中所述系统生成并且利用所述接口层映 射所述对话密钥元组。12. 根据权利要求1所述的计算机实现系统,其中利用采用消息认证的整体校验,所述 系统利用对称加密通过加密域中的应用层提供对话建立。13. 根据权利要求1所述的计算机实现系统,其中所述系统导出利用与DTLS-PSK记录加 密类似的对话结构映射的对话参数。14. 根据权利要求1所述的计算机实现系统,其中所述系统通过包含CoAP的受限应用协 议提供安全对话加密,并且在UDP传输时,通过安全通道提供后续加密数据交换。15. 根据权利要求1所述的计算机实现系统,其中采用跨层方法的所述系统利用包含所 述应用层的上层建立安全对话,并且利用包含所述传输层的下层执行通道加密,从而对所 述上层提供更多控制,使得所述系统适合用于受限域中。16. -种在网络中运行,用于在多个客户设备与多个服务器之间进行轻型安全对话建 立和安全加密数据交换的计算机实现方法,所述方法包括如下步骤: 在与所述网络关联的应用层中编组部件,用于实现安全对话建立,其中实现安全对话 建立的所述步骤包括所述如下步骤: 在所述方法中,在客户设备与服务器之间建立安全对话之前,产生密钥并且将该密钥 发送到所述服务器和所述客户设备; 客户设备启动与服务器的对话并且利用所述发送的密钥认证所述服务器,从而利用互 相认证,在所述服务器与所述客户设备之间建立数据交换的安全对话; 在服务器处接收来自客户设备的对话启动请求,并且利用所述发送的密钥识别并且认 证所述客户设备;以及 构造在所述应用层中编组的所述部件,从而有助于通过互相认证在所述客户设备与所 述服务器之间实现数据交换的安全对话建立;以 及 对与所述网络关联的所述传输层中的部件编组,用于实现安全加密数据交换,其中实 现安全加密数据交换的所述步骤包括所述如下步骤: 生成对话密钥元组并且将该对话密钥元组发送到互相认证的客户设备和服务器; 构造在所述传输层中编组的所述部件,使得能够根据跨层方法在所述客户设备与所述 服务器之间实现安全加密数据交换。17. 根据权利要求16所述的计算机实现方法,其中用于在多个客户设备与多个服务器 之间实现安全对话建立的所述步骤包括如下所述: ?在所述方法中,在客户设备与服务器之间建立安全对话之前,产生密钥并且将该密 钥发送到所述服务器和所述客户设备; ?由客户设备启动与服务器对话并且利用所述发送的密钥认证所述服务器,从而通过 互相认证在所述服务器与所述客户设备之间建立数据交换的安全对话; ?在服务器处接收来自客户设备的对话启动请求,并且利用所述发送的密钥识别和认 证所述客户设备,从而有助于在所述服务器与所述客户设备之间实现数据交换的安全对话 建立。18. 根据权利要求16所述的计算机实现方法,其中在所述客户设备实现所述方法包括 如下步骤: 根据预定第一组规则,提供第一组处理命令; 在所述第一组处理命令的作用下产生第一随机数; 在第一组处理命令的作用下,产生含有所述第一随机数和预定唯一标识符的对话启动 请求并且将该对话启动请求发送到服务器; 接收加密挑战代码和密钥,并且利用所述收到的密钥并且在所述第一组处理命令的作 用下解密所述加密挑战代码,以获得第三随机数和客户密钥; 存储所述获得的客户密钥; 在所述第一组处理命令的作用下产生第二随机数; 根据所述第三随机数和所述第二随机数,产生响应代码; 利用所述存储的客户密钥对所述响应代码加密,从而获得并且发送加密响应代码; 接收加密最终消息,并且利用所述收到的密钥并且在所述第一组处理命令的作用下解 密所述加密最终消息,从而获得第二随机数和服务器密钥; 存储所述获得的服务器密钥;以及 将所述产生的第二随机数与所述获得的第二随机数进行比较,以认证所述服务器,从 而对与所述服务器的数据交换实现安全对话建立。19. 根据权利要求16所述的计算机实现方法,其中在所述服务器实现的所述方法包括 所述如下步骤: 根据预定第二组规则提供第二组处理命令; 存储多个唯一标识符,其中所述唯一标识符中的每个都对应于客户设备; 接收含有第一随机数和唯一标识符的对话启动请求,并且使所述收到的唯一标识符与 所述存储的唯一标识符匹配,从而识别所述客户设备; 在所述第二组处理命令的作用下,产生唯一客户密钥和唯一服务器密钥; 在所述第二组处理命令的作用下产生和发送第三随机数; 利用所述第一随机数、所述客户密钥以及所述第三随机数,产生挑战代码; 在所述第二组系统处理命令的作用下,利用所述密钥对所述产生的挑战代码加密,从 而获得并且发送加密挑战代码; 接收加密的响应代码,并且利用所述客户密钥对所述收到的加密响应代码解密,从而 获得存在于所述响应代码中的第二随机数和第三随机数; 将所述产生的第三随机数与所述获得的第三随机数进行比较,以认证所述客户设备; 以及 产生含有利用所述密钥加密的所述第三随机数、所述服务器密钥和所述第二随机数的 最终消息并且对该最终消息加密,从而获得加密最终消息并且将该加密最终消息发送到所 述客户设备,从而有助于对与所述客户设备的数据交换实现安全对话建立。20. 根据权利要求16所述的计算机实现方法,其中生成并且发送所述对话密钥元组的 所述步骤还包括所述如下步骤: 在认证时,接收客户设备和服务器产生的客户密钥、服务器密钥和随机数; 利用所述收到的随机数,生成客户初始化向量和服务器初始化向量; 生成含有所述收到的客户密钥、所述收到的服务器密钥、所述客户初始化向量和所述 服务器初始化向量的所述对话密钥元组;以及 将所述生成的对话密钥元组发送到所述客户设备和所述服务器,从而使得能够在所述 客户设备与所述服务器之间进行安全加密数据交换。21. 根据权利要求16所述的计算机实现方法,其中在客户设备与服务器之间交换加密 数据的所述步骤基于利用所述对话密钥元组的密钥建立步骤,并且包括对客户设备和服务 器保持独立加密和解密密钥的步骤,并且还包括如下步骤: 在所述客户设备,利用所述客户密钥和所述客户初始化向量对数据加密; 在所述客户设备,利用所述服务器密钥和所述服务器初始化向量对数据解密; 在所述服务器,利用所述服务器密钥和所述服务器初始化向量对数据加密;以及 在所述服务器,利用所述客户密钥和所述客户初始化向量对数据解密。22. 根据权利要求16所述的方法,其中产生所述密钥的所述步骤包含在所述开始对话 时产生唯一密钥的所述步骤,其中所述唯一密钥仅在进行对话时有效。23. 根据权利要求17和18所述的方法,其中产生所述第一随机数、所述第二随机数以及 所述第三随机数的步骤包含产生不能再生并且从一个对话到另一个对话会改变的随机数。24. 根据权利要求16所述的方法,其中所述方法与包含CoAP的受限设备的所述应用层 集成,以实现安全对话建立。25. 根据权利要求16所述的方法,其中所述方法与包含DTLS的所述传输层安全方案集 成,以实现安全加密数据交换。26. 根据权利要求16所述的方法,其中所述方法包含生成并且利用所述接口层映射所 述对话密钥元组的步骤。27. 根据权利要求16所述的方法,其中所述方法包含利用采用消息认证的整体校验,利 用对称加密通过加密域中的应用层建立对话的所述步骤。28. 根据权利要求16所述的方法,其中所述方法包括导出利用与DTLS-PSK记录加密类 似的对话结构映射的对话参数的所述步骤。29. 根据权利要求16所述的方法,其中所述方法包含,通过包含CoAP的受限应用协议提 供安全对话加密,并且在UDP传输时,后续通过安全通道交换加密数据的步骤。30. 根据权利要求16所述的方法,其中采用跨层方法的所述方法包含,利用包含所述应 用层的上层建立对话,并且利用包含所述传输层的下层执行通道加密,从而对所述上层提 供更多控制的步骤。
【专利摘要】公开了一种用于安全对话建立和数据的安全加密交换的(各)系统和(各)方法。该系统满足通用联网/通信系统的认证要求。其容易与已经使用类似DTLS-PSK的方案的系统集成。该系统遵循在类似应用层的轻型较高层执行对话建立的跨层方法。然后,该系统将包含对话密钥的这种对话建立的结果参数传送到较低层。系统利用类似传输层的较低层执行通道加密,以通过安全对话,根据跨层方法,交换加密数据。由于数据的交换变成类似传输层的较低层的责任,所以可以防止数据被重放攻击,因为传输层记录加密机制提供这种保护。
【IPC分类】H04L29/06, H04L29/08
【公开号】CN105530238
【申请号】CN201510684791
【发明人】阿比简·巴特查里亚, 图利卡·玻斯, 索玛·斑德尤帕迪亚, 阿吉特·优科尔, 阿潘·潘尔
【申请人】塔塔咨询服务有限公司
【公开日】2016年4月27日
【申请日】2015年10月20日
【公告号】EP3016422A1, US20160112381