[发明专利]使用票证来优化对称密钥高速缓存的系统、装置和方法

说明书

在一个实施例中，一种方法包括：当第一计算设备不具有至凭证管理器的连接时，在所述第一计算设备与第二计算设备之间建立第一会话；代表所述第一计算设备代理从所述第二计算设备到所述凭证管理器的请求，并且在所述第二计算设备中接收加密到所述第一设备的第一无密钥票证和加密到所述第二设备的第二无密钥票证；将所述第二无密钥票证从所述第二计算设备提供至所述第一计算设备；以及根据所述第一无密钥票证和所述第二无密钥票证使能在所述第一计算设备与所述第二计算设备之间进行通信。描述并要求保护了其他实施例。

背景技术

某些类型的非对称密钥证书验证操作取决于支持服务，所述支持服务分发证书撤销列表(CRL)或在线证书状态协议(OCSP)以便向验证者提供证书撤销状态，否则，验证者不能判定证书是否已经被撤销。由于许多IoT设备的受限环境，证书与物联网(IoT)设备一起使用面临额外的挑战。如果CRL较大，则可能没有足够的存储资源来存储CRL。因此，验证设备无法完成路径验证，从而导致IoT应用无法运行。如果相反，IoT设备依赖于OCS检查，则验证设备需要打开至发布证书授权机构(CA)的连接。然而，在请求设备和服务设备处于受限联网环境中(例如，间歇地连接到外部网络)的某些情况下，可能不存在网络访问。

附图说明

图1是根据本发明的实施例的第一连接情景。

图2是根据本发明的实施例的第二连接尝试的情景。

图3是根据本发明的实施例的第三连接尝试的情景。

图4是可以与实施例一起使用的示例系统的框图。

图5是根据本发明的另一实施例的系统的框图。

图6是根据另一实施例的可穿戴模块的框图。

具体实施方式

在各种实施例中，受限设备(诸如，使用证书进行设备认证的IoT设备)可以在间歇性网络连接性之间的时间段上有意义地建立对称密钥凭证。

为此，实施例可以对历史上保持分离的两种形式的密钥管理进行组合。公钥基础设施(PKI)(互联网工程任务组)(IETF)征求意见(RFC)5280)是一种旨在基于非对称密钥来管理身份的密钥管理方法。Kerberos[RFC 1510]是一种旨在使用对称密钥来管理访问的密钥管理方法。实施例可以对这两种密钥管理方法的各方面进行组合以便如本文中所描述的那样执行认证。预期的是，CRL可能至少最终变得太大而不能存储在IoT设备上，并且因此，验证设备可以采用OCSP。然而，受限设备也可能不能够发起至主控CA的外部网络的连接，并且对于CA定期地轮询许多IoT设备以便判定其是否恰好要求CA服务来说可能是不切实际的。

为此，实施例将CA的功能与密钥分发中心(KDC)的功能组合。对于由请求设备对访问响应设备的第一尝试，实现了网络访问从而完成证书验证。如果响应设备不具有至主控CA的远程网络的网络连接性，则请求设备用于代理OCSP请求。

除了获得OCSP状态信息，请求设备还获得具有给定(例如，较短)持续时间失效的对称密钥票证。通常，KDC将包括其在票证中所生成的对称密钥。因此，KDC、请求方和响应方全部共享所述对称密钥。除非所有三者都具有等效的密钥保护功能强度特性，否则这三者之一将是密钥的潜在危害的薄弱环节。实施例可以通过以下方式来降低这种威胁：从票证中省略所述对称密钥，反而使用由经签名的迪菲-赫尔曼(Diffie-Hellman)交换所产生的暂时性对称密钥。然而，票证通常提供的其他上下文(例如，失效、领域(realm)、认证等)被提供有用于在所述票证中标识的持续时间上保持暂时性对称密钥的指令。