使用公钥机制在服务层的端对端认证制造技术

在机器对机器/物联网环境中，使用预先提供的逐跳凭证、唯一生成的逐跳凭证、和/或公钥证书，经由直接或委托/中间协商，实现由多跳分开的设备的端到端认证，由此可以经由单跳通信发现远程资源和服务，并且然后可以使用适合于资源和终端设备的服务和能力的安全协议，建立与远程资源的安全通信，此后在没有产生逐跳转换的开销或风险的情况下直接实施通信。

End - to - end authentication of the service layer using a public key mechanism

In machine to machine / networking environment, the use of previously provided documents, only generate hop hop by hop vouchers, and / or public key certificate, directly or via intermediate principal / negotiation, realize end-to-end authentication separated by multi hop equipment, it can be found that the remote resources and services through single hop communication security protocol, and then you can use the service and the ability for resources and terminal equipment, the establishment of secure communication with remote resources, direct communication overhead or jump conversion risk thereafter gradually in the case of No.

【技术实现步骤摘要】
【国外来华专利技术】使用公钥机制在服务层的端对端认证相关申请的交叉引用本申请要求2015年3月16日提交的，题为“End-to-endAuthenticationattheServiceLayerUsingPublicKeyingMechanisms”的美国临时申请No.62/133,839的优先权，其全部内容在此引入以供参考。
技术介绍
机器对机器(M2M)和物联网(IoT)网络部署可以支持在托管M2M/IoT应用和服务的诸如M2M/IoT服务器、网关和设备的节点上操作的M2M/IoT服务层，诸如oneM2M、ETSIM2M和OMALWM2M。在例如：oneM2M-TS-0001功能架构V-1.6.1、oneM2M-TS-0003安全解决方案V-1.0.1、传输层安全(TLS)协议版本1.2、IETF-RFC5246、数据报传输层安全(DTLS)版本1.2、IETF-RFC6347，和用于网际协议的安全架构(IPSec)、IETF-RFC4301中描述这些类型的操作。
技术实现思路
描述了服务启用和安全配置(SESC)方法。这涉及识别可由M2M网络中的实体使用的安全性特征、关联的属性和参数的正确集合，以便可以建立安全通信。这些步骤要求识别实体的能力和实体提供的服务，并确定安全性特征。例如，如果实体不提供“关键”服务，则可以避免昂贵的E2E认证过程。然而，如果由实体提供的服务或信息被认为是“关键的”，因此要求E2E认证，则可能要求关键服务涉及的任何消息来以E2E方式认证。在本文档中描述了作出此决定的机制。服务启用功能(SEF)可以可选地指示仅要求E2E认证，从而避免昂贵的逐跳(HbH)安全连接。类似地，SEF可以可选地指示其也执行凭证注册表(CR)功能。SEF还可以可选地提供到可以从其请求凭证的CR的链接或指示其位置。描述了安全凭证请求/注册过程(SCRP)。这涉及请求可以以动态方式用于E2E认证的公钥凭证。该过程还可以涉及将凭证登记到凭证注册表。还描述了服务层处的动态凭证注册/请求即服务(CRaaS)，以及可以包括重新提供凭证的凭证的生命周期管理。描述了第三方凭证请求(TPRC)方法。这包括由实体请求第三方凭证的机制。假定已经评估了接入控制权限，可以为可以要求对消息发起者进行E2E认证的任何实体提供可以被用于E2E认证的E2E凭证。凭证请求可以通过隐式手段来执行，由此凭证和关联的参数可以用作资源的一部分。替选地，凭证请求可以通过显式手段来执行，由此可以从受信任的第三方(TTP)获取凭证。描述了端对端认证过程(E2EAP)。这包括执行E2E消息发起者的认证的机制以及以委托或未委托方式执行认证的能力。E2E认证可以涉及单向认证或双向E2E认证。例如，描述了用于创建可以被用来创建可用于执行E2E认证的元数据的“消息发起者信息”的机制。在委托模式下，实体将E2E认证机制卸载到信任的实体。在本公开中所述的机制适用于涉及认证的环境，并且更具体地适用于被认为受约束的实体(例如，IoT/M2M设备)的E2E认证。然而，该过程不限于仅IoT设备。其能被用在信任的实体可以确定适当的安全性特征、功能和凭证的情况下，以便除了使受约束的设备免于执行复杂的安全性功能之外，还可以整体上减轻系统中所涉及的消息收发开销。本文所述的机制也可以被用来以E2E方式提供服务层消息的机密性和完整性。提供该
技术实现思路
以采用简化的方式介绍在下文的具体实施方式中进一步描述的原理的选择。该
技术实现思路
不旨在标识所要求的主题的关键特征或必要特征，也不旨在用来限制所要求主题的范围。此外，所要求的主题不限于解决在本公开的任一部分中提到的任一或所有优点的局限。附图说明从结合附图以示例的方式给出的下述描述可获得更详细的理解，其中：图1示出实现为在网络协议栈中的各个层中的协议和服务的一部分的通信会话。图2示出示例公共服务功能/公共服务实体(CSE)。图3示出逐跳安全关联的示例。图4示出示例M2M情形。图5示出不能认证消息的发起者的问题。图6示出IN-CSE恶意地创建较新消息并转发到注册员CSE的问题。图7示出端对端安全认证步骤的示例集合。图8示出示例服务启用和安全配置(SESC)请求/响应消息收发。图9示出示例高级凭证请求过程。图10示出可以被提供给应用实体(AE)或CSE的密钥的示例JavaScript对象表示法(JSON)表示。图11示出示例第三方凭证请求(TPCR)处理流程。图12是示出用于创建数字签名的示例高级机制的流程图。图13示出委托实体(DE)的示例单向E2E认证过程。图14示出包括服务启用功能(SEF)和凭证注册表(CR)功能的示例安全公共服务功能/CSE。图15示出向CSE注册的示例，其中，服务启用和安全配置(SESC)功能驻留在注册员CSE(RCSE)处。图16示出由信任的第三方(TTP)提供逐跳凭证的示例。图17示出AE资源的示例结构。图18示出逐跳凭证提供之后的AE资源。图19示出AE从凭证注册表(CR)请求E2E公钥凭证的示例。图20示出用E2E公钥凭证更新AE资源的示例。图21示出托管CR功能的RCSE的示例。图22示出使用隐式手段，向第三方分发凭证的示例。图23示出通过使用直接模式的AE的传感器消息的E2E认证的示例。图24示出使用委托模式的E2E认证的示例。图25示出在直接模式在由致动器的系统或应用的E2E认证的示例。图26示出由RCSE代表致动器的系统或应用的E2E认证的示例。图27示出将E2E数字签名添加到oneM2M消息的示例。图28示出多个E2E认证的示例。图29是其中可实现一个或多个公开的实施例的示例机器对机器(M2M)、物联网(IoT)或万物网(WoT)通信系统的系统图。图30是在图29中所示的M2M/IoT/WoT通信系统内可使用的示例架构的系统图。图31是在图29和30中所示的通信系统内可使用的诸如M2M/IoT/WoT设备、网关或服务器的示例通信网络节点的系统图。图32是其中可实施图29和30的通信系统的节点的示例计算系统的框图。具体实施方式本文档描述了在具有不同能力(例如，不同的处理能力，存储器大小等)并且没有先前的安全关联的实体之间执行端对端认证的机制。描述安全性提供和配置过程，以便可以向实体提供适当的基于公钥的安全性凭证、功能、作用域和参数。还开发了向其他实体请求和分发安全性凭证的机制，然后其他实体能使用凭证在服务层执行端对端认证。描述了服务启用和安全配置(SESC)方法。这涉及到识别可由M2M网络中的实体使用的安全性特征、关联的属性和参数的正确集合，以便可以建立安全通信。这些步骤要求识别实体的能力和实体提供的服务，并确定安全性特征。例如，如果实体不提供“关键”服务，则可以避免昂贵的E2E认证过程。然而，如果由实体提供的服务或信息被认为是“关键的”，因此要求E2E认证，则可能要求关键业务所涉及的任何消息收发来以E2E方式认证。本文档描述了作出此决定的机制。作为SESC过程的一部分，SEF可以可选地指示仅要求E2E认证，从而避免昂贵的逐跳(HbH)安全连接。类似地，SEF也可选地指示它还执行CR功能。此外，SEF可选地提供到请求凭证的CR的链接或指示其位置。描述了安全凭证请求/注册过程(SCRP)。这涉及以动态方式请求可用于E2E本文档来自技高网...

【技术保护点】
一种装置，包括处理器、存储器和通信电路，所述装置经由其通信电路连接到通信网络，所述装置进一步包括存储在所述装置的所述存储器中的计算机可执行指令，所述计算机可执行指令当由所述装置的所述处理器执行时，使所述装置：a.从消息发起者接收消息的多跳传输，其中通过第一中间实体接收所述传输，并且其中所述多跳传输包括由所述消息发起者生成的所述消息的数字签名；以及b.使用所述消息发起者的公钥和由所述消息发起者生成的所述消息的所述数字签名，认证所述消息发起者。

【技术特征摘要】
【国外来华专利技术】2015.03.16 US 62/133,8391.一种装置，包括处理器、存储器和通信电路，所述装置经由其通信电路连接到通信网络，所述装置进一步包括存储在所述装置的所述存储器中的计算机可执行指令，所述计算机可执行指令当由所述装置的所述处理器执行时，使所述装置：a.从消息发起者接收消息的多跳传输，其中通过第一中间实体接收所述传输，并且其中所述多跳传输包括由所述消息发起者生成的所述消息的数字签名；以及b.使用所述消息发起者的公钥和由所述消息发起者生成的所述消息的所述数字签名，认证所述消息发起者。2.如权利要求1所述的装置，其中，所述计算机可执行指令进一步使所述装置从信任的第三方获得所述消息发起者的所述公钥。3.如权利要求1所述的装置，其中，所述多跳传输来自与所述消息发起者分开的源实体，并且其中，所述多跳传输不包含由所述源实体生成的数字签名。4.如权利要求1所述的装置，其中，所述多跳传输进一步包括由所述第一中间实体生成的数字签名，并且其中，所述计算机可执行指令进一步使所述装置使用所述第一中间实体的公钥和由所述第一中间实体生成的所述签名，认证所述第一中间实体。5.如权利要求1所述的装置，其中，所述传输进一步包括由多个中间实体的每一个生成的数字签名，并且其中，所述计算机可执行指令进一步使所述装置使用所述公钥和由所述多个中间实体的每一个生成的所述数字签名，认证所述多个中间实体的每一个。6.如权利要求1所述的装置，其中，所述计算机可执行指令进一步使所述装置基于所述消息发起者的所述认证来确定是否将所述多跳传输转发到目的地实体。7.如权利要求6所述的装置，其中，所述计算机可执行指令进一步使所述装置：a.使用所述目的实体的公钥认证所述目的地实体；以及b.基于所述目的地实体的认证，确定是否将第一多跳传输转发到目的地实体。8.如权利要求1所述的装置，其中，所述多跳传输包括逐跳凭证，并且其中，所述计算机可执行指令进一步使所述装置检查所述逐跳凭证。9.一种方法，包括：a.通过第一中间实体，从消息发起者接收多跳传输，其中，所述多跳传输包括由所述消息发起者生成的数字签名；以及b.使用所述消息发起者的公钥和由所述消息发起者生成的所述数字签名，认证所述消息发起者...

【专利技术属性】
技术研发人员：维诺德·库马尔·乔伊，黛尔·N·希德，约根德拉·C·沙阿，李庆光，威廉·罗伯特·弗林四世，迈克尔·F·斯塔西尼克，沙米姆·阿克巴尔·拉赫曼，陈卓，李晴，
申请(专利权)人：康维达无线有限责任公司，
类型：发明
国别省市：美国,US