密鑰管理的制作方法
【專利摘要】根據(jù)本發(fā)明的一個示例實施例,提供了一種裝備����,該裝備包括:接收機,被配置為接收包括公鑰和秘密密鑰的加密密鑰對���,所述公鑰被加密簽名�;存儲器�,被配置為存儲所述秘密密鑰;以及發(fā)射機��,被配置為發(fā)送被加密簽名的公鑰到通信節(jié)點并至少部分基于所述加密密鑰對來參與建立加密網(wǎng)絡(luò)協(xié)議會話�����。
【專利說明】
密鑰管理
技術(shù)領(lǐng)域
[0001 ]本發(fā)明涉及加密的通信會話和加密密鑰管理的領(lǐng)域?��!颈尘凹夹g(shù)】
[0002]數(shù)字信息可以以明文或未加密形式或加密形式傳輸���。明文形式處理起來簡單,因為不需要特定的處理來獲得明文���。但另一方面��,在通信中使用明文的情況下,竊聽者簡單地通過獲得對用于傳達(dá)明文的傳輸介質(zhì)的訪問��,就可以發(fā)現(xiàn)通信的內(nèi)容�����。
[0003]可以采用加密來使竊聽者更難以獲得對通信的內(nèi)容的訪問�����。代替?zhèn)魉腿瞬恍鑾椭纯勺x的明文�,密文被通過傳輸介質(zhì)傳送。密文是使用加密算法從明文衍生的�,加密算法被設(shè)計為使竊聽者難以反轉(zhuǎn)操作并從密文獲得明文。
[0004]加密算法可以使用明文和密鑰作為輸入,其中�,在相反方向使用算法,也就是從密文獲得明文���,這被稱為解密��,在沒有密鑰的情況下是很難的��。
[0005]在對稱加密學(xué)中���,使用相同密鑰來將明文加密為密文以及將密文解密為明文。因為通過從傳輸介質(zhì)獲得的密鑰和密文竊聽者可以訪問明文�,需要以竊聽者不能獲得對其訪問的方式在發(fā)送者和接收者之間傳送密鑰。該密鑰����,在加密類型之后被稱為對稱密鑰,可以在帶外傳送���,例如���,經(jīng)由掛號信、私人拜訪或外交郵袋�。這被稱為安全密鑰交換。
[0006]在公鑰加密學(xué)(也被稱為非對稱加密學(xué))中,存在兩種密鑰����,即成對存在的公鑰和秘密密鑰。公鑰加密系統(tǒng)的秘密密鑰可替代地被稱為私鑰�。第一用戶可以自由分享他的公鑰,同時小心保留他的秘密密鑰���。第二用戶可以使用該公鑰將明文加密為密文��。公鑰加密系統(tǒng)被設(shè)計以便只使用秘密密鑰就可從密文獲得明文����。由于該特性��,竊聽者不能獲得明文����,即使他從傳輸介質(zhì)獲得密文和公鑰���。因此�,不同于對稱加密學(xué)�,非對稱加密學(xué)在加密和解密中采用不同密鑰,并且避免對安全密鑰交換的需要。
[0007]公鑰加密算法基于目前承認(rèn)沒有有效解決方案的數(shù)學(xué)問題���,這些數(shù)學(xué)問題在特定整數(shù)分解�、離散對數(shù)和橢圓曲線關(guān)系中是固有的�����。對于第一用戶來說���,生成個人公鑰和秘密密鑰對并將它們用于加密和解密在計算上是簡單明了的�。該算法的優(yōu)勢事實上在于��,從它對應(yīng)的公鑰確定正確生成的秘密密鑰在計算上是不可行的����。因此,公鑰可以予以公布而不影響安全性����,而秘密密鑰則不能透露給未授權(quán)讀取消息或進(jìn)行數(shù)字簽名的任何人。公鑰加密算法的例子是E IGama 1算法����。
【發(fā)明內(nèi)容】
[0008]根據(jù)本發(fā)明的第一方面����,提供了一種裝備�����,所述裝備包括:接收機��,被配置為接收包括公鑰和秘密密鑰的加密密鑰對�����,所述公鑰被加密簽名;存儲器�����,被配置為存儲所述秘密密鑰���;以及發(fā)射機,被配置為發(fā)送被加密簽名的公鑰到通信節(jié)點(correspondent node)并且至少部分基于所述加密密鑰對來參與建立加密網(wǎng)絡(luò)協(xié)議會話�����。[〇〇〇9]在根據(jù)所述第一方面的各種實施例中����,包括來自以下項目列表的至少一個特征:
[0010] ?所述接收機被配置為通過短距無線接口接收所述加密密鑰對
[0011]?所述短距無線接口包括近場通信或藍(lán)牙或ZigBee接口
[0012]?所述裝備被配置為從固定到位置的固定設(shè)備接收所述加密密鑰對
[0013]?所述加密網(wǎng)絡(luò)協(xié)議包括安全外殼協(xié)議���、安全虛擬專用網(wǎng)絡(luò)協(xié)議和傳輸層安全協(xié)議TLS或其前身、安全套接字層SSL協(xié)議中的至少一種���。
[0014]?所述裝備被配置為至少部分地通過使用所述秘密密鑰對通過所述加密網(wǎng)絡(luò)協(xié)議會話接收的信息進(jìn)行解密來充當(dāng)所述加密網(wǎng)絡(luò)協(xié)議會話的端點
[0015]?所述裝備被配置為接收所述通信節(jié)點的加密形式的公鑰��,使用所述秘密密鑰對所述通信節(jié)點的公鑰進(jìn)行解密�����,并在使用所述加密網(wǎng)絡(luò)協(xié)議會話將其發(fā)送到所述通信節(jié)點前使用所述通信節(jié)點的解密后的公鑰來對信息進(jìn)行加密��。
[0016]根據(jù)本發(fā)明的第二方面�����,提供了一種方法����,所述方法包括:接收包括公鑰和秘密密鑰的加密密鑰對�,所述公鑰被加密簽名;存儲所述秘密密鑰����;以及發(fā)送所述公鑰到通信節(jié)點�,并且至少部分基于所述加密密鑰對來參與建立加密網(wǎng)絡(luò)協(xié)議會話���。
[0017]在根據(jù)所述第二方面的各種實施例中���,包括對應(yīng)于結(jié)合所述第一方面布置的前述項目列表的至少一個特征的至少一個特征。
[0018]根據(jù)本發(fā)明的第三方面�����,提供了一種裝備��,所述裝備包括:接收機����,被配置為接收節(jié)點處于通信范圍內(nèi)的指示;至少一個處理核心,被配置為獲得包括秘密密鑰和公鑰的加密密鑰對并且對所述公鑰進(jìn)行加密簽名��;以及發(fā)射機����,被配置為提供所述加密密鑰對到所述節(jié)點���。
[0019]在根據(jù)所述第三方面的各種實施例中����,包括來自以下項目列表的至少一個特征:
[0020]?所述接收機被配置為通過短距無線接口接收所述指示
[0021]?所述短距無線接口包括近場通信或藍(lán)牙或ZigBee接口 [〇〇22] ?所述裝備包括短距節(jié)點[〇〇23] ?所述裝備包括近場通信標(biāo)簽。
[0024]根據(jù)本發(fā)明的第四方面�,提供了一種方法,所述方法包括:接收節(jié)點處于通信范圍內(nèi)的指示;獲得包括秘密密鑰和公鑰的加密密鑰對并且對所述公鑰進(jìn)行加密簽名���;以及提供所述加密密鑰對到所述節(jié)點�����。
[0025]在根據(jù)所述第四方面的各種實施例中���,包括對應(yīng)于結(jié)合所述第三方面布置的前述項目列表的至少一個特征的至少一個特征。
[0026]根據(jù)本發(fā)明的第五方面�����,提供了一種裝備�,所述裝備包括:用于接收包括公鑰和秘密密鑰的加密密鑰對的裝置,所述公鑰被加密簽名���;用于存儲所述秘密密鑰的裝置�����;以及用于發(fā)送所述公鑰到通信節(jié)點并且至少部分基于所述加密密鑰對來參與建立加密網(wǎng)絡(luò)協(xié)議會話的裝置����。
[0027]根據(jù)本發(fā)明的第六方面,提供了一種裝備���,所述裝備包括:用于接收節(jié)點處于通信范圍內(nèi)的指示的裝置�����;用于獲得包括秘密密鑰和公鑰的加密密鑰對并且用于加密簽名所述公鑰的裝置;以及用于提供所述加密密鑰對到所述節(jié)點的裝置����。
[0028]根據(jù)本發(fā)明的第七方面���,提供了一種非臨時性計算機可讀介質(zhì)����,所述非臨時性計算機可讀介質(zhì)在其上存儲了計算機可讀指令集����,所述計算機可讀指令集當(dāng)由至少一個處理器執(zhí)行時促使裝備至少:接收包括公鑰和秘密密鑰的加密密鑰對��,所述公鑰被加密簽名;存儲所述秘密密鑰;以及發(fā)送所述公鑰到通信節(jié)點�����,并且至少部分基于所述加密密鑰對來參與建立加密網(wǎng)絡(luò)協(xié)議會話����。
[0029]根據(jù)本發(fā)明的第八方面,提供了一種非臨時性計算機可讀介質(zhì)����,所述非臨時性計算機可讀介質(zhì)在其上存儲了計算機可讀指令集,所述計算機可讀指令集當(dāng)由至少一個處理器執(zhí)行時促使裝備至少:接收節(jié)點處于通信范圍內(nèi)的指示;獲得包括秘密密鑰和公鑰的加密密鑰對并且對所述公鑰進(jìn)行加密簽名����;以及提供所述加密密鑰對到所述節(jié)點。
[0030] 工業(yè)實用性
[0031]本發(fā)明的至少一些實施例在提供高可用性和/或高安全性加密通信中具有實用性��?���!靖綀D說明】
[0032]圖1示出能夠支持本發(fā)明的至少一些實施例的示例系統(tǒng);
[0033]圖2示出能夠支持本發(fā)明的至少一些實施例的第二示例系統(tǒng);
[0034]圖3示出能支持本發(fā)明的至少一些實施例的示例裝備�����;
[0035]圖4示出根據(jù)本發(fā)明的至少一些實施例的信令�;
[0036]圖5示出根據(jù)本發(fā)明的至少一些實施例的第一方法的第一流程圖,以及
[0037]圖6示出根據(jù)本發(fā)明的至少一些實施例的第二方法的第二流程圖���?!揪唧w實施方式】[〇〇38]通過經(jīng)由短距交互以局部方式提供加密密鑰�����,可以方便安全協(xié)議連接的設(shè)置���,因為可以假設(shè)發(fā)起協(xié)議連接的設(shè)備處于特定位置�����。在所述特定位置被訪問控制的情況下�����,諸如像公司總部或研究部門����,可以假定用戶被授權(quán)并且輸入密碼的單獨步驟可被省略。由此�, 加密連接可以以用戶友好的方式予以設(shè)置。
[0039]圖1示出能夠支持本發(fā)明的至少一些實施例的示例系統(tǒng)�。所示出的是基站130,其可以包括蜂窩或非蜂窩基站。非蜂窩基站可被稱為接入點���,但術(shù)語基站在下文中用于清楚起見?��;?30可以被布置為根據(jù)蜂窩通信標(biāo)準(zhǔn)操作�����,諸如像寬帶碼分多址�����、WCDMA或長期演進(jìn)LTE�����?;?30可以被布置為根據(jù)非蜂窩通信標(biāo)準(zhǔn)操作,諸如像無線局域網(wǎng)�����,WLAN���,也被稱為W1-Fi�����,或全球微波接入互操作�����,WiMAX�����?�;?30可以被配置為根據(jù)基站130被布置為根據(jù)其操作的任何標(biāo)準(zhǔn)建立與移動設(shè)備的無線鏈路�����。
[0040]基站130可被配置為控制至少一個小區(qū)�����?�;?30可被配置為控制多于一個小區(qū)�, 每個小區(qū)特征在于小區(qū)覆蓋區(qū)域。在小區(qū)在不同操作頻率操作的情況下��,重疊小區(qū)覆蓋區(qū)域?qū)⑹强赡艿?��。在移動單元移動到由基?30控制的小區(qū)的小區(qū)覆蓋區(qū)域中的情況下,基站 130可以接收移動單元到它經(jīng)由切換過程控制的小區(qū)中�����。[〇〇411 基站130可以經(jīng)由連接135被可操作地連接到網(wǎng)絡(luò)節(jié)點140����。網(wǎng)絡(luò)節(jié)點140可以包括例如基站控制器、無線網(wǎng)絡(luò)控制器���、移動性管理實體或其他節(jié)點�����。網(wǎng)絡(luò)節(jié)點140可以反過來經(jīng)由連接145可操作地連接到網(wǎng)關(guān)150�����。網(wǎng)關(guān)150可以經(jīng)由連接155提供連接到進(jìn)一步的網(wǎng)絡(luò)�����,例如在一些實施例中��,到互聯(lián)網(wǎng)��。連接135��、145和155可以各自是有線線路連接�、或至少部分地?zé)o線。連接135���、145和155的每個不必是同一類型���。
[0042]圖1還示出移動臺110,移動臺110可以包括例如蜂窩電話、智能電話��、平板電腦�、平板手機設(shè)備����、膝上型計算機或具有有線或無線通信能力的其他電子設(shè)備����。在圖示的例子中,移動臺110與基站130具有無線鏈路115�����。無線鏈路115可以根據(jù)移動臺110和基站130均被配置為支持的無線標(biāo)準(zhǔn)操作�����。無線鏈路115可以包括用于從移動臺110傳送信息到基站130的上行鏈路���。無線鏈路115可以包括用于從基站130傳送信息到移動臺110的下行鏈路。無線鏈路115可以被布置為根據(jù)例如時分多址TDMA�、碼分多址CDMA,或WLAN原則操作�。移動臺110可以被配置為當(dāng)被置于基站130控制的小區(qū)的小區(qū)覆蓋區(qū)域內(nèi)時尋求到這種小區(qū)的連接。 [〇〇43] 圖1還示出了短距節(jié)點120����。短距節(jié)點120可以包括例如近場通信NFC����、標(biāo)簽���、藍(lán)牙標(biāo)簽���、WLAN設(shè)備或其他短距通信設(shè)備。在一些實施例中����,通信的短距可以通過固定的、短長度的連接線來提供��。短長度可以例如為5厘米����、50厘米、2米或10米��。短距節(jié)點120被示出為經(jīng)由無線連接125處于移動臺110的無線范圍內(nèi)���。
[0044]圖1還示出了移動臺160,移動臺160可被設(shè)置在基站130控制的小區(qū)的小區(qū)覆蓋范圍內(nèi)�����,但不在短距節(jié)點120的通信范圍內(nèi)�。
[0045]當(dāng)移動臺110的用戶希望與通信節(jié)點建立加密網(wǎng)絡(luò)協(xié)議會話時,可以執(zhí)行加密密鑰的交換��。移動臺110可被配置有所需的密鑰�,在該情況中,已經(jīng)執(zhí)行了加密密鑰的交換�,并且移動臺110和通信節(jié)點可以進(jìn)行到開始建立會話而無需進(jìn)一步的密鑰交換。然而�,預(yù)配置必要的密鑰可能是復(fù)雜的,因為往往很難預(yù)測未來在哪些節(jié)點間需要哪些會話���。
[0046]移動臺110可被配置為從短距節(jié)點120獲得公鑰加密密鑰對�����。該對包括公鑰和秘密密鑰��,所述公鑰和秘密密鑰被鏈接在一起以便使用秘密密鑰可解密用公鑰加密的密文。實踐中��,移動臺110可以響應(yīng)于用戶例如通過移動臺110敲擊NFC標(biāo)簽��,來完成這個���。短距節(jié)點 120可以響應(yīng)于接收該請求生成所述對��,或者替代地短距節(jié)點可以存儲多個密鑰對��,所述多個密鑰對是它被配置為響應(yīng)于提供它們的請求或機會提供的�����。在一些實施例中���,秘密密鑰在短距節(jié)點120提供的所有密鑰對中是相同的����。加密簽名可以被短距節(jié)點120結(jié)合生成和/ 或提供公鑰例如通過使用存儲在短距120中的秘密密鑰來應(yīng)用于公鑰�。加密中使用的秘密密鑰可以包括可用于通過加密簽名提供(furnish)公鑰的數(shù)字信息序列。這種序列的例子是非對稱加密學(xué)中使用的單獨秘密密鑰或類密碼關(guān)鍵字�����。簽名現(xiàn)在可以包括相應(yīng)地使用非對稱加密學(xué)和/或哈希函數(shù)����,諸如像基于哈希的消息認(rèn)證碼HMAGHMAC函數(shù)的例子是HMAC-MD5〇
[0047]在接收到公鑰加密密鑰對時,移動臺110可以存儲它們,或者至少秘密密鑰����,并且參與與通信節(jié)點交換信令。詳細(xì)地��,移動臺110可以向通信節(jié)點發(fā)送消息�����,所述消息包括移動臺110已從短距節(jié)點120接收的公鑰�。來自移動臺110的包括公鑰的消息可以例如沿著朝向通信節(jié)點的路線,穿越無線鏈路115���、基站130�����、連接135����、網(wǎng)絡(luò)節(jié)點140���、連接145���、網(wǎng)關(guān)150 和連接155。在接收到包含公鑰的消息時��,通信節(jié)點可以使用通信節(jié)點具有的信息驗證公鑰的簽名���。例如��,在短距節(jié)點120上存儲的用于簽名公鑰的秘密密鑰包括短距節(jié)點120的秘密密鑰時��,通信節(jié)點可以使用短距節(jié)點120的公鑰來驗證從移動臺110接收的公鑰的簽名是正確的��,以及公鑰還沒有被篡改�����。替代地��,短距節(jié)點120的關(guān)鍵字可被用來驗證簽名�����,例如結(jié)合使用基于哈希的驗證解決方案�����。實際上�����,可以基于所簽名的公鑰在通信節(jié)點中建立與移動臺110的彳目任���。
[0048]使用秘密密鑰執(zhí)行的公鑰上的簽名可被用于確定公鑰的起源��、短距節(jié)點120的身份��、以及公鑰還未被移動臺110或沿移動臺110和通信節(jié)點之間的通信路徑設(shè)置的任何節(jié)點以任何方式篡改�����。使用秘密密鑰施加的簽名可以使用與秘密密鑰相關(guān)聯(lián)的公鑰來驗證�。相同的公鑰和秘密密鑰對一方面可被用于加密和解密���,另一方面可被用于簽名和簽名驗證���。
[0049]由于短距節(jié)點120具有短距,在一些實施例中通信甚至需要與短距節(jié)點120觸摸��, 通信節(jié)點可以確信移動臺110處于特定位置���,即短距節(jié)點120的位置���,諸如像訪問控制的位置,以及用戶已結(jié)合進(jìn)入訪問控制的位置被認(rèn)證��。
[0050]公鑰可以包括指示當(dāng)短距節(jié)點120中獲得了公鑰時的時間的時間戳����,所述時間戳也在公鑰的已簽名部分的簽名的范圍內(nèi)。這使得通信節(jié)點能夠驗證移動臺110最近從短距節(jié)點120獲得了公鑰�。最近獲得的密鑰可被認(rèn)為是新鮮的。由于時間戳在簽名的范圍內(nèi)�����,也使得通信節(jié)點能夠檢測時間戳已被篡改的情況�����。在一些實施例中�����,移動臺110可以使用存儲在短距節(jié)點120中的秘密密鑰提供附加數(shù)據(jù)�、或密鑰到短距節(jié)點120用于簽名����。在簽名該附加數(shù)據(jù)后�,短距節(jié)點120可以提供簽名的附加數(shù)據(jù)到移動臺110,移動臺110反過來可以將它提供給通信節(jié)點或另一節(jié)點。
[0051]—旦確認(rèn)簽名以及在一些實施例中公鑰的新鮮度��,通信節(jié)點可以繼續(xù)建立加密網(wǎng)絡(luò)協(xié)議會話的過程����,其可以包括例如安全外殼會話。在加密網(wǎng)絡(luò)協(xié)議會話包括TLS或SSL會話的情況下����,建立它可以包括使用服務(wù)器側(cè)證書和客戶側(cè)證書的至少一個。例如���,通信節(jié)點可以生成會話中要使用的對稱會話密鑰���,使用從移動臺110接收的公鑰加密對稱會話密鑰, 并且傳輸加密對稱會話密鑰到移動臺110���。移動臺110然后可以使用移動臺110中從短距節(jié)點120接收的秘密密鑰解密對稱會話密鑰��。移動臺110和通信節(jié)點隨后可以使用對稱加密和對稱加密密鑰用于加密網(wǎng)絡(luò)協(xié)議會話���。這可能是可取的�,因為對稱加密可能會比非對稱加密執(zhí)行更快�。替代發(fā)送加密對稱會話密鑰,通信節(jié)點可以傳輸用公鑰加密的信息��,使移動臺 110能夠生成對稱會話密鑰的相同副本�����。[〇〇52]圖2示出能夠支持本發(fā)明的至少一些實施例的第二示例系統(tǒng)���。圖2的系統(tǒng)類似于圖 1的系統(tǒng),但在圖2的實施例中一些連接是有線線路�����,而不是無線的�。詳細(xì)地,可以包括例如膝上型計算機����、平板計算機或桌上型計算機的計算機210,可以使用電纜225與短距節(jié)點220 接口。反過來���,計算機210可以經(jīng)由網(wǎng)絡(luò)電纜215����、集線器230、網(wǎng)絡(luò)電纜235��、第一網(wǎng)關(guān)240��、連接245���、第二網(wǎng)關(guān)250和連接255與通信節(jié)點進(jìn)行通信�����。在一些實施例中�,不存在第二網(wǎng)關(guān) 250����。在圖2的一些實施例中,連接225是基于觸摸的連接����,諸如NFC,而不是電纜。在圖2的實施例中����,計算機210可以發(fā)揮類似于圖1的實施例中的移動臺110發(fā)揮的作用。[〇〇53]圖3示出能支持本發(fā)明的至少一些實施例的示例裝備����。所示出的是設(shè)備300,其可以包括例如移動通信設(shè)備,諸如圖1的移動臺110或圖2的計算機210�����。設(shè)備300中包括處理器 310��,處理器310可以包括例如單核或多核處理器�����,其中單核處理器包括一個處理核心����,多核處理器包括多于一個處理核心��。處理器310可以包括例如Qualcomm Snapdragon 800處理器���。處理器310可以包括多于一個處理器���。處理核心可以包括例如由英特爾公司制造的 Cortex_A8處理核心或由Advanced Micro Devices Corporat1n制造的Brisbane處理核心���。處理器310可以包括至少一個專用集成電路ASIC。處理器310可以包括至少一個現(xiàn)場可編程門陣列FPGA�����。處理器310可以是用于執(zhí)行設(shè)備300中的方法步驟的裝置���。[〇〇54] 設(shè)備300可以包括存儲器320��。存儲器320可以包括隨機存取存儲器和/或永久性存儲器��。存儲器320可以包括至少一個RAM芯片���。存儲器320可以包括例如磁、光和/或全息存儲器���。存儲器320對于處理器310可以是至少部分地可訪問的����。存儲器320可以包括處理器310 被配置為要執(zhí)行的計算機指令。存儲器320可以是用于存儲信息的裝置��。
[0055]設(shè)備300可以包括發(fā)射機330��。設(shè)備300可以包括接收機340�����。發(fā)射機330和接收機 340可被配置為根據(jù)至少一個蜂窩或非蜂窩標(biāo)準(zhǔn)分別發(fā)送和接收信息��。發(fā)射機330可以包括多于一個發(fā)射機�����。接收機340可以包括多于一個接收機�����。發(fā)射機330和/或接收機340可被配置為根據(jù)例如全球移動通信系統(tǒng)GSM�����、寬帶碼分多址WCDMA��、長期演進(jìn)LTE����、IS-95、無線局域網(wǎng)WLAN�����、以太網(wǎng)和/或全球微波接入互通WiMAX標(biāo)準(zhǔn)操作����。[〇〇56] 設(shè)備300可以包括近場通信NFC、收發(fā)器350 JFC收發(fā)器350可以支持至少一個NFC 技術(shù)���,諸如NFC�����、藍(lán)牙�����、Wibree或類似技術(shù)�����。[〇〇57] 設(shè)備300可以包括用戶界面UI 360�。1]1 360可以包括顯示器、鍵盤��、觸摸屏�����、被設(shè)置成通過促使設(shè)備300振動向用戶通知信號的振動器���、揚聲器和麥克風(fēng)中的至少一個�����。用戶可以能夠通過UI 360操作設(shè)備300,例如接受來電��、發(fā)起呼叫或視頻電話����、瀏覽互聯(lián)網(wǎng)��、通過發(fā)射機330和接收機340或經(jīng)由NFC收發(fā)器350管理存儲器320中存儲的或可訪問云端上的數(shù)字文件��、和/或玩游戲��。[〇〇58]設(shè)備300可以包括或者被布置為接受用戶身份模塊370�。用戶身份模塊370可以包括例如訂戶身份模塊,可安裝在設(shè)備300中的S頂卡�����。用戶身份模塊370可以包括加密信息����, 所述加密信息可用于驗證設(shè)備300的用戶的身份和/或促進(jìn)所傳送的信息的加密以及經(jīng)由設(shè)備300實現(xiàn)的通信的計費。在設(shè)備300包括沒有蜂窩通信能力的計算機或其它設(shè)備的情況下���,用戶身份模塊370可以不存在�。[〇〇59] 處理器310可以配有被布置為從處理器310經(jīng)由設(shè)備300內(nèi)部電引線輸出信息到設(shè)備300中包括的其他設(shè)備的發(fā)射機��。這種發(fā)射機可以包括被布置成例如經(jīng)由至少一個電引線輸出信息到存儲器320以存儲在其中的串行總線發(fā)射機�����。替代串行總線��,發(fā)射機可以包括并行總線發(fā)射機�。同樣,處理器310可以包括被布置成在處理器310中經(jīng)由設(shè)備300內(nèi)部電引線從設(shè)備300中包括的其他設(shè)備接收信息的接收機�。這種接收機可以包括被布置為例如經(jīng)由至少一個電引線從接收機340接收信息用于在處理器310中處理的串行總線接收機。替代串行總線���,接收機可以包括并行總線接收機�。
[0060]設(shè)備300可以包括圖3中未示出的另外設(shè)備。舉例來說�,在設(shè)備300包括智能電話的情況下,它可以包括至少一個數(shù)字相機���。一些設(shè)備300可以包括后置攝像頭和前置攝像頭����, 其中后置攝像頭旨在用于數(shù)字?jǐn)z影����,前置攝像頭旨在用于視頻電話。設(shè)備300可以包括被布置為至少部分地認(rèn)證設(shè)備300的用戶的指紋傳感器�。在一些實施例中,設(shè)備300缺少上述的至少一個設(shè)備���。例如�����,一些設(shè)備300可能缺少NFC收發(fā)器350和/或用戶身份模塊370�����。[0061 ] 處理器310�、存儲器320��、發(fā)射機330����、接收機340、NFC收發(fā)器350��、UI 360和/或用戶身份模塊370可以通過設(shè)備300內(nèi)部電引線以許多不同方式互連��。例如����,上述各設(shè)備的每一個可單獨連接到設(shè)備300內(nèi)部的主總線,以允許這些設(shè)備交換信息�����。然而�����,如本領(lǐng)域技術(shù)人員將理解的�����,這僅僅是一個例子,并且取決于根據(jù)實施例�,互連上述設(shè)備的至少兩個的不同方式可以在不背離本發(fā)明范圍的前提下進(jìn)行選擇。
[0062]圖4示出根據(jù)本發(fā)明的至少一些實施例的信令��。所示出的是在垂直軸上�����,從左至右�����,短距節(jié)點120����、移動臺110、網(wǎng)絡(luò)NW����、以及最后通信節(jié)點CN。替代地�����,前兩個垂直軸可以例如對應(yīng)于圖2的短距節(jié)點220和計算機210。在下文圖4的描述中�,術(shù)語移動臺110和短距節(jié)點 120用作示例。[〇〇63] 在階段410中�,移動臺110可以向短距節(jié)點120指示它需要加密密鑰對�����。替代地��,移動臺110可以簡單地使短距節(jié)點120能夠知道移動臺110處于短距節(jié)點120的通信范圍內(nèi)���。 [〇〇64] 在階段420��,短距節(jié)點120可以獲得加密密鑰對�?����?稍诙叹喙?jié)點120中通過從短距節(jié)點120內(nèi)部的存儲器中檢索它來獲得加密密鑰對��。替代地��,短距節(jié)點120通過響應(yīng)階段410生成公鑰和秘密密鑰以形成加密密鑰對來獲得加密密鑰對。加密密鑰對中包括的公鑰可由短距節(jié)點120使用秘密密鑰來簽名���,其中所述秘密密鑰可以包括例如短距節(jié)點120的單獨秘密密鑰���。在一些實施例中,短距節(jié)點120的秘密密鑰是與加密密鑰對中包括的秘密密鑰不相同的秘密密鑰��。在其他實施例中����,相同秘密密鑰可以是短距節(jié)點120的秘密密鑰和加密密鑰對中包括的秘密密鑰。
[0065] 加密密鑰對包括公鑰和秘密密鑰����,所述公鑰和秘密密鑰被鏈接在一起使得通過公鑰加密的密文使用秘密密鑰可解密。[〇〇66]在階段430,短距節(jié)點120提供加密密鑰對到移動臺110����。階段410和430的消息收發(fā)可以通過諸如像NFC、藍(lán)牙或有限長度的電纜的合適短距通信接口發(fā)生����。[〇〇67]在階段440,移動臺110和通信節(jié)點建立加密網(wǎng)絡(luò)協(xié)議會話,諸如像加密虛擬專用網(wǎng)絡(luò)的安全外殼會話���,VPN會話�����。階段440的消息收發(fā)可以是雙向的�。階段440的消息收發(fā)可以遍歷節(jié)點的網(wǎng)絡(luò),所述節(jié)點例如基站130���、網(wǎng)絡(luò)節(jié)點140��、網(wǎng)關(guān)150、和沿移動臺110和通信節(jié)點之間的通信路徑的進(jìn)一步節(jié)點����。[〇〇68] 在可選階段450中,通信節(jié)點可以通知移動臺110撤銷短距節(jié)點120的秘密密鑰或另一密鑰���。響應(yīng)于階段450的消息�����,移動臺110可以在可選階段460中向短距節(jié)點120傳達(dá)撤銷�。例如���,移動臺110可以向用戶顯示需要與短距節(jié)點120的交互的消息����,并且當(dāng)用戶響應(yīng)地將移動臺110帶到短距節(jié)點120的通信范圍,階段460的消息可被用來向短距節(jié)點120傳達(dá)撤銷的信息��。
[0069]圖5示出根據(jù)本發(fā)明的至少一些實施例的第一方法的第一流程圖�。所示出的方法的階段可以例如在移動臺110或計算機210中執(zhí)行。階段510包括接收包括公鑰和秘密密鑰的加密密鑰對�,所述公鑰被加密簽名。階段520包括存儲所述秘密密鑰�����。最后��,階段530包括發(fā)送加密簽名的公鑰到通信節(jié)點并且至少部分地基于加密密鑰對參與建立加密網(wǎng)絡(luò)協(xié)議會話��。加密密鑰對包括公鑰和秘密密鑰�,公鑰和秘密密鑰被鏈接在一起使得用公鑰加密的密文使用秘密密鑰可解密。
[0070]圖6示出根據(jù)本發(fā)明的至少一些實施例的第二方法的第二流程圖���。所示出的方法的階段可以例如在短距節(jié)點120或220中執(zhí)行�。階段610包括接收節(jié)點處于通信范圍內(nèi)的指示����。階段610可以包括在短距節(jié)點內(nèi)部接收指示�����,所述指示諸如像在短距節(jié)點中包括的處理核心中接收它����。階段620包括獲得包括秘密密鑰和公鑰的加密密鑰對和加密簽名所述公鑰�����。 最后�����,階段630包括提供加密密鑰對到該節(jié)點����。[0071 ] 加密密鑰對包括公鑰和秘密密鑰��,公共和秘密密鑰被鏈接在一起使得用公鑰加密的密文使用秘密密鑰可解密����。[〇〇72]應(yīng)該理解��,所公開的本發(fā)明實施例并不限定于特定結(jié)構(gòu)�、處理步驟��、或本文所公共的材料�,而是擴展到相關(guān)領(lǐng)域普通技術(shù)人員可以識別的其等同物。還應(yīng)當(dāng)理解�����,本文采用的術(shù)語僅用于描述特定實施例的目的��,并不旨在進(jìn)行限制��。
[0073]貫穿本說明書中對“一個實施例”或“實施例”的引用是指特定特征���、結(jié)構(gòu)�、或結(jié)合實施例描述的特性被包括在本發(fā)明的至少一個實施例中�����。因此�����,貫穿本說明書不同位置處出現(xiàn)的短語“在一個實施例中”或“在實施例中”不一定都指相同實施例。
[0074]如本文所使用的���,多個項目��、結(jié)構(gòu)元件����、組成元件和/或材料可以出于方便以共同列表呈現(xiàn)�����。然而��,這些列表應(yīng)該被解釋就好像列表的每個部件被個體地標(biāo)識為單獨且唯一的部件�����。因此���,這種列表的個體部件不應(yīng)僅基于他們在公共組中的呈現(xiàn)而不指示其相反面被解釋為相同列表的任何其他部件的實際等同物。另外�,本文可以與各種組件的替代物一起指代本發(fā)明的各種實施例和示例?����?梢岳斫猓@種實施例���、示例和替代物不應(yīng)被解釋為彼此的實際等同物�,而是被認(rèn)為是本發(fā)明的單獨和自發(fā)表示�����。[〇〇75]此外�,可以在一個或多個實施例中以任何適合方式組合所描述的特征、結(jié)構(gòu)或特性�。在以下描述中,提供了許多具體細(xì)節(jié)���,諸如像長度��、寬度�、形狀等的例子���,以提供對本發(fā)明的實施例的透徹理解����。然而,本領(lǐng)域技術(shù)人員將認(rèn)識到��,可以在沒有所述具體細(xì)節(jié)的一個或多個的情況下�����,或者通過其它方法��、組件���、材料等�����,實踐本發(fā)明�。在其它實例中�,沒有詳細(xì)示出或描述公知的結(jié)構(gòu)、材料�、或操作,以避免模糊本發(fā)明的各方面����。
[0076]雖然前述示例是在一個或多個特定應(yīng)用中說明本發(fā)明的原則�,對本領(lǐng)域普通技術(shù)人員將顯而易見的是��,可以在不背離本發(fā)明的原理和概念的情況下�,對實現(xiàn)的形式�����、用法和細(xì)節(jié)作出許多修改����,無需創(chuàng)造性勞動。因此�����,除非下面的權(quán)利要求書中所指出的之外���,不是要用來限制本發(fā)明的����。
【主權(quán)項】
1.一種裝備�,該裝備包括:接收機,被配置為接收包括公鑰和秘密密鑰的加密密鑰對�����,所述公鑰被加密簽名;存儲器��,被配置為存儲所述秘密密鑰�;以及發(fā)射機,被配置為發(fā)送被加密簽名的公鑰到通信節(jié)點并且至少部分基于所述加密密鑰 對來參與建立加密網(wǎng)絡(luò)協(xié)議會話���。2.根據(jù)權(quán)利要求1所述的裝備��,其中���,所述接收機被配置為通過短距無線接口接收所述 加密密鑰對。3.根據(jù)權(quán)利要求2所述的裝備���,其中����,所述短距無線接口包括近場通信�、藍(lán)牙以及 ZigBee接口中的至少一個。4.根據(jù)前述權(quán)利要求中任一項權(quán)利要求所述的裝備����,其中���,所述裝備被配置為從固定 到位置的固定設(shè)備接收所述加密密鑰對。5.根據(jù)前述權(quán)利要求中任一項權(quán)利要求所述的裝備�����,其中���,所述加密網(wǎng)絡(luò)協(xié)議包括安 全外殼協(xié)議、安全虛擬專用網(wǎng)絡(luò)協(xié)議����、傳輸層安全協(xié)議和安全套接字層協(xié)議中的至少一種。6.根據(jù)前述權(quán)利要求中任一項權(quán)利要求所述的裝備����,其中,所述裝備被配置為至少部 分通過使用所述秘密密鑰對通過所述加密網(wǎng)絡(luò)協(xié)議會話接收的信息進(jìn)行解密來充當(dāng)所述 加密網(wǎng)絡(luò)協(xié)議會話中的端點�����。7.根據(jù)權(quán)利要求6所述的裝備��,其中�����,所述裝備被配置為接收所述通信節(jié)點的加密形式 的公鑰,使用所述秘密密鑰對所述通信節(jié)點的公鑰進(jìn)行解密�,并在使用所述加密網(wǎng)絡(luò)協(xié)議 會話將其發(fā)送到所述通信節(jié)點前使用所述通信節(jié)點的解密后的公鑰來對信息進(jìn)行加密。8.—種方法�����,該方法包括:接收包括公鑰和秘密密鑰的加密密鑰對���,所述公鑰被加密簽名�����;存儲所述秘密密鑰�����;以及發(fā)送被加密簽名的公鑰到通信節(jié)點����,并且至少部分基于所述加密密鑰對來參與建立加 密網(wǎng)絡(luò)協(xié)議會話�。9.根據(jù)權(quán)利要求8所述的方法,其中�����,所述接收包括通過短距無線接口接收所述加密密 鑰對。10.根據(jù)權(quán)利要求9所述的方法�,其中,所述短距無線接口包括近場通信����、藍(lán)牙以及 ZigBee接口中的至少一個�����。11.根據(jù)權(quán)利要求8至10中任一項權(quán)利要求所述的方法����,其中,所述接收包括從固定到 位置的固定設(shè)備接收所述加密密鑰對��。12.根據(jù)權(quán)利要求8至11中任一項權(quán)利要求所述的方法��,其中�,所述加密網(wǎng)絡(luò)協(xié)議包括 安全外殼協(xié)議、安全虛擬專用網(wǎng)絡(luò)協(xié)議�����、傳輸層安全協(xié)議以及安全套接字層協(xié)議中的至少一種。13.根據(jù)權(quán)利要求8至12中任一項權(quán)利要求所述的方法�����,該方法進(jìn)一步包括至少部分通 過使用所述秘密密鑰對通過所述加密網(wǎng)絡(luò)協(xié)議會話接收的信息進(jìn)行解密來充當(dāng)所述加密 網(wǎng)絡(luò)協(xié)議會話中的端點����。14.根據(jù)權(quán)利要求13所述的方法,該方法進(jìn)一步包括接收所述通信節(jié)點的加密形式的 公鑰�,使用所述秘密密鑰對所述通信節(jié)點的公鑰進(jìn)行解密,并在使用所述加密網(wǎng)絡(luò)協(xié)議會 話將其發(fā)送到所述通信節(jié)點前使用所述通信節(jié)點的解密后的公鑰來對信息進(jìn)行加密�����。15.—種裝備���,該裝備包括:接收機�,被配置為接收節(jié)點處于通信范圍內(nèi)的指示��;至少一個處理核心�����,被配置為獲得包括秘密密鑰和公鑰的加密密鑰對并且對所述公鑰 進(jìn)行加密簽名�����;以及發(fā)射機,被配置為提供所述加密密鑰對到所述節(jié)點�����。16.根據(jù)權(quán)利要求15所述的裝備����,其中,所述接收機被配置為通過短距無線接口接收所 述加密密鑰對�����。17.根據(jù)權(quán)利要求16所述的裝備���,其中,所述短距無線接口包括近場通信�����、藍(lán)牙以及 ZigBee接口中的至少一個�。18.根據(jù)權(quán)利要求17所述的裝備,其中����,所述裝備包括近場通信標(biāo)簽���。19.一種方法,該方法包括:接收節(jié)點處于通信范圍內(nèi)的指示�����;獲得包括秘密密鑰和公鑰的加密密鑰對并且對所述公鑰進(jìn)行加密簽名��;以及 提供所述加密密鑰對到所述節(jié)點��。20.根據(jù)權(quán)利要求19所述的方法���,其中���,所述接收包括通過短距無線接口接收所述指不。21.根據(jù)權(quán)利要求20所述的方法����,其中,所述短距無線接口包括近場通信���、藍(lán)牙以及 ZigBee接口中的至少一個�����。22.根據(jù)權(quán)利要求21所述的方法��,該方法包括在近場通信標(biāo)簽中執(zhí)行所述方法���。23.—種裝備����,該裝備包括:用于接收包括公鑰和秘密密鑰的加密密鑰對的裝置�,所述公鑰被加密簽名;用于存儲所述秘密密鑰的裝置�;以及用于發(fā)送被加密簽名的公鑰到通信節(jié)點并且至少部分基于所述加密密鑰對來參與建 立加密網(wǎng)絡(luò)協(xié)議會話的裝置。24.—種裝備���,該裝備包括:用于接收節(jié)點處于通信范圍內(nèi)的指示的裝置;用于獲得包括秘密密鑰和公鑰的加密密鑰對并且對所述公鑰進(jìn)行加密簽名的裝置��;以 及用于提供所述加密密鑰對到所述節(jié)點的裝置����。25.—種計算機程序,該計算機程序被配置為促使執(zhí)行根據(jù)權(quán)利要求8至14或19至22中 至少一項權(quán)利要求所述的方法����。26.—種非臨時性計算機可讀介質(zhì)�,該非臨時性計算機可讀介質(zhì)具有在其上存儲的計 算機可讀指令集�,所述計算機可讀指令集在由至少一個處理器執(zhí)行時促使裝備至少:接收包括公鑰和秘密密鑰的加密密鑰對,所述公鑰被加密簽名�;存儲所述秘密密鑰;以及發(fā)送被加密簽名的公鑰到通信節(jié)點�,并且至少部分基于所述加密密鑰對來參與建立加 密網(wǎng)絡(luò)協(xié)議會話。27.—種非臨時性計算機可讀介質(zhì)�����,該非臨時性計算機可讀介質(zhì)具有在其上存儲的計 算機可讀指令集�,所述計算機可讀指令集當(dāng)由至少一個處理器執(zhí)行時促使裝備至少:接收節(jié)點處于通信范圍內(nèi)的指示;獲得包括秘密密鑰和公鑰的加密密鑰對并且對所述公鑰進(jìn)行加密簽名�;以及 提供所述加密密鑰對到所述節(jié)點。
【文檔編號】H04L9/32GK106031120SQ201480075841
【公開日】2016年10月12日
【申請日】2014年2月18日
【發(fā)明人】K·布洛姆奎斯特
【申請人】諾基亞技術(shù)有限公司