一种在不进行状态管理下确保通信安全的方法技术

本发明专利技术涉及一种用于在至少两个通信实体(C1，S1)之间进行通信的方法，第一通信实体(C1)生成至少一个数据消息，该至少一个数据消息包括净荷(Datai)和认证头部(Tokeni)，所述方法的特征在于，其包括：生成情境参数(ContextP1)，该情境参数包括至少一个数据，该至少一个数据代表第一实体(C1)的材料配置(CtrIProg)；在认证头部(Token1)中生成安全配置文件(PRO_SEC)，该安全配置文件定义了对消息的净荷(Datai)进行编码的条件，以及通过至少应用于消息的净荷(Datai)的算法(Signing_Module1)来生成签名(Sign1)的条件；在生成的消息中包括所述签名(Sign1)；将存储的第一通信实体(C1)的标识符(C1_ld)插入认证头部(Token1)中；并将安全配置文件(PRO_SEC)插入净荷或插入认证头部中。

A method to ensure communication security without state management

【技术实现步骤摘要】
【国外来华专利技术】一种在不进行状态管理下确保通信安全的方法
本专利技术的领域涉及确保两个通信实体之间的通信安全，诸如管理传感器或驱动致动器的一个或多个实体与远程管理硬件资源并经由网络接口通信的中央实体之间的通信安全。本专利技术尤其涉及不需要状态管理的安全通信。本专利技术的领域还涉及在生成控制数据中以及在驱动致动器中的安全以及确保数据安全，特别是通过建立专用的安全通信来实现，该专门的安全通信通过考虑有限的计算资源而提供灵活的体系架构并适用于物联网。
技术介绍
物联网和高度数字化的环境随着例如，用于管理、备份或交互目的的信息流的建立一起出现。因此，已知诸如虚拟专用网络(也称为VPN)之类的确保通信安全的方法。还已知诸如防病毒的安全程序的建立，使得可以保护自己免受不同类型的攻击。但是，这些防御手段通常是在诸如，智能手机、平板电脑或计算机等资源丰富的终端上实现的。当前还存在一些解决方案，其能够例如，借助于公共非对称密钥和非对称私钥或用认证第三方来确保设备之间的通信安全，但是这些解决方案涉及大量的计算资源，需要连接的对象在加密功能方面提供保证。...

【技术保护点】
1.至少两个通信实体(C1，S1)之间的通信方法，第一通信实体(C1)生成至少一个净荷数据消息(Mes1)，该至少一个净荷数据消息(Mes1)被发送到第二通信实体(S1)，该至少一个净荷数据消息(Mes1)包括净荷字段，该净荷字段包括净荷数据(Data1)和认证头部(Token1)，所述方法的特征在于，所述方法包括用于生成所述消息(Mes1)的以下步骤：/n■生成情境参数(ContextP1)，该情境参数(ContextP1)包括至少一个数据，该至少一个数据代表第一实体(C1)的硬件配置(ctrlProg)；/n■生成集成到认证头部(Token1)中的安全配置文件(PRO_SEC)并定义条件：...

【技术特征摘要】
【国外来华专利技术】20170518 FR 17544131.至少两个通信实体(C1，S1)之间的通信方法，第一通信实体(C1)生成至少一个净荷数据消息(Mes1)，该至少一个净荷数据消息(Mes1)被发送到第二通信实体(S1)，该至少一个净荷数据消息(Mes1)包括净荷字段，该净荷字段包括净荷数据(Data1)和认证头部(Token1)，所述方法的特征在于，所述方法包括用于生成所述消息(Mes1)的以下步骤：
■生成情境参数(ContextP1)，该情境参数(ContextP1)包括至少一个数据，该至少一个数据代表第一实体(C1)的硬件配置(ctrlProg)；
■生成集成到认证头部(Token1)中的安全配置文件(PRO_SEC)并定义条件：
■加密消息的净荷数据(Data1)的条件；
■通过至少应用于净荷数据(Data1)的签名算法(Signing_Module1)生成签名(Sign1)的条件；
■生成集成在认证头部中的所述签名(Sign1)；
■将存储的第一通信实体(C1)的标识符(C1_Id)插入认证头部(Token1)中；
■将情境参数(ContextP1)插入净荷字段(Data1)或认证头部(Token1)中；
■聚合净荷字段(Data1)和头部(Token1)。


2.根据权利要求1所述的通信方法，其特征在于，发送到第二通信实体(S1)的消息(Mes1)在与第一和第二通信实体(C1，S1)连接的数据网络的应用层中传输。


3.根据权利要求1至2中任一项所述的通信方法，其特征在于，情境参数(ContextP1)还包括以下数据中的一个或多个：
■第一实体(C1)的计算器(Co1)的标识符(IdCo1)；
■代表第一实体(C1)的已使用和未使用的输入/输出端口的数据；
■第一实体(C1)的固件的更新日期(DM_Co1)；
■代表固件占用的存储空间的数据。


4.根据权利要求1至3中的任一项所述的通信方法，其特征在于，情境参数(ContextP1)在被集成到所发送的消息中之前被第一非对称公钥(KPub1)加密，所述第一非对称公钥(KPub1)被记录在第一实体(C1)的存储器中，由于记录在第二实体(S1)的存储器中的第一非对称私钥(KPriv1)，情境参数(ContextP1)被解密。


5.根据权利要求1至4中任一项所述的通信方法，其特征在于，第二实体(S1)包括存储多个情境参数(ContextP1)的数据库(DBS1)，每个情境参数与几个第一实体(Ci)中的一个相关联，由第二实体(S1)接收第一实体(C1)发送的所述消息的步骤包括：
■验证数据库(DBS1)中存在情境参数(ContextP1)和由第二实体(S1)接收到的第一实体(C1)的标识符(C1_Id)；
■处理当验证状态有效时收到的所述消息(Mes1)。


6.根据权利要求5所述的通信方法，其特征在于，由第二实体(S1)接收由第一实体(C1)发送的所述消息还包括：
■由应用程序管理器(App_S1)分析第二实体(S1)，以确定是否发生了固件更新或新的第一通信实体的安装；
■当分析表明已发生更新或新安装时，考虑情境参数(ContextP1)和接收到的第一实体的标识符来更新第二实体(S1)的数据库(DBS1)。


7.根据权利要求1至6中的任一项所述的通信方法，其特征在于，情境参数(ContextP1)被包括在认证头部(Token1)中，签名(Sign1)也被应用到情境参数(ContextP1)。


8.根据权利要求7所述的通信方法，其特征在于，净...

【专利技术属性】
技术研发人员：保罗伊曼纽尔·布伦，
申请(专利权)人：空客网络安全有限公司，
类型：发明
国别省市：法国;FR