用于组内通信的密钥建立制造技术

描述了用于无线通信的方法、系统和设备。管理设备可以针对由管理设备管理的设备组中的每个设备创建组安全配置。组安全配置可以包括与设备组相关联的组安全参数以及与设备组中的每个设备相关联的设备特定安全参数。管理设备可以将组安全配置提供给设备组中的一个或多个设备。一个或多个设备可以使用组安全配置来为一个或多个设备之间的通信直接建立安全连接，这可以包括在无需在建立期间与管理设备进一步通信的情况下建立安全连接。

Key establishment for intra group communication

A method, system and device for wireless communication are described. The management device can create group security configuration for each device in the device group managed by the management device. Group security configurations can include group security parameters associated with the device group and device-specific security parameters associated with each device in the device group. Management devices can provide group security configuration to one or more devices in the device group. One or more devices can use a group security configuration to establish a secure connection directly for communication between one or more devices, which may include establishing a secure connection without further communication with the management device during setup.

【技术实现步骤摘要】
【国外来华专利技术】用于组内通信的密钥建立交叉引用本专利申请要求享有Lee等人于2016年6月22日提交的题为“KeyEstablishmentforCommunicationsWithinaGroup”的美国专利申请No.15/190,128，以及Lee等人于2016年1月13日提交的题为“KeyEstablishmentforCommunicationsWithinaGroup”的美国临时专利申请No.62/278,355的优先权；这些申请中的每一个均转让给本申请的受让人。
以下一般地涉及无线通信，具体而言，涉及用于组内通信的密钥建立。
技术介绍
无线通信系统被广泛部署以提供各种类型的通信内容，例如语音、视频、分组数据、消息收发、广播等。这些系统能够通过共享可用系统资源(例如，时间、频率和功率)来支持与多个用户的通信。这种多址系统的示例包括码分多址(CDMA)系统、时分多址(TDMA)系统、频分多址(FDMA)系统和正交频分多址(OFDMA)系统。无线多址通信系统可以包括多个基站，每个基站同时支持用于多个通信设备的通信，所述多个通信设备可以被称为用户设备(UE)。也可以在被称为设备到设备(D2D)通信的配置中在UE之间建立无线通信链路。利用D2D通信的一组UE中的一个或多个可以在小区的覆盖区域内。这种组中的其他UE可以位于小区的覆盖区域外，或者不能从基站接收传输。在一些情况下，基站有助于调度用于D2D通信的资源。在其他情况下，D2D通信独立于基站实施。在一些情况下，设备集合(例如，可穿戴设备、传感器、UE、基站、接入点等)可以属于公共组。例如，组中的设备可以是传感器阵列中的传感器，人拥有的万物网(IoE)设备集合，家中的智能家电集合等。设备组可以由管理设备(例如，与该组的所有者相关联的设备)管理。组内的设备可以与管理设备进行无线通信并且也可以彼此进行无线通信(例如，用于多跳连接的D2D通信)。例如，一个设备可以经由距离三跳之外的另一个组设备接入互联网，其中每一跳都是组内的另一个设备。然而，设备之间的连接可以使用当前链路安全技术，其可能无法随着组的大小增加而缩放，在能量和保护链路所需的消息交换方面效率可能不高。
技术实现思路
所描述的技术总体上涉及支持组内通信的可缩放且高效的密钥建立的改进方法、系统或设备。通常，所描述的技术提供管理设备以创建并向每个组设备分配组安全配置，该组安全配置对于每个设备是唯一的并且还在设备之间使用以建立安全连接。组安全配置可以包括组特定特征和设备特定特征。组特定特征可以是与设备组关联并且由所有组设备所知的组安全参数。设备特定特征可以是与组中的特定设备相关联并且仅由管理设备和相应的组设备所知的设备特定安全参数。组安全参数可以包括可配置的安全特征，其中，必须使预定数量的组设备受危害以破坏组的安全性。管理设备可以至少部分地基于预定数量的设备来触发对组安全参数的改变或更新(例如，当具有连接状态改变的设备和/或设备安全性受危害的确定数量达到或超过设备的门限数量时)。另外或者可替换地，在一些示例中，管理设备可以基于确定单个设备已经受危害来触发对组安全参数的改变或更新。组的设备可以使用它们各自的组安全配置来与该组的其他设备直接建立安全连接(例如，成对连接)，而不需要在建立安全连接期间来自管理设备的进一步通信。这可以在管理设备不可用或离线的时段期间支持组设备之间的组内安全通信。描述了一种用于无线通信的方法。该方法可以包括：由设备组的管理设备为设备组中的第一设备创建第一组安全配置，所述第一组安全配置包括与设备组相关联的组安全参数和与第一设备相关联的设备特定安全参数；由所述管理设备为所述设备组中的第二设备创建第二组安全配置，所述第二组安全配置包括所述组安全参数和与所述第二设备相关联的设备特定安全参数；以及向所述第一设备提供所述第一组安全配置和向第二设备提供所述第二组安全配置，其中，所述第一组安全配置和所述第二组安全配置被配置为用于为所述第一设备和所述第二设备之间的通信建立安全连接。描述了一种用于无线通信的装置。该装置可以包括处理器，与处理器电子通信的存储器以及存储在存储器中的指令。所述指令在由所述处理器执行时可操作以使得所述装置执行以下操作：由设备组的管理设备为设备组中的第一设备创建第一组安全配置，所述第一组安全配置包括与设备组相关联的组安全参数和与第一设备相关联的设备特定安全参数；由所述管理设备为所述设备组中的第二设备创建第二组安全配置，所述第二组安全配置包括所述组安全参数和与所述第二设备相关联的设备特定安全参数；以及向所述第一设备提供所述第一组安全配置和向第二设备提供所述第二组安全配置，其中，所述第一组安全配置和所述第二组安全配置被配置为用于为所述第一设备和所述第二设备之间的通信建立安全连接。描述了另一种用于无线通信的装置。该装置可以包括：用于由设备组的管理设备为设备组中的第一设备创建第一组安全配置的单元，所述第一组安全配置包括与设备组相关联的组安全参数和与第一设备相关联的设备特定安全参数；用于由所述管理设备为所述设备组中的第二设备创建第二组安全配置的单元，所述第二组安全配置包括所述组安全参数和与所述第二设备相关联的设备特定安全参数；以及用于向所述第一设备提供所述第一组安全配置和向第二设备提供所述第二组安全配置的单元，其中，所述第一组安全配置和所述第二组安全配置被配置为用于为所述第一设备和所述第二设备之间的通信建立安全连接。描述了一种存储用于无线通信的代码的非暂时性计算机可读介质。该代码可以包括指令，所述指令可执行以用于以下操作：由设备组的管理设备为设备组中的第一设备创建第一组安全配置，所述第一组安全配置包括与设备组相关联的组安全参数和与第一设备相关联的设备特定安全参数；由所述管理设备为所述设备组中的第二设备创建第二组安全配置，所述第二组安全配置包括所述组安全参数和与所述第二设备相关联的设备特定安全参数；以及向所述第一设备提供所述第一组安全配置和向第二设备提供所述第二组安全配置，其中，所述第一组安全配置和所述第二组安全配置被配置为用于为所述第一设备和所述第二设备之间的通信建立安全连接。方法、装置和非暂时性计算机可读介质的一些示例中，第一组安全配置和第二组安全配置可以被配置为用于在无需在建立安全连接期间与管理设备进行额外通信的情况下建立安全连接。方法、装置和非暂时性计算机可读介质的一些示例还可以包括用于至少部分地基于设备组中的设备的最大数量来确定设备组的组安全级别的操作、特征、单元或指令。方法、装置和非暂时性计算机可读介质的一些示例还可以包括用于至少部分地基于改变其组连接状态的设备数量超过设备的门限数量来更新第一组安全配置和第二组安全配置的操作、特征、单元或指令。方法、装置和非暂时性计算机可读介质的一些示例还可以包括用于进行以下内容的操作、特征、单元或指令：使用第一安全单播信道向第一设备提供经更新的第一组安全配置；以及使用第二安全单播信道向第二设备提供经更新的第二组安全配置。方法、装置和非暂时性计算机可读介质的一些示例中，所述更新可以包括用于改变以下各项的操作、特征、单元或指令：组安全参数、与第一设备相关联的设备特定安全参数、或与第二设备相关联的设备特定安全参数、或其组合。方法、装置和非暂时性计算机可本文档来自技高网...

【技术保护点】
1.一种用于无线通信的方法，包括：由设备组的管理设备针对所述设备组中的第一设备创建第一组安全配置，所述第一组安全配置包括与所述设备组相关联的组安全参数和与所述第一设备相关联的设备特定安全参数；由所述管理设备针对所述设备组中的第二设备创建第二组安全配置，所述第二组安全配置包括所述组安全参数和与所述第二设备相关联的设备特定安全参数；以及向所述第一设备提供所述第一组安全配置和向所述第二设备提供所述第二组安全配置，其中，所述第一组安全配置和所述第二组安全配置被配置为用于针对所述第一设备和所述第二设备之间的通信建立安全连接。

【技术特征摘要】
【国外来华专利技术】2016.01.13 US 62/278,355;2016.06.22 US 15/190,1281.一种用于无线通信的方法，包括：由设备组的管理设备针对所述设备组中的第一设备创建第一组安全配置，所述第一组安全配置包括与所述设备组相关联的组安全参数和与所述第一设备相关联的设备特定安全参数；由所述管理设备针对所述设备组中的第二设备创建第二组安全配置，所述第二组安全配置包括所述组安全参数和与所述第二设备相关联的设备特定安全参数；以及向所述第一设备提供所述第一组安全配置和向所述第二设备提供所述第二组安全配置，其中，所述第一组安全配置和所述第二组安全配置被配置为用于针对所述第一设备和所述第二设备之间的通信建立安全连接。2.根据权利要求1所述的方法，其中，所述第一组安全配置和所述第二组安全配置被配置为用于在无需在建立所述安全连接期间与所述管理设备进行额外通信的情况下建立所述安全连接。3.根据权利要求1所述的方法，还包括：至少部分地基于所述设备组中的设备的最大数量来确定所述设备组的组安全级别。4.根据权利要求1所述的方法，还包括：至少部分地基于改变其组连接状态的设备数量超过设备的门限数量来更新所述第一组安全配置和所述第二组安全配置。5.根据权利要求4所述的方法，还包括：使用第一安全单播信道向所述第一设备提供经更新的第一组安全配置；以及使用第二安全单播信道向所述第二设备提供经更新的第二组安全配置。6.根据权利要求4所述的方法，其中，所述更新包括：改变所述组安全参数、与所述第一设备相关联的所述设备特定安全参数、或与所述第二设备相关联的所述设备特定安全参数、或其组合。7.根据权利要求4所述的方法，其中，所述更新包括：选择提供对以下各项的索引的组标识符：经更新的组安全参数、与所述第一设备相关联的经更新的设备特定安全参数、或与所述第二设备相关联的经更新的设备特定安全参数、或其组合；以及向所述第一设备、或所述第二设备、或者所述第一设备和所述第二设备两者提供所选择的组标识符。8.根据权利要求4所述的方法，其中，改变其组连接状态的设备包括：被识别受危害设备的设备、周期性安全配置更新、从所述设备组离开的设备、或加入所述设备组的设备、或其组合。9.根据权利要求1所述的方法，其中，所述设备组包括传感器节点组、形成无线对等(P2P)网络的无线设备组、形成网状网络的无线设备组、或形成无基础设施网络的设备组、或其组合。10.一种无线通信的方法，包括：在设备组的第一设备处从管理设备接收第一组安全配置，所述第一组安全配置包括与所述设备组相关联的组安全参数和与所述第一设备相关联的设备特定安全参数；以及至少部分地基于所述第一组安全配置和被提供给第二设备的第二组安全配置来针对与所述设备组中的所述第二设备的通信建立安全连接，所述第二组安全配置包括所述组安全参数和与所述第二设备相关联的设备特定参数。11.根据权利要求10所述的方法，其中，所述安全连接是在无需在建立所述安全连接期间与所述管理设备进行额外通信的情况下建立的。12.根据权利要求10所述的方法，还包括：至少部分地基于所述第一组安全配置和所述第二组安全配置来生成成对密钥以建立所述安全连接，所述成对密钥在所述第一设备和所述第二设备之间是对称的。13.根据权利要求10所述的方法，还包括：在所述第一设备处确定与所述第二设备相关联的所述设备特定安全参数，其中，建立所述安全连接至少部分地基于如在所述第一设备处确定的与所述第二设备相关联的所述设备特定安全参数。14.根据权利要求13所述的方法，其中，确定与所述第二设备相关联的所述设备特定安全参数包括：从所述第二设备接收广播消息，所述广播消息包括与所述第二设备相关联的所述设备特定安全参数。15.根据权利要求10所述的方法，还包括：接收经更新的第一组安全配置；以及至少部分地基于所述经更新的第一组安全配置针对与所述第二设备的通信重新建立所述安全连接。16.一种用于无线...

【专利技术属性】
技术研发人员：S·B·李，G·B·霍恩，
申请(专利权)人：高通股份有限公司，
类型：发明
国别省市：美国,US