专利名称:用于建立无线链路密钥的方法和设备的制作方法
用于建立无线链路密钥的方法和设备背景领域本发明一般涉及在远程无线设备与一群相互连接的群设备之间建立和使用安全性关联。背景在短距离上无线地传递数据的低功率网络由于其胜于使用电缆的传统有线连接的优势而日渐盛行。蓝牙和ZigBee是用于短程无线网络的标准的示例。无线对等设备之间的无线通信可使用配对过程来建立长期的主密钥。出于安全性目的,该配对过程一般要求用户参与授权和验证。因此,远程无线设备可能需要与相互连接的一群设备内的每个设备单独配对,这可能对用户造成负担或其他不便。多重配对的替换方案是使用公钥基础设施或中央认证服务器。然而,这些替换方案通常提高了远程设备的能力等级和供应成本。而且,要撤销休眠的或超出范围以外的设备的泄密的证书往往是很困难的。因此亟需一种简单且高效地保护远程设备与群设备之间的低功率无线通信的安全的技术。概述本发明的一方面可在于一种用于在远程设备与群设备之间建立无线链路密钥的方法。在该方法中,该远程设备在无线信道上获得来自这个群设备的群标识符,并使用该群标识符来确定这个群设备是否与和该远程设备具有信任关联的群相关联。当这个群设备被确定与和该远程设备具有建成的信任关联的群相关联时,该远程设备将链路建立请求转发给这个群设备以使用该信任关联将该远程设备与这个群设备虚拟配对以建立该无线链路密钥。当这个群设备被确定并不与和该远程设备具有建成的信任关联的群相关联时,该远程设备将配对请求转发给这个群设备用于将该远程设备与这个群设备配对来建立该无线链路密钥。在本发明更为详细的特征中,转发配对请求可包括与该群建立信任关联。该信任关联可以是由该远程设备并且由至少一个群超级设备存储的主密钥。该主密钥在响应于从该远程设备向另一个群设备的先前配对请求而被生成之后为该远程设备所专有。该主密钥可由至少一个群超级设备来与该远程设备的标识值相关联地存储。该远程设备的标识值可包括该远程设备的地址。该群标识符可被包括在这个群设备的地址中。这个群设备可以是阅读器设备,并且该远程设备可以是传感器设备。在本发明其他更为详细的特征中,转发链路建立请求可包括将第一随机值转发给这个群设备。该远程设备可接收来自这个群设备的第二随机值,并且基于该第一和第二随机值以及该主密钥生成该无线链路密钥。该远程设备可接收来自这个群设备的第一消息完好性码,并使用该第一和第二随机值和该无线链路密钥来验证该第一消息完好性码。此外, 该远程设备可基于该第一和第二随机值以及该无线链路密钥生成第二消息完好性码,并且将该第二消息完好性码转发给这个群设备。该第一随机值可以是第一一次性数,并且该第二随机值可以是第二一次性数。本发明的另一方面可在于一种远程设备,其包括用于在无线信道上获得来自群设备的群标识符的装置;用于使用该群标识符来确定这个群设备是否与和该远程设备具有信任关联的群相关联的装置;用于当这个群设备被确定与和该远程设备具有建成的信任关联的群相关联时将链路建立请求转发给这个群设备以使用该信任关联来将该远程设备与这个群设备虚拟配对以建立该无线链路密钥的装置;以及用于当这个群设备被确定并不与和该远程设备具有建成的信任关联的群相关联时将配对请求转发给这个群设备以将该远程设备与这个群设备配对来建立该无线链路密钥的装置。本发明的另一方面可在于一种用于建立无线链路密钥的装置。该装置可包括配置成执行以下动作的处理器在无线信道上获得来自群设备的群标识符;使用该群标识符来确定这个群设备是否与和该远程设备具有信任关联的群相关联;当这个群设备被确定与和该远程设备具有建成的信任关联的群相关联时,将链路建立请求转发给这个群设备以使用该信任关联来将该远程设备与这个群设备虚拟配对以建立该无线链路密钥;以及当这个群设备被确定并不与和该远程设备具有建成的信任关联的群相关联时,将配对请求转发给这个群设备以将该远程设备与这个群设备配对来建立该无线链路密钥。本发明的另一方面可在于一种包括计算机可读介质的计算机程序产品,该计算机可读介质包括用于使计算机在无线信道上获得来自群设备的群标识符的代码;用于使计算机使用该群标识符来确定这个群设备是否与和该远程设备具有信任关联的群相关联的代码;用于使计算机当这个群设备被确定与和该远程设备具有建成的信任关联的群相关联时将链路建立请求转发给这个群设备以使用该信任关联来将该远程设备与这个群设备虚拟配对以建立该无线链路密钥的代码;以及用于使计算机当这个群设备被确定并不与和该远程设备具有建成的信任关联的群相关联时将配对请求转发给这个群设备以将该远程设备与这个群设备配对来建立该无线链路密钥的代码。而且,本发明的一方面可在于另一种用于在群设备与远程设备之间建立无线链路密钥的方法。在该方法中,在无线信道上传送这个群设备的群标识符。这个群设备接收来自该远程设备的请求,并且确定该请求是链路建立请求还是配对请求。当该请求被确定为链接建立请求时,使用该远程设备与和这个群设备相关联的群之间的建成的信任关联来建立这个群设备与该远程设备之间的链路密钥以将这个群设备与该远程设备虚拟配对。当该请求被确定为配对请求时,将该远程设备与这个群设备配对来建立该无线链路密钥。在本发明更为详细的特征中,当该请求被确定为配对请求时,为该远程设备建立与该群的信任关联。该信任关联可以是由该远程设备并且由至少一个群超级设备存储的主密钥。该主密钥在响应于从该远程设备向另一个群设备的先前配对请求而被生成之后为该远程设备所专有。该群标识符可被包括在这个群设备的地址中。这个群设备可以是阅读器设备,并且该远程设备可以是传感器设备。在本发明更为详细的特征中,这个群设备可随该链路建立请求接收第一随机值和仅与该远程设备相关联的标识值。这个群设备可生成第二随机值,并可将该第一和第二随机值、以及远程设备的标识值转发给至少一个群超级设备。这个群设备可接收由群超级设备基于该第一和第二随机值以及仅与该远程设备的标识值相关联的该主密钥生成的无线链路密钥。这个群设备可将该第二随机值和第一消息完好性码转发给该远程设备。该第一消息完好性码是基于该第一和第二随机值以及该无线链路密钥而生成的。这个群设备可接收来自该远程设备的第二消息完好性码。该第二消息完好性码是由远程设备基于该第一和第二随机值以及该无线链路密钥而生成的。这个群设备可使用该第一和第二随机值以及该无线链路密钥来验证该第二消息完好性密钥以进一步建立该无线链路密钥。该第一随机值可以是第一一次性数,并且该第二随机值可以是第二一次性数。该主密钥可由至少一个群超级设备来与该远程设备的标识值相关联地存储。该远程设备的标识值可以是该远程设备的地址。本发明的另一方面可在于一种群设备,其包括用于在无线信道上传送这个群设备的群标识符的装置;用于接收来自远程设备的请求的装置;用于确定该请求是链路建立请求还是配对请求的装置;用于当该请求被确定为链路建立请求时使用该远程设备与和这个群设备相关联的群之间的建成的信任关联在这个群设备与该远程设备之间建立链路密钥以将这个群设备与该远程设备虚拟配对的装置;以及用于当该请求被确定为配对请求时将该远程设备与这个群设备配对来建立该无线链路密钥的装置。本发明的另一方面可在于一种用于建立无线链路密钥的装置。该装置可包括配置成执行以下动作的处理器在无线信道上传送该装置的群标识符;接收来自远程设备的请求;确定该请求是链路建立请求还是配对请求;当该请求被确定为链路建立请求时使用该远程设备与和该装置相关联的群之间的建成的信任关联在该装置与该远程设备之间建立链路密钥以将该装置与该远程设备虚拟配对;并且当该请求被确定为配对请求时将该远程设备与该装置配对来建立该无线链路密钥。本发明的另一方面可在于一种包括计算机可读介质的计算机程序产品,该计算机可读介质包括用于使计算机在无线信道上传送群设备的群标识符的代码;用于使计算机接收来自远程设备的请求的代码;用于使计算机确定该请求是链路建立请求还是配对请求的代码;用于使计算机当该请求被确定为链路建立请求时使用该远程设备与和这个群设备相关联的群之间的建成的信任关联在这个群设备与该远程设备之间建立链路密钥以将这个群设备与该远程设备虚拟配对的代码;以及用于使计算机当该请求被确定为配对请求时将该远程设备与这个群设备配对来建立该无线链路密钥的代码。附图简述
图1是具有一群设备的无线通信系统的示例的框图。图2是用于在远程设备与群设备之间建立无线链路密钥的方法的流程图,该方法包括确定是否存在与该群的建成的信任关联。图3是使用建成的信任关联来建立无线链路密钥的流图。图4是群地址的示意框图。图5是包括处理器、存储器和用户接口的计算机的框图。图6是用于在远程设备与群设备之间建立无线链路密钥的方法的流程图,该方法包括确定来自该远程设备的请求是链路建立请求还是配对请求。图7是无线通信系统的示例的框图。详细描述参照图1-3,本发明的一方面可在于一种用于在远程设备RDl与群设备⑶1之间建立无线链路密钥LKl的方法200。在该方法中,该远程设备在无线信道上获得来自这个群设备的群标识符GID (步骤210),并使用该群标识符来确定这个群设备是否与和该远程设备具有信任关联的群10相关联(步骤220)。当这个群设备被确定与和该远程设备具有建成的信任关联的群相关联时,该远程设备将链路建立请求LSR转发给这个群设备以使用该信任关联来将该远程设备与这个群设备虚拟配对12以建立该无线链路密钥(步骤230)。当这个群设备被确定并不与和该远程设备具有建成的信任关联的群相关联时,该远程设备将配对请求ra转发给这个群设备以将该远程设备与这个群设备配对来建立该无线链路密钥 (步骤240)。转发配对请求ra的步骤(步骤M0)可包括与群10建立信任关联。该信任关联可以是由该远程设备RDl并且由至少一个群超级设备GS存储的主密钥MK1。该主密钥在响应于从该远程设备向另一个群设备GDN的先前配对请求ra而被生成之后为该远程设备所专有。该主密钥可与该远程设备的标识值RDl-ID相关联地存储。该远程设备的标识值 RDl-ID可包括该远程设备RDl的地址。这个群设备可以是阅读器设备,并且该远程设备可以是传感器设备。如图4中所示,群标识符GID可被包括在群设备OTl的地址400中。该地址可被分成3部分地址类型410、群标识(ID)420、和节点或设备标识(ID)430。设备可以有若干地址类型。可为群设备定义称为群的地址类型。其他地址类型可以是在制造期间指派给设备的永久设备地址、或用于挫败跟踪攻击的临时地址。该临时地址可随机地生成或可包含从共享机密和随机前缀推导出的标记。群ID 420是特定设备群的标识符。可全局地指派或局部地配置该群ID。其空间必须大到足够唯一地将设备群与其他群区别标识。设备ID 430是群中特定设备的标识符。每个群10具有至少一个群超级节点或设备GS。群超级设备GS在群10内可被指派特殊的预定义ID,例如,对于第一群超级设备为0x0。群设备GDN和群超级设备GS具有安全链路14用来通信。这些安全链路可使用如对远程设备RDl所使用的相同的连接技术。 这些群设备也可使用其他技术来连接。例如,远程设备可使用蓝牙来与任何群设备GDN通信,而所有群设备用以太网或无线LAN来相互连接。通常,群超级设备比该群中的其他设备更有能力,更有能力的意义是指计算能力更高以及电池约束较少。群超级设备对于群设备 GDN总是可用的。远程设备RDl仅需要与群10中的群设备⑶N实际配对一次。在该第一次(也是唯一需要的)配对中,主密钥MKl被供应并且由群超级设备GS并且由该远程设备存储。在初始配对后,该主密钥可被用于推导链路密钥LKl来与这些群设备中的任何群设备建立“虚拟”配对。此虚拟配对的优点是速度和便利。作为示例,执行实际配对和建立主密钥可能花费若干秒,但在虚拟配对中基于现有的主密钥来建立链路密钥可能仅花费大约毫秒。此外, 在与该群的后续群设备的虚拟配对中不需要用户输入。群超级设备GS通常执行所有与配对有关的计算,并且管理与远程设备RDl共享的主密钥MKl和链路密钥LK1-LKN。群超级设备可维护已配对远程设备表以用于管理这些主密钥。每个群设备GDN依赖群超级设备GS来建立用以与远程设备RDl安全通信的链路密钥LKl。注意到,一个泄密的群设备不能窃听或伪造在另一个群设备与远程设备之间交换的分组。在配对请求中,群设备GDl在群超级设备GS与远程设备RDl之间转发配对命令。
13群设备GDI负责除了与配对有关的管理之外所有与该远程设备的链路级通信。对于一些与配对有关的命令,这个群设备如同该远程设备与群超级设备之间的中间人那样工作。这个群设备可使用简单的上层协议将来自该远程设备的与配对有关的PDU (协议数据单元)转发给群超级设备,且反之亦然。可通过各种方式来创建信任关联。例如,其可以是蓝牙中的基于PIN的验证、或 NFC(近场通信)中的基于距离的验证。群设备⑶1可承担认证远程设备RDl的某些职责。 例如,⑶1可验证RDl位于由NFC所定义的短程以内。在此过程中通常要求用户参与。此发明利用此类一次性用户参与来使得远程设备RDl能与群10中的所有群设备GDN虚拟配对。在配对期间,超级群设备GS与远程设备RDl建立共享的主密钥MK1,其对于居间的群设备⑶1而言是机密。一种用于主密钥建立的典型方法是Diffie-Hellman密钥交换。 用户的参与帮助验证Diffie-Hellman公钥以及挫败中间人攻击。该远程设备把与群超级设备共享的该主密钥保藏在安全的非易失性存储器中。所有链路密钥可从此主密钥动态地推导出。在配对之后,远程设备RDl可能遇到另一个群设备⑶N。从这个群设备的群ID,该远程设备能够确定自己是否已与该群10虚拟配对了。如果是,则该远程设备就不需要再次配对。取而代之的是,该远程设备发起与这个群设备的链路密钥协商过程。再次参照图3,示出了用于基于建成的信任关联来建立无线链路密钥LKl的过程 200。在远程设备RDl接收群标识符GID (步骤310)并确定自己与群10具有建成的信任关联之后,远程设备RDl将链路建立请求LSR转发给群设备GDI (步骤230,图2、。该转发链路建立请求的步骤可包括生成(步骤31 第一随机值m并将其转发给第一个群设备 ⑶1(步骤314)。该远程设备还转发自己的地址RD1-ID。这个群设备生成第二随机值N2 (步骤316),并将该随机值和远程设备的身份转发给群超级设备(步骤318)。该第一随机值可以是第一一次性数Ni,并且该第二随机值可以包括第二一次性数N2。群超级设备使用密钥推导函数(KDF)来推导出链路密钥LK1 = KDF(N1,N2,MK1)(步骤320)。典型的KDF函数可在ANSI X9. 42和X9. 63中找到。群超级设备将该链路密钥转发给这个群设备(步骤 322)。这个群设备从该第一和第二随机数以及该链路密钥生成第一消息完好性码MIC1。该消息完好性码可由RFC2104中所描述的HMAC算法来实现。这个群设备将该第二随机数N2 和该第一消息完好性码MICl发送给远程设备RDl (步骤326)。远程设备RDl从第一个群设备⑶1接收第二随机值N2和第一消息完好性码MIC1, 并基于该第一和第二随机值m和N2以及主密钥MKl来生成无线链路密钥LKl (步骤328)。 该远程设备还使用该第一和第二随机值以及该无线链路密钥来验证该第一消息完好性码 MICl (步骤330)。此外,该远程设备可基于该第一和第二随机值附和N2以及该链路密钥 LKl来生成第二消息完好性码MIC2,并且将该第二消息完好性码转发给这个群设备(步骤 334)。这个群设备类似地使用该第一和第二随机值以及该无线链路密钥来验证该第二消息完好性码MIC2 (步骤336)。本发明解决了重大的安全性考虑。只有群超级设备GS管理与远程设备RDl-RDN 共享的主密钥MK1-MKN,并计算这些远程设备与这些群设备之间的链路密钥LK1。该超级节点通常被很好地保护且泄密的可能性较小。群设备可能受到各种攻击(例如,旁道攻击)。只要链路的一侧感到需要时链路密钥就可被更新。使用密钥推导函数KDF,从随机值m和 N2以及链路密钥LKl来推导主密钥MKl是不可行的。群设备只知道其自己的链路密钥。结果,泄密的群设备不能揭露主密钥或其他群设备的链路密钥。参照图5,本发明的另一方面可在于一种远程设备RD1,其包括用于在无线信道上获得来自群设备GDl的群标识符GID的装置(处理器510);用于使用该群标识符来确定这个群设备是否与和该远程设备具有信任关联的群10相关联的装置;用于当这个群设备被确定与和该远程设备具有建成的信任关联的群相关联时将链路建立请求LSR转发给这个群设备以使用该信任关联将该远程设备与这个群设备虚拟配对12来建立该无线链路密钥的装置;以及用于当这个群设备被确定并不与和该远程设备具有建成的信任关联的群相关联时将配对请求I3R转发给这个群设备以将该远程设备与这个群设备配对来建立该无线链路密钥的装置。该设备可进一步包括诸如存储器之类的存储介质520、显示器530、以及诸如键盘之类的输入设备Mo。该设备可包括无线连接阳0。本发明的另一方面可在于一种用于建立无线链路密钥LKl的装置500。该装置可包括配置成执行以下动作的处理器510 在无线信道上获得来自群设备⑶1的群标识符 GID ;使用该群标识符来确定这个群设备是否与和远程设备RDl具有信任关联的群相关联; 当这个群设备被确定与和该远程设备具有建成的信任关联的群相关联时,将链路建立请求 LSR转发给这个群设备以使用该信任关联将该远程设备与这个群设备虚拟配对12来建立该无线链路密钥;以及当这个群设备被确定并不与和该远程设备具有建成的信任关联的群相关联时,将配对请求I3R转发给这个群设备以将该远程设备与这个群设备配对来建立该无线链路密钥。本发明的另一方面可在于一种包括计算机可读介质520的计算机程序产品,该计算机可读介质520包括用于使计算机500在无线信道上获得来自群设备GDl的群标识符 GID的代码;用于使计算机使用该群标识符来确定这个群设备是否与和远程设备RDl具有信任关联的群相关联的代码;用于使计算机当这个群设备被确定与和该远程设备具有建成的信任关联的群相关联时将链路建立请求LSR转发给这个群设备以使用该信任关联将该远程设备与这个群设备虚拟配对12来建立该无线链路密钥的代码;以及用于使计算机当这个群设备被确定并不与和该远程设备具有建成的信任关联的群相关联时将配对请求ra 转发给这个群设备以将该远程设备与这个群设备配对来建立该无线链路密钥的代码。参照图6,本发明的一方面可在于另一种用于在群设备⑶1与远程设备之间建立无线链路密钥LKl的方法600。在该方法中,在无线信道上传送这个群设备的群标识符 GID (步骤610)。这个群设备接收来自该远程设备的请求(步骤620),并且确定该请求是链路建立请求LSR还是配对请求PR(步骤630)。当该请求被确定为链接建立请求时,使用该远程设备与和这个群设备相关联的群之间的建成的信任关联来建立这个群设备与该远程设备之间的链路密钥以将这个群设备与该远程设备虚拟配对12(步骤640)。当该请求被确定为配对请求时,将该远程设备与这个群设备配对来建立该无线链路密钥(步骤650)。本发明的另一方面可在于一种群设备⑶1,其包括用于在无线信道上传送这个群设备的群标识符GID的装置(处理器510);用于接收来自远程设备RDl的请求的装置;用于确定该请求是链路建立请求LSR还是配对请求ra的装置;用于当该请求被确定为链路建CN 102550061 A立请求时使用该远程设备与和这个群设备相关联的群之间的建成的信任关联来建立这个群设备与该远程设备之间的链路密钥LKl以将这个群设备与该远程设备虚拟配对12的装置;以及用于当该请求被确定为配对请求时将该远程设备与这个群设备配对来建立该无线链路密钥的装置。本发明的另一方面可在于一种用于建立无线链路密钥的装置⑶1。该装置可包括配置成执行以下动作的处理器510 在无线信道上传送该装置的群标识符GID ;接收来自远程设备RDl的请求;确定该请求是链路建立请求LSR还是配对请求I3R ;当该请求被确定为链路建立请求时使用该远程设备与和该装置相关联的群之间的建成的信任关联来建立该装置与该远程设备之间的链路密钥LKl以将该装置与该远程设备虚拟配对12 ;并且当该请求被确定为配对请求时将该远程设备与该装置配对来建立该无线链路密钥。本发明的另一方面可在于一种包括计算机可读介质520的计算机程序产品,该计算机可读介质520包括用于使计算机500在无线信道上传送群设备OTl的群标识符GID 的代码;用于使计算机接收来自远程设备RDl的请求的代码;用于使计算机确定该请求是链路建立请求LSR还是配对请求I^R的代码;用于使计算机当该请求被确定为链路建立请求时使用该远程设备与和该群设备相关联的群之间的建成的信任关联来建立这个群设备与该远程设备之间的链路密钥LKl以将这个群设备与该远程设备虚拟配对12的代码;以及用于使计算机当该请求被确定为配对请求时将该远程设备与这个群设备配对来建立该无线链路密钥的代码。参照图7,远程设备RDl可以是还可与无线通信系统100的一个或更多个基站 (BS) 104通信的无线移动站(MQ 102。无线通信系统100可进一步包括一个或更多个基站控制器(BSC) 106、以及核心网108。核心网可经由合适的回程连接至因特网110和公共交换电话网(PSTN) 112。典型的无线移动站可包括手持电话或膝上型计算机。无线通信系统 100可以采用数种多址技术中的任何一种,诸如码分多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、空分多址(SDMA)、极分多址(PDMA)、或其他本领域中所知的调制技术。无线设备RDl可经由一条或更多条无线通信链路来通信,这些无线通信链路基于或以其他方式支持任何合适的无线通信技术。例如,在一些方面中,无线设备可与网络相关联。在一些方面中,该网络可包括体域网或个域网(例如,超宽带网络)。在一些方面中,该网络可包括局域网或广域网。无线设备可支持或以其他方式使用各种无线通信技术、协议、 或标准中的一种或更多种,诸如举例而言⑶MA、TDMA, OFDM、OFDMA, WiMAX和Wi-Fi。类似地,无线设备可支持或以其他方式使用各种相应的调制或复用方案中的一种或更多种。无线设备由此可包括恰适组件(例如,空中接口)以使用上述或其他无线通信技术来建立一条或更多条无线通信链路并经由其来通信。例如,设备可包括具有相关联的发射机和接收机组件(例如,发射机和接收机)的无线收发机,这些发射机和接收机组件可包括促成无线介质上的通信的各种组件(例如,信号发生器和信号处理器)。本文中的教导可被纳入各种装置(例如,设备)中(例如,实现在其内或由其执行)。例如,本文中教导的一个或更多个方面可被纳入到电话(例如,蜂窝电话)、个人数据助理(“PDA”)、娱乐设备(例如,音乐或视频设备)、头戴式送受话器(例如,头戴式听筒、 耳机等)、话筒、医疗设备(例如,生物测定传感器、心率监视器、计步器、EKG设备等)、用户 I/O设备(例如,手表、遥控、照明开关、键盘、鼠标等)、轮胎气压监视器、计算机、销售点设备、娱乐设备、助听器、机顶盒、或任何其他合适的设备中。这些设备可具有不同功率和数据要求。在一些方面中,本文中的教导可适配成用在低功率应用中(例如,通过使用基于冲激的信令方案和低占空比模式),并且可支持各种数据率,包括相对较高的数据率(例如,通过使用高带宽脉冲)。在一些方面,无线设备可包括对通信系统的接入设备(例如,Wi-Fi接入点)。此类接入设备可提供例如经由有线或无线通信链路至另一网络(例如,诸如因特网之类的广域网或者蜂窝网络)的连通性。相应地,接入设备可使得另一设备(例如,Wi-Fi站)能接入该另一网络或其他某个功能性。此外应领会,这些设备中的一方或双方可以是便携式的, 或者在一些情形中为相对非便携式的。本领域技术人员将可理解,信息和信号可使用各种不同技术和技艺中的任何技术和技艺来表示。例如,贯穿上面说明始终可能被述及的数据、指令、命令、信息、信号、比特、 码元、和码片可由电压、电流、电磁波、磁场或磁粒子、光场或光粒子、或其任何组合来表示。本领域技术人员将进一步领会,结合本文中所公开的实施例来描述的各种解说性逻辑板块、模块、电路、和算法步骤可实现为电子硬件、计算机软件、或这两者的组合。为清楚地解说硬件与软件的这一可互换性,各种解说性组件、框、模块、电路、和步骤在上面是以其功能性的形式作一般化描述的。此类功能性是被实现为硬件还是软件取决于具体应用和强加于整体系统的设计约束。技术人员对于每种特定应用可用不同的方式来实现所描述的功能性,但这样的实现决策不应被解读成导致脱离了本发明的范围。结合本文所公开的实施例描述的各种解说性逻辑板块、模块、和电路可用通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立的门或晶体管逻辑、分立的硬件组件、或其设计成执行本文所描述功能的任何组合来实现或执行。通用处理器可以是微处理器,但在替换方案中,该处理器可以是任何常规的处理器、控制器、微控制器、或状态机。处理器还可以被实现为计算设备的组合,例如DSP与微处理器的组合、多个微处理器、与DSP核心协作的一个或更多个微处理器、或任何其他此类配置。结合本文所公开的实施例描述的方法或算法的步骤可直接在硬件中、在由处理器执行的软件模块中、或在这两者的组合中实施。软件模块可驻留在RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域中所知的任何其他形式的存储介质中。示例性存储介质耦合到处理器以使得该处理器能从/向该存储介质读写信息。在替换方案中,存储介质可以被整合到处理器。处理器和存储介质可驻留在ASIC中。ASIC可驻留在用户终端中。在替换方案中,处理器和存储介质可作为分立组件驻留在用户终端中。在一个或更多个示例性实施例中,所描述的功能可以在硬件、软件、固件、或其任何组合中实现。如果在软件中实现为计算机程序产品,则各功能可以作为一条或更多条指令或代码存储在计算机可读介质上或藉其进行传送。计算机可读介质包括计算机存储介质和通信介质两者,其包括促成计算机程序从一地向另一地转移的任何介质。存储介质可以是能被计算机访问的任何可用介质。作为示例而非限定,这样的计算机可读介质可包括 RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁存储设备、或能被用来携带或存储指令或数据结构形式的合意程序代码且能被计算机访问的任何其它介质。任何连接也被正当地称为计算机可读介质。例如,如果软件是使用同轴电缆、光纤电缆、双绞线、数字订户线(DSL)、或诸如红外、无线电、以及微波之类的无线技术从web网站、服务器、或其它远程源传送而来,则该同轴电缆、光纤电缆、双绞线、DSL、或诸如红外、无线电、以及微波之类的无线技术就被包括在介质的定义之中。如本文中所使用的盘(disk)和碟(disc)包括压缩碟(⑶)、激光碟、光碟、数字多用碟(DVD)、软盘和蓝光碟,其中盘(disk)往往以磁的方式再现数据,而碟(disc)用激光以光学方式再现数据。上述的组合也应被包括在计算机可读介质的范围内。 提供了以上对所公开的实施例的描述是为了使得本领域任何技术人员皆能够制作或使用本发明。对这些实施例的各种改动对于本领域技术人员将是显而易见的,并且本文中定义的普适原理可被应用于其他实施例而不会脱离本发明的精神或范围。由此,本发明并非旨在被限定于本文中示出的实施例,而是应被授予与本文中公开的原理和新颖性特征一致的最广义的范围。
权利要求
1.一种用于在远程设备与群设备之间建立无线链路密钥的方法,所述方法包括 在无线信道上获得来自所述群设备的群标识符;使用所述群标识符来确定所述群设备是否与和所述远程设备具有信任关联的群相关联;当所述群设备被确定与和所述远程设备具有建成的信任关联的群相关联时,将链路建立请求转发给所述群设备以使用所述信任关联来将所述远程设备与所述群设备虚拟配对以建立所述无线链路密钥;并且当所述群设备被确定并不与和所述远程设备具有建成的信任关联的群相关联时,将配对请求转发给所述群设备以将所述远程设备与所述群设备配对来建立所述无线链路密钥。
2.如权利要求1所述的方法,其特征在于,所述转发配对请求的步骤进一步用于与所述群建立信任关联。
3.如权利要求1所述的方法,其特征在于,所述信任关联是由所述远程设备并且由至少一个群超级设备存储的主密钥,其中响应于从所述远程设备向另一个群设备的先前配对请求而生成的所述主密钥是所述远程设备所专有的。
4.如权利要求3所述的方法,其特征在于,所述转发链路建立请求的步骤进一步包括将第一随机值转发给所述群设备。
5.如权利要求4所述的方法,其特征在于,进一步包括所述远程设备接收来自所述群设备的第二随机值,并且基于所述第一和第二随机值以及所述主密钥来生成所述无线链路密钥。
6.如权利要求5所述的方法,其特征在于,进一步包括所述远程设备接收来自所述群设备的第一消息完好性码,并使用所述第一和第二随机值以及所述无线链路密钥来验证所述第一消息完好性码。
7.如权利要求6所述的方法,其特征在于,进一步包括所述远程设备基于所述第一和第二随机值以及所述无线链路密钥来生成第二消息完好性码,并且将所述第二消息完好性码转发给所述群设备。
8.如权利要求7所述的方法,其特征在于 所述第一随机值包括第一一次性数;并且所述第二随机值包括第二一次性数。
9.如权利要求3所述的方法,其特征在于,所述主密钥由至少一个群超级设备来与所述远程设备的标识值相关联地存储。
10.如权利要求9所述的方法,其特征在于,所述远程设备的标识值包括所述远程设备的地址。
11.如权利要求1所述的方法,其特征在于,所述群标识符被包括在所述群设备的地址中。
12.如权利要求1所述的方法,其特征在于 所述群设备是读取器设备;并且所述远程设备是传感器设备。
13.一种远程设备,包括用于在无线信道上获得来自群设备的群标识符的装置;用于使用所述群标识符来确定所述群设备是否与和所述远程设备具有信任关联的群相关联的装置;用于当所述群设备被确定与和所述远程设备具有建成的信任关联的群相关联时将链路建立请求转发给所述群设备以使用所述信任关联来将所述远程设备与所述群设备虚拟配对来建立所述无线链路密钥的装置;以及用于当所述群设备被确定并不与和所述远程设备具有建成的信任关联的群相关联时将配对请求转发给所述群设备以将所述远程设备与所述群设备配对来建立所述无线链路密钥的装置。
14.如权利要求13所述的远程设备,其特征在于,所述用于转发配对请求的装置进一步包括用于与所述群建立信任关联的装置。
15.如权利要求13所述的远程设备,其特征在于,所述信任关联是由所述远程设备并且由至少一个群超级设备存储的主密钥,其中响应于从所述远程设备向另一个群设备的先前配对请求而生成的所述主密钥是所述远程设备所专有的。
16.如权利要求15所述的远程设备,其特征在于,所述用于转发链路建立请求的装置进一步包括用于将第一随机值转发给所述群设备的装置。
17.如权利要求16所述的远程设备,其特征在于,还包括用于接收来自所述群设备的第二随机值的装置,以及用于基于所述第一和第二随机值以及所述主密钥来生成所述无线链路密钥的装置。
18.如权利要求17所述的远程设备,其特征在于,还包括用于接收来自所述群设备的第一消息完好性码的装置,以及用于使用所述第一和第二随机值以及所述无线链路密钥来验证所述第一消息完好性码的装置。
19.如权利要求18所述的远程设备,其特征在于,还包括用于基于所述第一和第二随机值以及所述无线链路密钥来生成第二消息完好性码的装置;以及用于将所述第二消息完好性码转发给所述群设备的装置。
20.如权利要求19所述的远程设备,其特征在于,所述第一随机值包括第一一次性数;并且所述第二随机值包括第二一次性数。
21.如权利要求15所述的远程设备,其特征在于,所述主密钥由至少一个群超级设备来与所述远程设备的标识值相关联地存储。
22.如权利要求21所述的远程设备,其特征在于,所述远程设备的标识值包括所述远程设备的地址。
23.如权利要求13所述的远程设备,其特征在于,所述群标识符被包括在所述群设备的地址中。
24.如权利要求13所述的远程设备,其特征在于,所述群设备是读取器设备;并且所述远程设备是传感器设备。
25.一种用于建立无线链路密钥的装置,包括处理器,配置成在无线信道上获得来自所述群设备的群标识符;使用所述群标识符来确定所述群设备是否与和远程设备具有信任关联的群相关联; 当所述群设备被确定与和所述远程设备具有建成的信任关联的群相关联时,将链路建立请求转发给所述群设备以使用所述信任关联来将所述远程设备与所述群设备虚拟配对来建立所述无线链路密钥;并且当所述群设备被确定并不与和所述远程设备具有建成的信任关联的群相关联时,将配对请求转发给所述群设备以将所述远程设备与所述群设备配对来建立所述无线链路密钥。
26.如权利要求25所述的装置,其特征在于,所述信任关联是由所述远程设备并且由至少一个群超级设备存储的主密钥,其中响应于从所述远程设备向另一个群设备的先前配对请求而生成的所述主密钥是所述远程设备所专有的。
27.如权利要求沈所述的装置,其特征在于,所述主密钥由至少一个群超级设备来与所述装置的标识值相关联地存储。
28.如权利要求27所述的装置,其特征在于,所述装置的所述标识值包括所述装置的地址。
29.如权利要求25所述的装置,其特征在于,所述群标识符被包括在所述群设备的地址中。
30.如权利要求25所述的装置,其特征在于 所述群设备是读取器设备;并且所述装置是传感器设备。
31.一种计算机程序产品,包括 计算机可读介质,包括用于使计算机在无线信道上获得来自所述群设备的群标识符的代码; 用于使计算机使用所述群标识符来确定所述群设备是否与和远程设备具有信任关联的群相关联的代码;用于使计算机当所述群设备被确定与和所述远程设备具有建成的信任关联的群相关联时将链路建立请求转发给所述群设备以使用所述信任关联来将所述远程设备与所述群设备虚拟配对以建立所述无线链路密钥的代码;以及用于使计算机当所述群设备被确定并不与和所述远程设备具有建成的信任关联的群相关联时将配对请求转发给所述群设备以将所述远程设备与所述群设备配对来建立所述无线链路密钥的代码。
32.如权利要求31所述的计算机程序产品,其特征在于,所述转发配对请求的步骤进一步关于用于使计算机与所述群建立信任关联的代码。
33.如权利要求31所述的计算机程序产品,其特征在于,所述信任关联是由所述远程设备并且由至少一个群超级设备存储的主密钥,其中响应于从所述远程设备向另一个群设备的先前配对请求而生成的所述主密钥是所述远程设备所专有的。
34.如权利要求33所述的计算机程序产品,其特征在于,所述主密钥由至少一个群超级设备来与标识值相关联地存储。
35.如权利要求34所述的计算机程序产品,其特征在于,所述标识值包括地址。
36.如权利要求31所述的计算机程序产品,其特征在于,所述群标识符被包括在所述群设备的地址中。
37.如权利要求31所述的计算机程序产品,其特征在于 所述群设备是读取器设备;并且所述远程设备是传感器设备。
38.一种用于在群设备与远程设备之间建立无线链路密钥的方法,所述方法包括 在无线信道上传送所述群设备的群标识符;接收来自所述远程设备的请求; 确定所述请求是链路建立请求还是配对请求;当所述请求被确定为链路建立请求时,使用所述远程设备与和所述群设备相关联的群之间的建成的信任关联在所述群设备与所述远程设备之间建立链路密钥以将所述群设备与所述远程设备虚拟配对;并且当所述请求被确定为配对请求时,将所述远程设备与所述群设备配对来建立所述无线链路密钥。
39.如权利要求38所述的方法,其特征在于,进一步包括当所述请求被确定为配对请求时为所述远程设备建立与所述群的信任关联。
40.如权利要求38所述的方法,其特征在于,所述信任关联是由所述远程设备并且由至少一个群超级设备存储的主密钥,其中响应于从所述远程设备向另一个群设备的先前配对请求而生成的所述主密钥是所述远程设备所专有的。
41.如权利要求40所述的方法,其特征在于,进一步包括随所述链路建立请求接收第一随机值和仅与所述远程设备相关联的标识值; 生成第二随机值;并且将所述第一和第二随机值、以及远程设备的标识值转发给至少一个群超级设备。
42.如权利要求41所述的方法,其特征在于,进一步包括接收由群超级设备基于所述第一和第二随机值以及仅与所述远程设备的标识值相关联的所述主密钥生成的无线链路密钥;并且将所述第二随机值和第一消息完好性码转发给所述远程设备,其中所述第一消息完好性码是基于所述第一和第二随机值以及所述无线链路密钥来生成的。
43.如权利要求42所述的方法,其特征在于,进一步包括接收来自所述远程设备的第二消息完好性码,其中所述第二消息完好性码是由所述远程设备基于所述第一和第二随机值以及所述无线链路密钥来生成的;并且使用所述第一和第二随机值以及所述无线链路密钥来验证所述第二消息完好性密钥以进一步建立所述无线链路密钥。
44.如权利要求42所述的方法,其特征在于 所述第一随机值包括第一一次性数;并且所述第二随机值包括第二一次性数。
45.如权利要求42所述的方法,其特征在于,所述主密钥由至少一个群超级设备来与所述远程设备的标识值相关联地存储。
46.如权利要求45所述的方法,其特征在于,所述远程设备的标识值包括所述远程设备的地址。
47.如权利要求38所述的方法,其特征在于,所述群标识符被包括在所述群设备的地址中。
48.如权利要求38所述的方法,其特征在于 所述群设备是读取器设备;并且所述远程设备是传感器设备。
49.一种群设备,包括用于在无线信道上传送所述群设备的群标识符的装置;用于接收来自远程设备的请求的装置;用于确定所述请求是链路建立请求还是配对请求的装置;用于当所述请求被确定为链路建立请求时使用所述远程设备与和所述群设备相关联的群之间的建成的信任关联在所述群设备与所述远程设备之间建立链路密钥以将所述群设备与所述远程设备虚拟配对的装置;以及用于当所述请求被确定为配对请求时将所述远程设备与所述群设备配对来建立所述无线链路密钥的装置。
50.如权利要求49所述的群设备,其特征在于,进一步包括用于当所述请求被确定为配对请求时为所述远程设备建立与所述群的信任关联的装置。
51.如权利要求49所述的群设备,其特征在于,所述信任关联是由所述远程设备并且由至少一个群超级设备存储的主密钥,其中响应于从所述远程设备向另一个群设备的先前配对请求而生成的所述主密钥是所述远程设备所专有的。
52.如权利要求51所述的群设备,其特征在于,进一步包括用于随所述链路建立请求接收第一随机值和仅与所述远程设备相关联的标识值的装置;用于生成第二随机值的装置;以及用于将所述第一和第二随机值、以及远程设备的标识值转发给至少一个群超级设备的直ο
53.如权利要求52所述的群设备,其特征在于,进一步包括用于接收由群超级设备基于所述第一和第二随机值以及仅与所述远程设备的标识值相关联的所述主密钥生成的无线链路密钥的装置;以及用于将所述第二随机值和第一消息完好性码转发给所述远程设备的装置,其中所述第一消息完好性码是基于所述第一和第二随机值以及所述无线链路密钥来生成的。
54.如权利要求53所述的群设备,其特征在于,进一步包括用于接收来自所述远程设备的第二消息完好性码的装置,其中所述第二消息完好性码是由所述远程设备基于所述第一和第二随机值以及所述无线链路密钥来生成的;以及用于使用所述第一和第二随机值以及所述无线链路密钥来验证所述第二消息完好性密钥以进一步建立所述无线链路密钥的装置。
55.如权利要求53所述的群设备,其特征在于, 所述第一随机值包括第一一次性数;并且所述第二随机值包括第二一次性数。
56.如权利要求53所述的群设备,其特征在于,所述主密钥由至少一个群超级设备来与所述远程设备的标识值相关联地存储。
57.如权利要求56所述的群设备,其特征在于,所述远程设备的标识值包括所述远程设备的地址。
58.如权利要求49所述的群设备,其特征在于,所述群标识符被包括在所述群设备的地址中。
59.如权利要求49所述的群设备,其特征在于, 所述群设备是读取器设备;并且所述远程设备是传感器设备。
60.一种用于建立无线链路密钥的装置,包括 处理器,配置成在无线信道上传送所述装置的群标识符; 接收来自所述远程设备的请求; 确定所述请求是链路建立请求还是配对请求;当所述请求被确定为链路建立请求时,使用所述远程设备与和所述装置相关联的群之间的建成的信任关联在所述装置与所述远程设备之间建立链路密钥以将所述装置与所述远程设备虚拟配对;并且当所述请求被确定为配对请求时将所述远程设备与所述装置配对来建立所述无线链路密钥。
61.如权利要求60所述的装置,其特征在于,所述处理器被进一步配置成 当所述请求被确定为配对请求时为所述远程设备建立与所述群的信任关联。
62.如权利要求60所述的装置,其特征在于,所述信任关联是由所述远程设备并且由至少一个群超级设备存储的主密钥,其中响应于从所述远程设备向另一个群设备的先前配对请求而生成的所述主密钥是所述远程设备所专有的。
63.如权利要求62所述的装置,其特征在于,所述处理器被进一步配置成 随所述链路建立请求接收第一随机值和仅与所述远程设备相关联的标识值; 生成第二随机值;并且将所述第一和第二随机值、以及远程设备的标识值转发给至少一个群超级设备。
64.如权利要求63所述的装置,其特征在于,所述处理器被进一步配置成接收由群超级设备基于所述第一和第二随机值以及仅与所述远程设备的标识值相关联的所述主密钥生成的无线链路密钥;并且将所述第二随机值和第一消息完好性码转发给所述远程设备,其中所述第一消息完好性码是基于所述第一和第二随机值以及所述无线链路密钥来生成的。
65.如权利要求64所述的装置,其特征在于,所述处理器被进一步配置成接收来自所述远程设备的第二消息完好性码,其中所述第二消息完好性码是由所述远程设备基于所述第一和第二随机值以及所述无线链路密钥来生成的;并且使用所述第一和第二随机值以及所述无线链路密钥来验证所述第二消息完好性密钥以进一步建立所述无线链路密钥。
66.如权利要求64所述的装置,其特征在于 所述第一随机值包括第一一次性数;并且所述第二随机值包括第二一次性数。
67.如权利要求64所述的装置,其特征在于,所述主密钥由至少一个群超级设备来与所述远程设备的标识值相关联地存储。
68.如权利要求67所述的装置,其特征在于,所述远程设备的标识值包括所述远程设备的地址。
69.如权利要求60所述的装置,其特征在于,所述群标识符被包括在所述装置的地址中。
70.如权利要求60所述的装置,其特征在于 所述装置是读取器设备;并且所述远程设备是传感器设备。
71.一种计算机程序产品,包括 计算机可读介质,包括用于使计算机在无线信道上传送群设备的群标识符的代码; 用于使计算机接收来自远程设备的请求的代码; 用于使计算机确定所述请求是链路建立请求还是配对请求的代码; 用于使计算机当所述请求被确定为链路建立请求时使用所述远程设备与和所述群设备相关联的群之间的建成的信任关联在所述群设备与所述远程设备之间建立链路密钥以将所述群设备与所述远程设备虚拟配对的代码;以及用于使计算机当所述请求被确定为配对请求时将所述远程设备与所述群设备配对来建立所述无线链路密钥的代码。
72.如权利要求71所述的计算机程序产品,其特征在于,还包括用于使计算机当所述请求被确定为配对请求时为所述远程设备建立与所述群的信任关联的代码。
73.如权利要求71所述的计算机程序产品,其特征在于,所述信任关联是由所述远程设备并且由至少一个群超级设备存储的主密钥,其中响应于从所述远程设备向另一个群设备的先前配对请求而生成的所述主密钥是所述远程设备所专有的。
74.如权利要求73所述的计算机程序产品,其特征在于,还包括用于使计算机随所述链路建立请求接收第一随机值和仅与所述远程设备相关联的标识值的代码;用于使计算机生成第二随机值的代码;以及用于使计算机将所述第一和第二随机值、以及远程设备的标识值转发给至少一个群超级设备的代码。
75.如权利要求74所述的计算机程序产品,其特征在于,还包括用于使计算机接收由群超级设备基于所述第一和第二随机值以及仅与所述远程设备的标识值相关联的所述主密钥来生成的无线链路密钥的代码;以及用于使计算机将所述第二随机值和第一消息完好性码转发给所述远程设备的代码,其中所述第一消息完好性码是基于所述第一和第二随机值以及所述无线链路密钥来生成的。
76.如权利要求75所述的计算机程序产品,其特征在于,还包括用于使计算机接收来自所述远程设备的第二消息完好性码的代码,其中所述第二消息完好性码是由所述远程设备基于所述第一和第二随机值以及所述无线链路密钥来生成的; 以及用于使计算机使用所述第一和第二随机值以及所述无线链路密钥来验证所述第二消息完好性密钥以进一步建立所述无线链路密钥的代码。
77.如权利要求75所述的计算机程序产品,其特征在于所述第一随机值包括第一一次性数;并且所述第二随机值包括第二一次性数。
78.如权利要求75所述的计算机程序产品,其特征在于,所述主密钥由至少一个群超级设备来与所述远程设备的标识值相关联地存储。
79.如权利要求78所述的计算机程序产品,其特征在于,所述远程设备的标识值包括所述远程设备的地址。
80.如权利要求71所述的计算机程序产品,其特征在于,所述群标识符被包括在所述群设备的地址中。
81.如权利要求71所述的计算机程序产品,其特征在于所述群设备是读取器设备;并且所述远程设备是传感器设备。
全文摘要
公开了一种用于在远程设备(102)与群设备(GDn)之间建立无线链路密钥的方法。在该方法中,该远程设备获得(210)来自这个群设备的群标识符,并确定(220)这个群设备是否与和该远程设备具有信任关联的群相关联。当这个群设备被确定与和该远程设备具有建成的信任关联的群相关联时,该远程设备将链路建立请求转发(230)给这个群设备以使用该信任关联来与这个群设备虚拟配对以建立该无线链路密钥。当这个群设备被确定并不与和该远程设备具有建成的信任关联的群相关联时,该远程设备将配对请求转发(240)给这个群设备来与这个群设备配对以建立该无线链路密钥。
文档编号H04W12/04GK102550061SQ201080045004
公开日2012年7月4日 申请日期2010年9月30日 优先权日2009年9月30日
发明者D·J·朱里安, L·肖, Y·J·金, Z·贾 申请人:高通股份有限公司