在计算设备之间提供安全通信制造技术

所公开的实施例包括用于在第一计算设备和第二计算设备之间提供安全通信的设备和方法。第一计算设备的处理器可以在第一应用软件中确定第一安全密钥建立信息。处理器可以将第一安全密钥建立信息提供给第一计算设备的通信层以传输给第二计算设备。处理器可以在第一应用软件中从第一计算设备的通信层接收从第二计算设备接收的第二安全密钥建立信息。处理器可以由第一应用软件至少部分地基于第二安全密钥建立信息来确定第一安全密钥。处理器可以将第一安全密钥提供给通信层以用于保护从第一应用软件到第二计算设备的消息。第一应用软件到第二计算设备的消息。

【技术实现步骤摘要】
【国外来华专利技术】在计算设备之间提供安全通信
[0001]相关申请
[0002]本申请要求于2019年8月16日提交的名称为“Providing Secure Communications Between Computing Devices”的美国临时申请第62/888,266号的优先权，其全部内容通过引用并入本文以用于所有目的。

技术介绍

[0003]ProSe是一种已由3GPP标准化的协议，以用于提供安全协商和建立安全通信，包括用于识别用于建立安全通信链路的安全凭证或密钥的标识符(ID)。然而，ProSe尚未解决新兴的车辆到一切(V2X)用例，以用于对有兴趣建立安全直接(或单播)通信链路和建立必要密钥以保护通信链路的设备进行认证。

技术实现思路

[0004]各个方面包括用于在第一计算设备和第二计算设备之间提供安全通信的方法。各个方面可以包括：在第一计算设备的处理器中执行的第一应用软件中确定第一安全密钥建立信息；以格式将第一安全密钥建立信息提供给第一计算设备的通信层以由通信层传输给第二计算设备；在第一应用软件中从第一计算设备的通信层接收从第二计算设备接收的第二安全密钥建立信息；由第一应用软件至少部分地基于从第二计算设备接收的第二安全密钥建立信息来确定第一安全密钥；以及将第一安全密钥提供给通信层以供通信层用于保护从第一应用软件到第二计算设备的消息传输。
[0005]一些方面可以包括：在第一计算设备的处理器中执行的第一应用软件中从通信层接收由第二计算设备发送的第三安全密钥建立信息。在这样的方面，由第一应用软件至少部分地基于从第二计算设备接收的第二安全密钥建立信息来确定第一安全密钥可以包括：至少部分地基于第二安全密钥建立信息和第三安全密钥建立信息来确定第一安全密钥。
[0006]一些方面可以包括：由第一应用软件选择用于确定第一安全密钥建立信息的内容的密钥建立算法或方法，以及将所选择的密钥建立算法或方法包括在第一安全密钥建立信息中。一些方面可以包括：在第一计算设备的处理器中执行的第二应用软件中从通信层接收由第二计算设备发送的第四安全密钥建立信息，以及由第二应用软件至少部分地基于从第二计算设备接收的第四安全密钥建立信息来确定第二安全密钥。这样的方面可以包括：由第二应用软件根据从第二计算设备接收的第四安全密钥建立信息中的信息，来至少确定要用于保护从第二应用软件到第二计算设备的消息的加密或完整性算法。
[0007]一些方面可以包括：由第一应用软件向通信层提供用于传输给第二计算设备的进一步的安全密钥建立信息；由第一应用软件从通信层接收从第二计算设备接收的进一步的安全密钥建立信息；以及由第一应用软件使用进一步的安全密钥建立信息来确定第一安全密钥。一些方面可以包括：由第一应用软件向通信层提供数据分组以传输给第二计算设备；由通信层使用第一安全密钥来保护数据分组；以及将受保护的数据分组传输给第二计算设备。
[0008]一些方面可以包括由通信层经由PC5协议将受保护的数据分组传输给第二计算设备。在一些方面，第一应用软件可以包括在第一计算设备的处理器中执行的应用层的第一应用。在一些方面，第一应用可以包括车辆到一切应用。在一些方面，第一计算设备可以包括第一车辆的第一车载计算设备。在一些方面，第二计算设备可以包括第二车辆的第二车载计算设备。在一些方面，第一计算设备的通信层可以包括第一计算设备的PC5层。
[0009]一些方面可以包括使用第一安全密钥来建立与第二计算设备的通信层的通信层安全上下文。在一些方面，第一安全密钥建立信息和第二安全密钥建立信息可以包括需要在两个应用之间交换以使两个应用能够就用于应用之间的一对一通信的根密钥达成一致的信息。在一些方面，根密钥可以包括256位密钥。
[0010]一些方面可以包括：在通信层的控制平面承载上将第一安全密钥建立信息传输给第二计算设备。在这样的方面，控制平面承载可以包括第一计算设备和第二计算设备之间的PC5接口的控制平面承载。一些方面可以包括：由通信层使用第一安全密钥来保护来自第一应用软件的数据分组，以及在通信层的用户平面承载上将受保护的数据分组传输给第二计算设备。
[0011]其他方面可以包括一种计算设备，其具有被配置为执行上述方法的一个或多个操作的处理器。其他方面可以包括其上存储有处理器可执行指令的非暂时性处理器可读存储介质，该处理器可执行指令被配置为使计算设备的处理器执行上述方法的操作。其他方面包括具有用于执行上述方法的功能的部件的计算设备。其他方面包括一种用于在计算设备中使用的片上系统，该计算设备包括被配置为执行上述方法的一个或多个操作的处理器。其他方面包括一种系统级封装，其包括用于在计算设备中使用的两个片上系统，该计算设备包括被配置为执行上述方法的一个或多个操作的处理器。
附图说明
[0012]并入本文中并构成本说明书的一部分的附图示出了示例性实施例，并且与上面给出的一般描述和下面给出的详细描述一起用于解释各种实施例的特征。
[0013]图1A是示出适合与各种实施例一起使用的示例性通信系统的系统框图。
[0014]图1B是示出适合与各种实施例一起使用的两个车辆之间的示例性通信系统的组件和系统框图。
[0015]图2是示出适合与各种实施例一起使用的计算系统的组件框图。
[0016]图3是示出根据各种实施例的包括用于无线通信中的用户和控制平面的无线电协议栈的软件架构的示例的图。
[0017]图4是示出根据各种实施例的被配置用于在第一计算设备和第二计算设备之间提供安全通信的系统的组件框图。
[0018]图5A是示出根据各种实施例的用于在第一计算设备和第二计算设备之间提供安全通信的方法的过程流程图。
[0019]图5B是示出根据各种实施例的用于在第一计算设备和第二计算设备之间提供安全通信的方法的消息流程图。
[0020]图6A至图6F是示出根据各种实施例的用于在第一计算设备和第二计算设备之间提供安全通信的方法的过程流程图。
[0021]图7是适合与各种实施例一起使用的网络计算设备的组件框图。
[0022]图8是适合与各种实施例一起使用的无线通信设备的组件框图。
具体实施方式
[0023]将参照附图详细描述各种实施例。只要有可能，在整个附图中将使用相同的附图标记来指代相同的或相似的部件。对特定示例和实施方式的引用是出于例示说明目的，并不旨在限制权利要求的范围。
[0024]本文使用的术语“计算设备”是指以下中的任何一者或全部：路由器设备(有线或无线)、电器(有线或无线)、蜂窝电话、智能手机、便携式计算设备、个人或移动多媒体播放器、膝上型计算机、平板电脑、智能本、超极本、掌上电脑、无线电子邮件接收器、多媒体互联网蜂窝电话、医疗设备和装备、生物识别传感器/设备、可穿戴设备(包括智能手表、智能服装、智能眼镜、智能腕带，智能珠宝(例如，智能戒指和智能手环))、娱乐设备(例如，无线游戏控制器、音乐和视频播放器、卫星收音机等)、支持无线网络的物联网(IoT)设备(包括智能仪表/传感器)、本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种在第一计算设备和第二计算设备之间提供安全通信的方法，包括：在所述第一计算设备的处理器中执行的第一应用软件中确定第一安全密钥建立信息；以格式将所述第一安全密钥建立信息提供给所述第一计算设备的通信层以由所述通信层传输给所述第二计算设备；在所述第一应用软件中从所述第一计算设备的通信层接收从所述第二计算设备接收的第二安全密钥建立信息；由所述第一应用软件至少部分地基于从所述第二计算设备接收的所述第二安全密钥建立信息来确定第一安全密钥；以及将所述第一安全密钥提供给所述通信层以由所述通信层用于保护从所述第一应用软件到所述第二计算设备的消息传输。2.根据权利要求1所述的方法，还包括：在所述第一应用软件中从所述通信层接收由所述第二计算设备发送的第三安全密钥建立信息；其中由所述第一应用软件至少部分地基于从所述第二计算设备接收的所述第二安全密钥建立信息来确定所述第一安全密钥包括：至少部分地基于所述第二安全密钥建立信息和所述第三安全密钥建立信息来确定所述第一安全密钥。3.根据权利要求1所述的方法，还包括：由所述第一应用软件选择用于确定所述第一安全密钥建立信息的内容的密钥建立算法；以及在所述第一安全密钥建立信息中指示所选择的密钥建立算法。4.根据权利要求1所述的方法，还包括：在所述第一计算设备的处理器中执行的第二应用软件中从所述通信层接收由所述第二计算设备发送的第四安全密钥建立信息；由所述第二应用软件至少部分地基于从所述第二计算设备接收的所述第四安全密钥建立信息来确定第二安全密钥；以及由所述第二应用软件根据从所述第二计算设备接收的所述第四安全密钥建立信息中的信息，来确定要用于从所述第二应用软件到所述第二计算设备的密钥建立算法。5.根据权利要求1所述的方法，还包括：由所述第一应用软件向所述通信层提供用于传输给所述第二计算设备的进一步的安全密钥建立信息；由所述第一应用软件从所述通信层接收从所述第二计算设备接收的进一步的安全密钥建立信息；以及由所述第一应用软件使用所述进一步的安全密钥建立信息来确定所述第一安全密钥。6.根据权利要求1所述的方法，还包括：由所述第一应用软件向所述通信层提供数据分组以传输给所述第二计算设备；由所述通信层使用所述第一安全密钥来保护所述数据分组；以及将受保护的数据分组传输给所述第二计算设备。7.根据权利要求6所述的方法，还包括：由所述通信层经由PC5协议将受保护的数据分组传输给所述第二计算设备。
8.根据权利要求1所述的方法，其中所述第一应用软件是在所述第一计算设备的所述处理器中执行的车辆到一切(V2X)应用，所述第一计算设备是第一车辆的第一车载计算设备，并且所述第二计算设备是第二车辆的第二车载计算设备。9.根据权利要求1所述的方法，其中所述第一计算设备的通信层是所述第一计算设备的PC5层。10.根据权利要求1所述的方法，还包括：使用所述第一安全密钥来建立与所述第二计算设备的通信层的通信层安全上下文。11.根据权利要求1所述的方法，其中：所述第一安全密钥建立信息和所述第二安全密钥建立信息包括需要在两个应用之间交换以使所述两个应用能够就密钥达成一致的信息；所述第一安全密钥建立信息的信息内容和所述第二安全密钥建立信息的信息内容对所述通信层是透明的；可以在密钥建立的独立运行中使用相同的安全密钥建立信息，以导出用于保护应用之间通信的密钥；以及根密钥是256位密钥。12.根据权利要求1所述的方法，还包括：在所述通信层的控制平面承载上将所述第一安全密钥建立信息传输给所述第二计算设备，其中所述控制平面承载是所述第一计算设备和所述第二计算设备之间的PC5接口的控制平面承载；由所述通信层使用所述第一安全密钥来保护来自所述第一应用软件的数据分组；以及在所述通信层的用户平面承载上将受保护的数据分组传输给所述第二计算设备。13.第一计算设备，包括：存储器；以及处理器，所述处理器耦合到所述存储器并且被配置有通信层和软件应用层，所述软件应用层被配置为执行第一应用软件，其中所述处理器被配置为执行包括以下操作的操作：在所述第一应用软件中确定第一安全密钥建立信息；以格式将所述第一安全密钥建立信息提供给所述通信层以由所述通信层传输给第二计算设备；在所述第一应用软件中从所述通信层接收从所述第二计算设备接收的第二安全密钥建立信息；由所述第一应用软件至少部分地基于从所述第二计算设备接收的所述第二安全密钥建立信息来确定第一安全密钥；以及将所述第一安全密钥提供给所述通信层以由所述通信层用于保护从所述第一应用软件到所述第二计算设备的消息传输。14.根据权利要求13所述的第一计算设备，其中所述处理器被配置为执行还包括以下操作的操作：在所述第一应用软件中从所述通信层接收由所述第二计算设备发送的第三安全密钥建立信息；其中由所述第一应用软件至少部分地基于从所述第二计算设备接收的所述第二安全
密钥建立信息来确定所述第一安全密钥包括：至少部分地基于所述第二安全密钥建立信息和所述第三安全密钥建立信息来确定所述第一安全密钥。15.根据权利要求13所述的第一计算设备，其中所述处理器被配置为执行还包括以下操作的操作：由所述第一应用软件选择用于确定所述第一安全密钥建立信息的内容的密钥建立算法；以及在所述第一安全密钥建立信息中指示所选择的密钥建立算法。16.根据权利要求13所述的第一计算设备，其中所述处理器被配置为执行还包括以下操作的操作：在所述第一计算设备的处理器中执行的第二应用软件中从所述通信层接收由所述第二计算设备发送的第四安全密钥建立信息；由所述第二应用软件至少部分地基于从所述第二计算设备接收的所述第四安全密钥建立信息来确定第二安全密钥；以及由所述第二应用软件根据从所述第二计算设备接收的所述第四安全密钥建立信息中的信息，来确定要用于从所述第二应用软件到所述第二计算设备的密钥建立算法。17.根据权利要求13所述的第一计算设备，其中所述处理器被配置为执行还包括以下操作的操作：由所述第一应用软件向所述通信层提供用于传输给所述第二计算设备的进一步的安全密钥建立信息；由所述第一应用软件从所述通信层接收从所述第二计算设备接收的进一步的安全密钥建立信息；以及由所述第一应用软件使用所述进一步的安全密钥建立信息来确定所述第一安全密钥。18.根据权利要求13所述的第一计算设备，其中所述处理器被配置为执行还包括以下操作的操作：由所述第一应用软件向所述通信层提供数据分组以传输给所述第二计算设备；由所述通信层使用所述第一安全密钥来保护所述数据分组；以及将受保护的数据分组传输给所述第二计算设备。19.根据权利要求18所述的第一计算设备，其中所述处理器被配置为执行还包括以下操作的操作：由所述通信层经由PC5协议将受保护的数据分组传输给所述第二计算设备。20.根据权利要求13所述的第一计算设备，其中：所述第一应用软件是车辆到一切(V2X)应用；所述第一计算设备是第一...

【专利技术属性】
技术研发人员：AE埃斯科特，W怀特，A帕拉尼古恩德，
申请(专利权)人：高通股份有限公司，
类型：发明
国别省市：