背景

領域

本發明一般涉及在遠程無線設備與一群相互連接的群設備之間建立和使用安全性關聯。

背景

在短距離上無線地傳遞數據的低功率網絡由于其勝于使用電纜的傳統有線連接的優勢而日漸盛行。藍牙和ZigBee是用于短程無線網絡的標準的示例。

無線對等設備之間的無線通信可使用配對過程來建立長期的主密鑰。出于安全性目的，該配對過程一般要求用戶參與授權和驗證。因此，遠程無線設備可能需要與相互連接的一群設備內的每個設備單獨配對，這可能對用戶造成負擔或其他不便。

多重配對的替換方案是使用公鑰基礎設施或中央認證服務器。然而，這些替換方案通常提高了遠程設備的能力等級和供應成本。而且，要撤銷休眠的或超出范圍以外的設備的泄密的證書往往是很困難的。

因此亟需一種簡單且高效地保護遠程設備與群設備之間的低功率無線通信的安全的技術。

概述

本發明的一方面可在于一種用于在遠程設備與群設備之間建立無線鏈路密鑰的方法。在該方法中，該遠程設備在無線信道上獲得來自這個群設備的群標識符，并使用該群標識符來確定這個群設備是否與和該遠程設備具有信任關聯的群相關聯。當這個群設備被確定與和該遠程設備具有建成的信任關聯的群相關聯時，該遠程設備將鏈路建立請求轉發給這個群設備以使用該信任關聯將該遠程設備與這個群設備虛擬配對以建立該無線鏈路密鑰。當這個群設備被確定并不與和該遠程設備具有建成的信任關聯的群相關聯時，該遠程設備將配對請求轉發給這個群設備用于將該遠程設備與這個群設備配對來建立該無線鏈路密鑰。

在本發明更為詳細的特征中，轉發配對請求可包括與該群建立信任關聯。該信任關聯可以是由該遠程設備并且由至少一個群超級設備存儲的主密鑰。該主密鑰在響應于從該遠程設備向另一個群設備的先前配對請求而被生成之后為該遠程設備所專有。該主密鑰可由至少一個群超級設備來與該遠程設備的標識值相關聯地存儲。該遠程設備的標識值可包括該遠程設備的地址。該群標識符可被包括在這個群設備的地址中。這個群設備可以是閱讀器設備，并且該遠程設備可以是傳感器設備。

在本發明其他更為詳細的特征中，轉發鏈路建立請求可包括將第一隨機值轉發給這個群設備。該遠程設備可接收來自這個群設備的第二隨機值，并且基于該第一和第二隨機值以及該主密鑰生成該無線鏈路密鑰。該遠程設備可接收來自這個群設備的第一消息完好性碼，并使用該第一和第二隨機值和該無線鏈路密鑰來驗證該第一消息完好性碼。此外，該遠程設備可基于該第一和第二隨機值以及該無線鏈路密鑰生成第二消息完好性碼，并且將該第二消息完好性碼轉發給這個群設備。該第一隨機值可以是第一一次性數，并且該第二隨機值可以是第二一次性數。

本發明的另一方面可在于一種遠程設備，其包括用于在無線信道上獲得來自群設備的群標識符的裝置；用于使用該群標識符來確定這個群設備是否與和該遠程設備具有信任關聯的群相關聯的裝置；用于當這個群設備被確定與和該遠程設備具有建成的信任關聯的群相關聯時將鏈路建立請求轉發給這個群設備以使用該信任關聯來將該遠程設備與這個群設備虛擬配對以建立該無線鏈路密鑰的裝置；以及用于當這個群設備被確定并不與和該遠程設備具有建成的信任關聯的群相關聯時將配對請求轉發給這個群設備以將該遠程設備與這個群設備配對來建立該無線鏈路密鑰的裝置。

本發明的另一方面可在于一種用于建立無線鏈路密鑰的裝置。該裝置可包括配置成執行以下動作的處理器：在無線信道上獲得來自群設備的群標識符；使用該群標識符來確定這個群設備是否與和該遠程設備具有信任關聯的群相關聯；當這個群設備被確定與和該遠程設備具有建成的信任關聯的群相關聯時，將鏈路建立請求轉發給這個群設備以使用該信任關聯來將該遠程設備與這個群設備虛擬配對以建立該無線鏈路密鑰；以及當這個群設備被確定并不與和該遠程設備具有建成的信任關聯的群相關聯時，將配對請求轉發給這個群設備以將該遠程設備與這個群設備配對來建立該無線鏈路密鑰。