的对话建立过程与传输层的通道 加密过程之间提供接口的系统的实施例的流程图。在该实施例中,在应用层(CoAP),系统执 行轻型安全对话建立。记录了安全对话后,获得包含客户密钥和服务器密钥的对话参数。将 这些对话参数送到提供跨层接口的接口层。在该层,导出加密参数元组{客户写密钥(K_c)、 服务器写密钥(K_s)、客户初始化向量(Client_IV)、服务器初始化向量(Server_IV)},并且 与DTLS-PSK中的记录加密类似,将要求的加密参数映射到加密方案要求的对话参数704。这 样使得利用与利用对称密钥的DTLS记录加密类似的机制在UDP传输层上通过安全通道对存 在于应用层的数据进行加密交换706。
【主权项】
1. 一种在网络中运行,用于在多个客户设备与多个服务器之间进行轻型安全对话建立 和安全加密数据交换的计算机实现系统,所述系统包括: 在与所述网络关联的应用层中编组的安全对话建立部件,其中所述安全对话建立部件 包括: 在每个所述客户设备中构造的第一密钥发生器、第一随机数发生器和第二随机数发生 器,以及在多个服务器中的每个中构造的第三随机数发生器和第二密钥发生器; 配置在所述应用层编组的部件的所述构造,从而有助于通过互相认证在所述客户设备 与所述服务器之间实现安全对话建立; 以及 在与所述网络关联的传输层中编组的安全加密数据交换部件,其中所述安全加密数据 交换部件包括: 对话密钥元组生成器,所述对话密钥元组生成器具有对话初始化向量生成器,构造所 述对话密钥元组生成器,以生成对话密匙元组并且将该对话密钥元组发送到互相认证的客 户设备和服务器; 配置在所述传输层编组的部件的所述构造,使得能够根据跨层方法在所述客户设备与 所述服务器之间进行安全加密数据交换。2. 根据权利要求1所述的计算机实现系统,其中构造所述第一密钥发生器,以在所述系 统中在客户设备与服务器之间建立安全对话之前,产生密匙并且将该密钥发送到所述服务 器和所述客户设备。3. 根据权利要求1所述的计算机实现系统,其中所述多个客户设备中的每个都包括如 下所述: 第一处理器,构造所述第一处理器,以根据预定第一组规则,提供第一组处理命令; 所述第一随机数发生器,构造所述第一随机数发生器,以与所述第一处理器合作,并且 进一步构造所述第一随机数发生器,以在所述第一组处理命令的作用下产生第一随机数; 对话启动器,构造所述对话启动器,以在第一组处理命令的作用下,产生含有所述第一 随机数和预定唯一标识符的对话启动请求并且将该对话启动请求发送到服务器; 第一解密器,构造所述第一解密器,以与所述服务器合作接收加密挑战代码并且与所 述第一密钥发生器合作接收密钥,并且进一步构造所述第一解密器,以利用所述收到的密 钥并且在所述第一组处理命令的作用下解密所述加密挑战代码,以获得第三随机数和客户 密钥; 第二系统信息存储库,构造所述第二系统信息存储库,以与所述第一解密器合作接收 并且存储所述客户密钥; 所述第二随机数发生器,构造所述第二随机数发生器,以与所述第一处理器合作,并且 在所述第一组处理命令的作用下产生第二随机数; 响应发生器,构造所述响应发生器,以与所述第一解密器合作接收所述第三随机数,并 且与所述第二随机数发生器合作接收所述产生的第二随机数,并且进一步构造所述响应发 生器,以根据所述收到的第三随机数和所述收到的第二随机数,产生响应代码; 第二加密器,构造所述第二加密器,以与所述第二系统信息存储库合作接收所述客户 密钥,并且与所述响应发生器合作接收所述响应代码,并且进一步构造所述第二加密器,以 利用所述收到的客户密钥对所述响应代码加密,从而获得并且发送加密响应代码; 第三解密器,构造所述第三解密器,以与所述服务器合作接收加密最终消息,并且与所 述第一密钥发生器合作接收所述密钥,并且进一步构造所述第三解密器,以利用所述收到 的密钥并且在所述第一组处理命令的作用下解密所述加密最终消息,从而获得第二随机数 和服务器密钥,并且将所述服务器密钥存储于所述第二系统信息存储库中;以及 第二比较器,构造所述第二比较器,以与所述第三解密器合作接收所述获得的第二随 机数,并且与所述第二随机数发生器合作接收所述产生的第二随机数,并且进一步构造所 述第二比较器,以将所述产生的第二随机数与所述收到的第二随机数进行比较,以认证所 述服务器,由此对与所述服务器的数据交换实现安全对话建立。4.根据权利要求1所述的计算机实现系统,其中所述多个服务器中的每个都包括如下 所述: 第二处理器,构造所述第二处理器,以根据预定第二组规则提供第二组处理命令; 第一系统信息存储库,构造所述第一系统信息存储库,以存储多个唯一标识符,其中所 述唯一标识符中的每个都对应于客户设备; 识别器,构造所述识别器,以与所述第二处理器、所述第一系统信息存储库和客户设备 合作,以分别接收所述第二组处理命令、所述存储唯一标识符以及含有第一随机数和唯一 标识符的对话启动请求,并且进一步构造所述识别器,以使所述收到的唯一标识符与所述 存储的唯一标识符匹配,从而识别所述客户设备; 所述第二密钥发生器,构造所述第二密钥发生器,以与所述第二处理器合作并且在所 述第二组处理命令的作用下,产生且发送唯一客户密钥和唯一服务器密钥; 所述第三随机数发生器,构造所述第三随机数发生器,以与所述第二处理器合作,并且 在所述第二组处理命令的作用下产生并且发送第三随机数; 挑战代码发生器,构造所述挑战代码发生器,以与所述识别器合作接收所述第一随机 数,与所述第二密钥发生器合作接收所述客户密钥,与所述第三随机数发生器合作接收所 述第三随机数,并且进一步构造所述挑战代码发生器,以根据所述第一随机数、所述客户密 钥以及所述第三随机数,产生挑战代码; 第一加密器,构造所述第一加密器,以与所述挑战代码发生器合作接收所述产生的挑 战代码并且与所述第一密钥发生器合作接收密钥,并且进一步构造所述第一加密器,以在 所述第二组系统处理命令的作用下,利用所述密钥对所述收到的挑战代码加密,从而获得 并且发送加密挑战代码; 第二解密器,构造所述第二解密器,以与所述第二密钥发生器合作接收所述客户密钥, 并且与所述客户设备合作接收加密响应代码,并且进一步构造所述第二解密器,以利用所 述客户密钥对所述收到的加密响应代码解密,从而获得存在于所述响应代码中的第二随机 数和第三随机数; 第一比较器,构造所述第一比较器,以与所述第二解密器合作接收所述获得的第三随 机数,并且与所述第三随机数发生器合作接收所述产生的第三随机数,并且进一步构造所 述第一比较器,以将所述产生的第三随机数与所述收到的第三随机数进行比较,以认证所 述客户设备;以及 第三加密器,构造所述第三加密器,以与所述第二解密器、所述第一比较器以及所述第 一密钥发生器合作,并且进一步构造所述第三加密器,以产生含有利用所述密钥加密的所 述第三随机数、所述服务器密钥和所述第二随机数的最终消息并且对该最终消息加密,从 而获得加密最终消息并且将该加密最终消息发送到所述客户设备,从而有助于对与所述客 户设备的数据交换实现安全对话建立。5. 根据权利要求1所述的计算机实现系统,其中构造所述对话密钥元组生成器,以在认 证时,接收客户设备和服务器产生的客户密钥、服务器密钥和随机数,并且构造所述对话初 始化向量生成器,以利用所述收到的随机数,生成客户初始化向量和服务器初始化向量,进 一步构造所述对话密钥元组生成器,以生成含有所述收到的客户密钥、所述收到的服务器 密钥、所述客户初始化向量和所述服务器初始化向量的对话密钥元组并且将该对话密钥元 组发送到所述客户设备和所述服务器,从而使得能够在所述客户设备与所述服务器之间进 行安全加密数据交换。6. 根据权利要求1所述的计算机实现系统,其中客户设备与服务器之间的所述加密数 据交换基于密钥建立,其中所述客户设备利用所述客户密钥和所述客户初始化向量对数据 加密,并且利用所述服务器密钥和所述服务器初始化向量对所述数据解密,并且所述服务 器利用所述服务器密钥和所述服务器初始化向量对数据加密并且利用所述客户密钥和所 述客户初始化向量对数据解密,从而对所述客户设备和所述服务器保持独立加密和解密密 钥。7. 根据权利要求2所述的计算机实现系统,其中所述第一密钥发生器产生的所述密钥 是在所述开始对话时产生的唯一密钥,并且仅在进行对话时有效。8. 根据权利要求3和4所述的计算机实现系统,其中由所述第一随机数发生器、所述第 二随机数发生器以及所述第三随机数发生器产生的所述随机数不能再生,并且从一个对话 到另一个对话会改变。9. 根据权利要求1所述的计算机实现系统,其中所述系统与包含CoAP的受限设备的所 述应用层集成,以实现安全对话建立。10. 根据权利要求1所述的计算机实现系统,其中所述系统与包含DTLS的所述传输层安 全方案集成,以实现安全加密数据交换。11. 根据权利要求1所述的计算机实现系统,其