、服务器证书、证书授权CA证书和/或装置证书,并且所述SAI指示符包括所述数字签名,且其中检验(S5)所接收凭证消息包括计算(S52)所述服务器现时值、所述装置现时值、所述明文、所述装置公共密钥和所接收的服务器公共密钥中的至少一个的散列值,并且使用所计算的散列值和所接收的服务器公共密钥来检验(S53)所接收的数字签名。11.根据以上权利要求中的任一项所述的方法,其中,所述SAI指示符包括MAC,且其中检验(S5)所接收凭证消息包括使用所述装置公共密钥来检验(S54)所述MAC。12.根据权利要求2-11中的任一项所述的方法,其中,所述SAI指示符包括所述MAC,且其中检验(S5)所接收凭证消息包括计算(S55)所述服务器现时值、所述装置现时值、所述明文、所述装置公共密钥和所接收服务器凭证中的至少一个的散列值,并且使用所计算的散列值和所述装置公共密钥来检验所接收的MAC。13.如以上权利要求中的任一项所述的方法,所述方法还包括在凭证请求中或者在所述认证响应中向所述服务器(70)传送(S11)装置标识符,并且其中所述凭证消息是对所述凭证请求的凭证响应。14.根据权利要求13所述的方法,其中,所述装置标识符包括基于所述装置公共密钥计算的散列值。15.根据以上权利要求中的任一项所述的方法,其中,所述认证请求包括配置成能够实现共享密钥的导出的服务器密钥交换参数。16.根据权利要求15所述的方法,其中,生成(S2)所述DAI指示符包括:-基于所述装置公共密钥、所述服务器密钥交换参数、和/或装置密钥交换参数来生成(S22a)所述共享密钥,-基于所述共享密钥来计算(S22b)所述DAI指示符,以及-在所述认证响应中向所述服务器(70)传送(S22c)所述装置密钥交换参数。17.根据权利要求15-16中的任一项所述的方法,所述方法还包括从所述服务器(70)接收(S7)包括服务器凭证的后续消息;以及使用所述共享密钥来检验(S8)所接收的后续消息。18.根据权利要求17所述的方法,其中,所述后续消息经过加密和/或完整性保护,并且其中基于所述共享密钥来检验(S8)所接收的后续消息包括使用所述共享密钥对所述后续消息进行解密,和/或基于所述共享密钥来检验所述后续消息的完整性保护指示符。19.根据权利要求2-18中的任一项所述的方法,其中,所述服务器凭证包括服务器公共密钥、服务器证书、配置成与所述装置进行通信的一个或多个服务器(70)的证书授权CA证书、装置证书、对称密钥、和/或标识符。20.根据权利要求2-19中的任一项所述的方法,其中,所述凭证消息包括作为服务器凭证的所述装置证书的加密版本。21.一种在服务器(70)中执行以用于向无线装置(60)安全提供凭证的方法,所述服务器(70)存储用于所述无线装置(60)的装置公共密钥、服务器公共密钥和服务器私有密钥,所述方法包括:-向所述无线装置(60)传送(S311)认证请求;-接收(S312)来自所述无线装置(60)的认证响应,所述认证响应包括装置认证和完整性DAI指示符;-使用所述DAI指示符和所述装置公共密钥来检验(S313)所接收的认证响应;以及在所述认证响应的成功检验时:-基于所述装置公共密钥来生成(S314)服务器认证和完整性SAI指示符;其中所述SAI指示符提供所述服务器对所述装置公共密钥的拥有的证据;以及-向所述无线装置(60)传送(S315)凭证消息,所述凭证消息包括所生成的SAI指示符。22.根据权利要求21所述的方法,其中,所述凭证消息包括服务器凭证,和/或所述方法还包括向所述无线装置(60)传送(S316)后续消息,所述后续消息包括所述服务器凭证和/或所述服务器凭证的加密版本。23.根据权利要求21所述的方法,所述方法还包括接收(S310)来自所述无线装置(60)的凭证请求,所述凭证请求包括装置标识符;其中检验(S313)所接收的认证响应包括识别(S313a)与所述装置标识符对应的所述装置公共密钥;以及其中所述凭证消息是对所述凭证请求的凭证响应。24.根据权利要求21-23中的任一项所述的方法,其中,生成(S314)所述SAI指...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。