所述的用于使得能够建立第一秘密密钥的方法,其中所述针对第一秘密密钥的请求包括客户端设备标识符,所述方法还包括:基于所述客户端设备标识符来认证客户端设备(506)。3.根据权利要求2所述的用于使得能够建立第一秘密密钥的方法,其中确定(34、512)所述请求的标识符还基于客户端设备标识符。4.根据权利要求2或3所述的用于使得能够建立第一秘密密钥的方法,其中所述请求的标识符包括客户端设备标识符,还使得受约束RD能够认证客户端设备。5.根据权利要求2-4中的任一项所述的用于使得能够建立第一秘密密钥的方法,其中所述请求的标识符包括针对客户端设备的访问信息,还使得受约束RD能够对客户端设备对受约束RD(502、70、90)的访问进行授权。6.根据权利要求1-3中的任一项所述的用于使得能够建立第一秘密密钥的方法,其中所述请求的标识符包括随机数。7.根据权利要求1-6中的任一项所述的用于使得能够建立第一秘密密钥的方法,其中所述方法在认证协议内执行。8.根据权利要求7所述的用于使得能够建立第一秘密密钥的方法,其中认证协议包括传输层安全性TLS协议或数据报传输层安全性DTLS协议。9.一种授权服务器AS (504、60),被配置为使得能够建立在受约束资源设备RD (502、70,90)和客户端设备(506)之间共享的第一秘密密钥,所述AS被配置为具有与受约束RD共享的第二秘密密钥以及与客户端设备相关联,所述AS包括: -处理器(62);以及 -存储器¢4),存储包括计算机程序代码的计算机程序,所述计算机程序代码在处理器中运行时使得授权服务器: -从客户端设备接收(32、510)针对在受约束RD和客户端设备之间共享的第一秘密密钥的请求; -基于从客户端设备接收的请求,确定(34、512)所述请求的标识符; -基于所述请求的所述标识符和所述第二秘密密钥生成(36、514)第一秘密密钥,其中所述第一秘密密钥与所述请求的标识符相关联;以及 -向客户端设备发送(38、516)所述请求的标识符和所生成的第一秘密密钥, 使得客户端设备能够生成将要在与受约束RD的通信中使用的数字签名,使得能够建立在受约束RD和客户端设备之间共享的第一秘密密钥。10.根据权利要求9所述的授权服务器AS(504、60),其中所述计算机程序代码在处理器中运行时还使得授权服务器:在针对第一秘密密钥的请求中,接收客户端设备标识符,以及基于所接收的客户端设备标识符来认证客户端设备(506)。11.根据权利要求9或10所述的授权服务器AS(504、60),其中所述计算机程序代码在处理器中运行时使得授权服务器:确定所述请求的标识符,其中所述请求的标识符包括随机数。12.—种授权服务器AS(504、80),被配置为使得能够建立在受约束资源设备RD (502、70,90)和客户端设备(506)之间共享的第一秘密密钥,所述AS被配置为具有与受约束RD共享的第二秘密密钥以及与客户端设备相关联,所述AS包括: -接收单元(82),被配置为从客户端设备接收(32、510)针对在受约束RD和客户端设备之间共享的第一秘密密钥的请求; -确定单元(84),被配置为基于从客户端设备接收的请求,确定(34、512)所述请求的标识符; -生成单元(86),被配置为基于所述请求的所述标识符和所述第二秘密密钥生成(36、514)第一秘密密钥,其中所述第一秘密密钥与所述请求的标识符相关联;以及 -发送单元(88),被配置为向客户端设备发送(38、516)所述请求的标识符和所生成的第一秘密密钥, 使得客户端设备能够生成将要在与受约束RD的通信中使用的数字签名,使得能够建立在受约束RD和客户端设备之间共享的第一秘密密钥。13.一种用于建立在客户端设备(506)和受约束资源设备RD(502、70、90)之间共享的第一秘密密钥的方法,所述受约束资源设备RD(502、70、90)具有与授权服务器AS (504、60、80)共享的第二秘密密钥,所述方法是在受约束RD中执行的,其中AS与客户端设备相关联,所述方法包括: -从客户端设备接收(402、524)数字签名和针对所述第一秘密密钥的请求的标识符; -基于所述请求的标识符和所述第二秘密密钥,导出(404、526)第一秘密密钥; -基于所导出的第一秘密密钥,生成(406、528)数字签名; -确定(408、528)所接收的数字签名是否等于所生成的数字签名;以及 -如果所接收的数字签名等于所生成的数字签名,则推断所导出的第一秘密密钥等于所述AS的第一秘密密钥,并且所接收的所述请求的标识符等于由所述AS确定的所述请求的标识符。14.根据权利要求13所述的用于建立第一秘密密钥的方法,其中所述请求的标识符包括随机数。15.根据权利要求13或14所述的用于建立第一秘密密钥的方法,其中所述请求的标识符包括客户端设备标识符,所述方法还包括:基于所述客户端设备标识符来认证客户端设备。16.根据权利要求13-15中的任一项所述的用于建立第一秘密密钥的方法,其中所述请求的标识符包括针对客户端设备的访问信息,所述方法还包括基于所述访问信息来授权客户端设备对受约束RD的访问。17.根据权利要求13-16中的任一项所述的用于建立第一秘密密钥的方法,基于所导出的第一秘密密钥生成第二数字签名,以及将所述第二数字签名发送到客户端设备。18.根据权利要求13-17中的任一项所述的用于建立第一秘密密钥的方法,其中数字签名包括消息认证码MAC。19.根据权利要求13-18中的任一项所述的用于建立第一秘密密钥的方法,其中所述方法在认证协议内执行。20.根据权利要求19所述的用于建立第一秘密密钥的方法,其中认证协议包括传输层安全性TLS协议或数据报传输层安全性DTLS协议。21.—种受约束资源设备RD(502、70),被配置为建立在客户端设备(506)和受约束资源设备RD(502、70)之间共享的第一秘密密钥,受约束RD被配置为具有与授权服务器AS (504,60,80)共享的第二秘密密钥,其中AS与客户端设备相关联,所述受约束RD包括: -处理器(72);以及 -存储器(74),存储包括计算机程序代码的计算机程序,所述计算机程序代码在处理器中运行时使得受约束资源设备: -从客户端设备接收(402、524)数字签名和针对所述第一秘密密钥的请求的标识符; -基于所述请求的标识符和所述第二秘密密钥,导出(404、526)第一秘密密钥; -基于所导出的第一秘密密钥,生成(406、528)数字签名; -确定(408、528)所接收的数字签名是否等于所生成的数字签名;以及 -如果所接收的数字签名等于所生成的数字签名,则推断所导出的第一秘密密钥等于所述AS的第一秘密密钥,并且所接收的所述请求的标识符等于由所述AS确定的所述请求的标识符。22.根据权利要求21所述的受约束资源设备RD(502,70),其中所述计算机程序代码在处理器中运行时使得受约束资源设备:当所述请求的标识符包括客户端设备标识符时,基于客户端设备标识符来认证客户端设备。23.根据权利要求21或22所述的受约束资源设备RD(502、70),其中所述计算机程序代码在处理器中运行时使得受约束资源设备:当所述请求的标识符包括针对客户端设备的访问信息时,基于访问信息授权客户端设备对受约束RD的访问。24.根据权利要求22-24中的任一项所述的受约束资源设备RD(502、70),其中所述计算机程序代码在处理器中运行时使得受约束资源设备:接收所述请求的标识符,所述请求的标识符包括随机数。25.根据权利要求21-24中的任一项所述的受约束资源设备RD(502、70),其中所述计算机程序代码在处理器中运行时使得受约束资源设备:基于所导出的第一秘密密钥生成第二数字签名,以及将所述第二数字签名发送到客户端设备。26.根据权利要求21-25中的任一项所述的受约束资源设备RD(502、70),包括:受约束资源服务器。27.—种受约束资源设备RD(502、90),被配置为建立在客户端设备(506)和受约束资源设备RD(502、90)之间共享的第一秘密密钥,受约束RD被配置为具有与授权服务器AS (504,60,80)共享的第二秘密密钥,其中AS与客户端设备相关联,所述受约束RD包括: -接收单元(92),被配置为从客户端设备接收数字签名和针对所述第一秘密密钥的请求的标识符; -导出单元(94),被配置为基于所述请求的标识符和所述第二秘密密钥,导出第一秘密密钥; -生成单元(96),被配置为基于所导出的第一秘密密钥,生成数字签名; -确定单元(98),被配置为确定所接收的数字签名是否等于所生成的数字签名; 其中,所述生成单元(96)还被配置为:如果所接收的数字签名等于所生成的数字签名,则推断所导出的第一秘密密钥等于所述AS的第一秘密密钥,并且所接收的所述请求的标识符等于由所述AS确定的所述请求的标识符。
【专利摘要】公开了用于在客户端设备(506)和受约束资源设备(502、70、90)之间建立第一秘密密钥的方法和受约束资源设备。本发明还涉及用于使得能够在客户端设备(506)和受约束资源设备(504、60、80)之间建立第一秘密密钥的方法和授权服务器。基于在受约束RD和AS之间共享(508)的第二秘密密钥,可建立在受约束资源设备和客户端设备之间共享的第一秘密密钥。具有受约束资源的设备不能使用需要附加消息来共享安全标识的协议。本发明的实施例的优点在于,可以在认证协议内建立秘密标识,并且不需要附加消息来建立秘密标识。
【IPC分类】H04L29/08, H04W12/00, H04W4/00, H04L29/06
【公开号】CN105359480
【申请号】CN201380077962
【发明人】古兰·塞兰德
【申请人】瑞典爱立信有限公司
【公开日】2016年2月24日
【申请日】2013年7月2日
【公告号】EP3017581A1, EP3017581A4, US20160149869, WO2015002581A1