相交申請(qǐng)的交叉引用本申請(qǐng)要求2014年10月31日提交的u.s.臨時(shí)申請(qǐng)序列號(hào)no.62/073,578的優(yōu)先權(quán)，其全部?jī)?nèi)容通過(guò)引用并入于此。
背景技術(shù)：
：機(jī)器對(duì)機(jī)器(m2m)技術(shù)允許設(shè)備使用有線和無(wú)線通信系統(tǒng)來(lái)彼此更直接地進(jìn)行通信。m2m技術(shù)使得能夠進(jìn)一步實(shí)現(xiàn)物聯(lián)網(wǎng)(iot)，一種唯一可識(shí)別物體的系統(tǒng)以及在諸如互聯(lián)網(wǎng)的網(wǎng)絡(luò)上進(jìn)行通信的這些物體的虛擬表示。iot可以促進(jìn)與甚至平凡的諸如雜貨店中的產(chǎn)品的日常物體的通信，并且從而通過(guò)提高對(duì)這些物體的了解來(lái)減少成本和浪費(fèi)。例如，商店可以通過(guò)能夠與可能在庫(kù)存中或者可能已被出售的物體進(jìn)行通信或從其獲取數(shù)據(jù)來(lái)維持非常精確的庫(kù)存數(shù)據(jù)。如將理解，iot具有包括數(shù)百萬(wàn)個(gè)設(shè)備的潛力。圖1a是圖示出示例性onem2m功能架構(gòu)100的圖。發(fā)展中的onem2m標(biāo)準(zhǔn)定義了如圖1a-b中所圖示的被稱作“公共服務(wù)實(shí)體(cse)”的服務(wù)層。該服務(wù)層的目的在于提供能夠由不同的諸如電子保健、車隊(duì)管理和智能家庭的“垂直”m2m孤島系統(tǒng)和應(yīng)用利用的“水平”服務(wù)。cse支持四個(gè)參考點(diǎn)。mca參考點(diǎn)與應(yīng)用實(shí)體(ae)接口對(duì)接。mcc參考點(diǎn)與同一服務(wù)提供商域內(nèi)的另一cse對(duì)接，且mcc’參考點(diǎn)與不同的服務(wù)提供商域中的另一cse對(duì)接。mcn參考點(diǎn)與底層網(wǎng)絡(luò)服務(wù)實(shí)體(nse)對(duì)接。nse向cse提供底層網(wǎng)絡(luò)服務(wù)，諸如設(shè)備管理、位置服務(wù)和設(shè)備觸發(fā)。cse包含被稱作“公共服務(wù)功能(csf)”的多個(gè)邏輯功能，諸如“發(fā)現(xiàn)”、“數(shù)據(jù)管理&儲(chǔ)存庫(kù)”。圖1b是圖示onem2m架構(gòu)的發(fā)展中的csf的圖。onem2m實(shí)現(xiàn)以下類型的節(jié)點(diǎn)：應(yīng)用服務(wù)節(jié)點(diǎn)(asn)、應(yīng)用專用節(jié)點(diǎn)(adn)、中間節(jié)點(diǎn)(mn)以及基礎(chǔ)設(shè)施節(jié)點(diǎn)(in)。應(yīng)用服務(wù)節(jié)點(diǎn)(asn)是包含一個(gè)cse并且包含至少一個(gè)ae的節(jié)點(diǎn)。物理映射的示例是駐留在m2m設(shè)備中的asn。應(yīng)用專用節(jié)點(diǎn)(adn)是包含至少一個(gè)ae并且不包含cse的節(jié)點(diǎn)。物理映射的示例是駐留在受限m2m設(shè)備中的adn。中間節(jié)點(diǎn)(mn)是包含一個(gè)cse并且包含零個(gè)或更多個(gè)ae的節(jié)點(diǎn)。物理映射的示例是駐留在m2m網(wǎng)關(guān)中的mn?；A(chǔ)設(shè)施節(jié)點(diǎn)(in)是包含一個(gè)cse并且包含零個(gè)或更多個(gè)ae的節(jié)點(diǎn)。物理映射的示例是駐留在m2m服務(wù)基礎(chǔ)設(shè)施中的in。目前，當(dāng)onem2m終端節(jié)點(diǎn)希望以安全方式彼此通信時(shí)，節(jié)點(diǎn)和中間節(jié)點(diǎn)以逐跳方式彼此建立安全關(guān)聯(lián)?？梢越柚鷮?duì)稱密鑰、使用證書(shū)或通過(guò)可以由直接過(guò)程或借助基礎(chǔ)設(shè)施執(zhí)行的引導(dǎo)過(guò)程建立逐跳安全關(guān)聯(lián)。同時(shí)，ts-0003-安全解決方案文檔聲稱：“在服務(wù)層級(jí)，安全關(guān)聯(lián)建立導(dǎo)致tls或dtls會(huì)話，其保護(hù)在相鄰ae/cse之間交換的消息，即，逐跳?？梢蕴峁┬枰Ｗo(hù)其信息交換的隱私免受非信任中間節(jié)點(diǎn)損害的ae以支持它們之間的直接安全關(guān)聯(lián)?！奔夹g(shù)實(shí)現(xiàn)要素：使用各種執(zhí)行具有不同能力(例如處理、存儲(chǔ)器等)并且不具有先驗(yàn)安全關(guān)聯(lián)的實(shí)體之間的端對(duì)端認(rèn)證的機(jī)制。完成安全提供和配置過(guò)程，使得可以將適當(dāng)?shù)陌踩C書(shū)、功能、作用域和參數(shù)提供給實(shí)體。使用將安全證書(shū)分發(fā)給其它實(shí)體，然后其它實(shí)體能使用證書(shū)來(lái)在服務(wù)層處執(zhí)行端對(duì)端認(rèn)證并且使用直接或委托模式的機(jī)制。提供該
發(fā)明內(nèi)容以簡(jiǎn)化的方式介紹在下文的詳細(xì)描述中進(jìn)一步描述原理的選擇。該概述不旨在識(shí)別所要求保護(hù)的主題的關(guān)鍵特征或必要特征，也不旨在用來(lái)限制所要求保護(hù)的主題的范圍。此外，所要求保護(hù)的主題不限于解決在本公開(kāi)的任一部分中提到的任一或所有缺點(diǎn)的局限。附圖說(shuō)明從結(jié)合附圖以示例的方式給出的下述描述可獲得更詳細(xì)的理解，其中：圖1a-b是onem2m服務(wù)層的圖。圖2是圖示端對(duì)端(e2e)安全階段的圖。圖3a-b是圖示實(shí)體a和實(shí)體b之間的示例e2e操作的圖。圖4a-b是圖示onem2m實(shí)施例的圖。圖5a-b是圖示安全證書(shū)請(qǐng)求和提供(scrp)階段的圖。圖6a-b是圖示第三方證書(shū)請(qǐng)求階段的圖。圖7a-b圖示ae1請(qǐng)求對(duì)在cse3上托管的遠(yuǎn)程資源的更新操作的e2e認(rèn)證。圖8a-b是圖示使用委托模式方法的在服務(wù)層處的e2e認(rèn)證的圖。圖9是圖示使用委托模式的在會(huì)話層(dtls/tls)處執(zhí)行的e2e認(rèn)證的圖。圖10是圖示使用直接模式的在會(huì)話層處的e2e認(rèn)證的圖。圖11a-b是圖示組認(rèn)證的圖。圖12是圖示一個(gè)實(shí)施例的界面的圖。圖13是示出針對(duì)端對(duì)端消息認(rèn)證的mac的創(chuàng)建的圖。圖14是圖示一個(gè)實(shí)施例的引導(dǎo)過(guò)程的圖。圖15a-b是圖示與ae的資源表示關(guān)聯(lián)和具有屬性逐跳安全證書(shū)和端對(duì)端證書(shū)的<securityparameters>資源結(jié)構(gòu)的圖。圖16a-c是圖示實(shí)體配置文件、設(shè)備配置文件和安全配置文件的資源表示的圖。圖17是圖示借助對(duì)稱密鑰的端對(duì)端消息認(rèn)證和完整性校驗(yàn)的圖。圖18是圖示借助在作為彼此遠(yuǎn)離的多個(gè)服務(wù)層跳的兩個(gè)實(shí)體ae2和cse1之間的對(duì)稱密鑰機(jī)制的端對(duì)端消息認(rèn)證和完整性校驗(yàn)以及消息機(jī)密性兩者的圖。圖19是圖示借助在通過(guò)信任的或不太可信的或甚至不可信的中間跳來(lái)回移動(dòng)的作為彼此遠(yuǎn)離的多個(gè)服務(wù)層跳的兩個(gè)實(shí)體ae2和cse1之間的對(duì)稱密鑰機(jī)制的端對(duì)端消息認(rèn)證和完整性校驗(yàn)以及消息機(jī)密性兩者的圖。圖20是圖示實(shí)體ae1發(fā)起與cse或服務(wù)提供的注冊(cè)過(guò)程并且包括對(duì)逐跳和/或端對(duì)端安全提供適當(dāng)?shù)陌踩C書(shū)的圖。圖21a是示例機(jī)器對(duì)機(jī)器(m2m)或物聯(lián)網(wǎng)(iot)通信系統(tǒng)的圖，其中，可實(shí)現(xiàn)iot事件管理系統(tǒng)和方法的一個(gè)或多個(gè)公開(kāi)的實(shí)施例。圖21b是在圖21a中所示的m2m/iot通信系統(tǒng)內(nèi)可使用的示例架構(gòu)的系統(tǒng)圖。圖21c是在圖21a中所示的通信系統(tǒng)內(nèi)可使用的示例m2m/iot終端或網(wǎng)關(guān)設(shè)備的系統(tǒng)圖。圖21d是其中可體現(xiàn)圖21a的通信系統(tǒng)的方面的示例計(jì)算系統(tǒng)的框圖。具體實(shí)施方式當(dāng)前onem2m規(guī)范僅提供逐跳認(rèn)證，因此，不能由托管資源的實(shí)體明確地認(rèn)證請(qǐng)求在遠(yuǎn)程托管的服務(wù)/資源上執(zhí)行crud(創(chuàng)建、檢索、更新、刪除)操作的實(shí)體。問(wèn)題包括：●托管資源的實(shí)體不能完全地認(rèn)證正嘗試在資源上執(zhí)行操作的實(shí)體，因?yàn)槟繕?biāo)實(shí)體僅能夠認(rèn)證離它一跳的實(shí)體，因此，不能容易地實(shí)施訪問(wèn)控制?！褚?yàn)橹鹛鴻C(jī)制，任何中間實(shí)體(例如，mn-cse、in-cse)可能能夠代表其它中間實(shí)體模仿消息?！裼捎诖蛩闶褂?d)tls保護(hù)逐跳機(jī)制，在每一跳將必須建立(d)tls會(huì)話，在會(huì)話/服務(wù)層導(dǎo)致每一跳處的完整性保護(hù)和認(rèn)證以及每一跳處的可能加密和解密，因此，還導(dǎo)致另外的操作開(kāi)銷。僅由每一跳中包含的2個(gè)實(shí)體完成安全提供和安全關(guān)聯(lián)建立過(guò)程。圖2是圖示端對(duì)端(e2e)安全階段的圖。執(zhí)行端對(duì)端認(rèn)證過(guò)程可能需要下述步驟：圖2的步驟1示出服務(wù)使能和安全配置過(guò)程。在該步驟，實(shí)體a202與服務(wù)使能功能(sef)204建立關(guān)聯(lián)。建立的關(guān)聯(lián)可以是帶內(nèi)或帶外，還可以包含建立關(guān)聯(lián)之前的相互認(rèn)證過(guò)程。作為關(guān)聯(lián)建立過(guò)程的一部分，sef204識(shí)別由實(shí)體a202202請(qǐng)求或提供的服務(wù)的性質(zhì)。同時(shí)，還由sef204識(shí)別由實(shí)體a202要求或請(qǐng)求的安全需求和特征。簡(jiǎn)單地說(shuō)，實(shí)體a202的安全配置文件(sp)以及(可選地)隱私配置文件(pp)從實(shí)體a202獲得，或由sef確定/推斷和創(chuàng)建或從第三實(shí)體獲得?；诓渴鹎樾危恳粚?shí)體可以具有不同的sp(其可以由唯一sp-id識(shí)別)以及(可選地)由pp-id識(shí)別的關(guān)聯(lián)pp。圖2的步驟2示出安全證書(shū)提供過(guò)程?；谧R(shí)別的sp和相應(yīng)的安全需求和特征，為實(shí)體a202提供適當(dāng)?shù)陌踩C書(shū)。發(fā)布給實(shí)體a202的安全證書(shū)由它使用來(lái)執(zhí)行想與其建立安全關(guān)聯(lián)的實(shí)體的認(rèn)證。此外，創(chuàng)建可以被提供有實(shí)體的e2e證書(shū)的授權(quán)實(shí)體的列表。在某些情形下，在安全證書(shū)提供過(guò)程期間，僅將生成安全證書(shū)所需的播種(seeding)材料提供給實(shí)體a202。播種材料還可以與證書(shū)引導(dǎo)過(guò)程一起使用，以便生成適當(dāng)?shù)亩藢?duì)端安全(端對(duì)端消息認(rèn)證、端對(duì)端消息機(jī)密性)證書(shū)。引導(dǎo)過(guò)程可以基于存在于下層(例如網(wǎng)絡(luò)層/mac層)處的安全關(guān)聯(lián)或基于與高層(例如應(yīng)用層或服務(wù)層)的現(xiàn)有安全關(guān)聯(lián)。在不存在現(xiàn)有的安全關(guān)聯(lián)的一些情況下，那么必須在生成端對(duì)端安全證書(shū)前執(zhí)行新鮮(fresh)引導(dǎo)過(guò)程(例如基于gba、mef)。圖2的步驟3示出第三方證書(shū)請(qǐng)求過(guò)程。還可以為另一實(shí)體n提供由實(shí)體a202建立的安全證書(shū)，以便可以在實(shí)體n208和實(shí)體a202之間建立安全關(guān)聯(lián)，使得實(shí)體n208能訪問(wèn)由實(shí)體a202提供的服務(wù)/資源，且反之亦然。僅對(duì)授權(quán)被提供證書(shū)的那些實(shí)體提供證書(shū)。圖2的步驟4示出端對(duì)端認(rèn)證過(guò)程：在該步驟中，實(shí)體a202和實(shí)體n208可以在直接兩個(gè)實(shí)體之間或(可選地)借助另一個(gè)實(shí)體(例如sef)實(shí)現(xiàn)，來(lái)執(zhí)行端對(duì)端認(rèn)證過(guò)程。理解到執(zhí)行圖2所示的步驟的實(shí)體是可以以在諸如圖21c或圖21d所示的網(wǎng)絡(luò)節(jié)點(diǎn)或計(jì)算機(jī)系統(tǒng)的存儲(chǔ)器中存儲(chǔ)并且在其處理器上執(zhí)行的軟件(例如計(jì)算機(jī)可執(zhí)行指令)的形式實(shí)現(xiàn)的邏輯實(shí)體。即，圖2所示的方法可以以在網(wǎng)絡(luò)節(jié)點(diǎn)(諸如圖21c或圖21d所示的節(jié)點(diǎn)或計(jì)算機(jī)系統(tǒng))的存儲(chǔ)器中存儲(chǔ)的軟件(即，計(jì)算機(jī)可執(zhí)行指令)的形式實(shí)現(xiàn)，該計(jì)算機(jī)可執(zhí)行指令當(dāng)由節(jié)點(diǎn)的處理器執(zhí)行時(shí)，執(zhí)行圖2所示的步驟。還理解到可以通過(guò)在節(jié)點(diǎn)的處理器及其執(zhí)行的計(jì)算機(jī)可執(zhí)行指令(例如軟件)的控制下，由節(jié)點(diǎn)的通信電路實(shí)現(xiàn)圖2所示的任何發(fā)送和接收步驟。服務(wù)使能和安全配置(sesc)過(guò)程在scsc步驟期間，sef204確定將適合于實(shí)體a的工作的適當(dāng)?shù)陌踩枨蠛吞卣??？梢杂蓅ef204基于由實(shí)體提供的sp和pp確定安全需求和特征?？梢允褂靡恍┩茢噙^(guò)程創(chuàng)建或由實(shí)體明確地提供或由建立該系統(tǒng)的個(gè)人(例如管理員)配置sp以及(可選地)pp。表1：實(shí)體a的示例安全配置文件(sp)表1中描繪示例sp，其可以作為sesc過(guò)程的一部分由實(shí)體提供給sef204。替選地，可以基于由實(shí)體提供的服務(wù)類型，由sef推斷sp。在其它情況下，sp可以由特定實(shí)體的管理員配置，其然后由sef從第三方(諸如服務(wù)/網(wǎng)絡(luò)提供商)的服務(wù)器提取。設(shè)備能力值處理能力900mhzram500kb閃存1mb電池5.0微-w/mhz無(wú)線能力藍(lán)牙，wifi睡眠模式睡眠/深度睡眠安全環(huán)境是信任平臺(tái)模塊(tpm)否os/版本安卓/kitkat表2：實(shí)體a的示例設(shè)備配置文件(dp)實(shí)體a202可以提供其上托管實(shí)體的設(shè)備配置文件(dp)。表2描繪由實(shí)體202提供給sef204的、或(如果在與實(shí)體202相同的設(shè)備上實(shí)現(xiàn)sef204)由sef通過(guò)查詢?cè)O(shè)備的操作系統(tǒng)獲得的示例dp。替選地，sef204可以從第三實(shí)體獲得dp。實(shí)體配置文件值服務(wù)類健康護(hù)理服務(wù)類型實(shí)時(shí)影響關(guān)鍵(生命危險(xiǎn))安全級(jí)高隱私級(jí)高表3：實(shí)體a的示例實(shí)體配置文件(ep)實(shí)體202還可以另外將實(shí)體配置文件(ep)或應(yīng)用配置文件(ap)提供給sef204。在該文檔的剩余部分，可以可互換地使用術(shù)語(yǔ)ep和ap。在表3中描繪示例ep/ap。替選地，sef204可以推斷ep或從第三實(shí)體獲得ep。實(shí)體是屬于“健康護(hù)理”的應(yīng)用，提供“實(shí)時(shí)”服務(wù)和具有“關(guān)鍵”影響，要求“高”安全性和“高”隱私。在某些情況下，sef可以僅使用ep和dp以直接確定sp或安全需求。實(shí)體配置文件值服務(wù)類智能家居服務(wù)類型近實(shí)時(shí)影響低安全級(jí)中隱私級(jí)低表4：實(shí)體b的示例ep表4描繪另一實(shí)體(實(shí)體b)的示例ap或ep。該實(shí)體是屬于智能家居的應(yīng)用，具有如果該系統(tǒng)將要失敗則被認(rèn)為“低”的影響，并且具有“中”安全配置文件和“低”隱私影響。sef204可以使用sp、dp和ep，以便確定適合于實(shí)體202的安全需求。可以通過(guò)使用在sp和/或dp和/或ep內(nèi)提供的信息的組合，執(zhí)行確定安全需求的推斷過(guò)程。當(dāng)任一配置文件不存在時(shí)，那么sef204使用基于其有權(quán)訪問(wèn)的配置文件的最佳判斷。在sef204可能無(wú)權(quán)訪問(wèn)配置文件的情況下，其可以從第三實(shí)體獲得配置文件。為了sef204確定適當(dāng)?shù)陌踩枨笄乙虼舜_定安全特征，最低程度上可以要求對(duì)ep和dp的訪問(wèn)。然后，sef204可以使用ep和dp來(lái)創(chuàng)建sp。如果實(shí)體202能夠提供sp或sef204能夠獲得，那么sef204將能夠創(chuàng)建更細(xì)粒度的安全需求列表。對(duì)sef204來(lái)說(shuō)，有權(quán)訪問(wèn)實(shí)體a202的sp、dp和ep以便其能確定非常詳細(xì)的安全需求是理想的?；谟蓪?shí)體提供的上述信息，可以確定適當(dāng)?shù)陌踩枨蟆ef204可以基于由sp高亮的所需的安全、由dp提供的設(shè)備能力和由實(shí)體借助ep提供的服務(wù)類型的組合，選擇適當(dāng)?shù)陌踩枨?。?：由用于實(shí)體a的sef推斷的安全需求類似地，在表6中示出由實(shí)體b的sef推斷的安全需求。表6：由用于實(shí)體b的sef推斷的安全需求在表7中示出詳細(xì)安全特征。表7：實(shí)體b的詳細(xì)安全特征因此，可以適當(dāng)?shù)剡x擇僅提供要求“低”安全性的服務(wù)，然后安全功能、選擇的算法和密鑰大小的低功率、低存儲(chǔ)器的設(shè)備。例如，選擇的消息認(rèn)證機(jī)制可以是具有160位密鑰的hmac-sha1，而將為具有更高處理和存儲(chǔ)器并且要求更高安全性的實(shí)體提供可以與hmac-sha2機(jī)制一起使用的256位密鑰。按順序或優(yōu)先級(jí)由sef推斷或由實(shí)體a202提供的安全需求的列表：●消息認(rèn)證和/或信令/控制消息的完整性○支持的算法：hmac-sha2(優(yōu)選)○密鑰長(zhǎng)度：256/512/1024…●數(shù)據(jù)機(jī)密性○支持的算法：aes、des….○密鑰長(zhǎng)度：128/256/512…●數(shù)據(jù)完整性：必需●認(rèn)證機(jī)制：○對(duì)稱密鑰和/或○證書(shū)和/或○引導(dǎo)過(guò)程●支持未認(rèn)證用戶的能力●支持協(xié)議：eap/ipsec/(d)tls/jwt●認(rèn)證：直接/委托/部分委托法在sesc過(guò)程結(jié)束時(shí)，sef204具有實(shí)體的完整的配置文件和能力。具有實(shí)體的能力的知識(shí)，幫助sef204確定必須實(shí)施的適當(dāng)?shù)陌踩胧┖吞卣饕员惚Ｗo(hù)實(shí)體的工作、由實(shí)體提供的數(shù)據(jù)和服務(wù)和與實(shí)體的通信。sef204維護(hù)實(shí)體的能力表。在sef處維護(hù)的示例表如下：表8：每一實(shí)體支持的安全特征和功能安全證書(shū)提供(scp)過(guò)程scp過(guò)程可以包含安全證書(shū)請(qǐng)求過(guò)程和安全證書(shū)提供過(guò)程的步驟?？梢杂蓪?shí)體或由sef204代表實(shí)體發(fā)起安全證書(shū)請(qǐng)求過(guò)程過(guò)程?；谟蓪?shí)體提供的能力和/或服務(wù)類型，向優(yōu)選在受信第三方(ttp)上托管的密鑰推導(dǎo)功能(kdf)206請(qǐng)求適當(dāng)?shù)陌踩C書(shū)，以及另外地其它的配置參數(shù)。實(shí)體和ttp之間的認(rèn)證是可選的。sef204可以執(zhí)行kdf206的角色，然而，從可擴(kuò)展觀點(diǎn)看，可以由不同的實(shí)體執(zhí)行ttp/kdf206。如果sef204正代表實(shí)體a202請(qǐng)求證書(shū)，sef204可以與ttp/kdf206相互認(rèn)證。在安全證書(shū)提供過(guò)程中，kdf206生成密鑰，并且描述如何使用密鑰和什么目的(mac，加密，在哪一層將應(yīng)用保護(hù)以及將包括的相關(guān)參數(shù)等)、如何使用密鑰的作用域和其被用于的上下文，以及(可選地)可以生成的新的id以及將使用的推薦算法。ttp/kdf206維護(hù)可以類似如下所示的表：表9：與每一實(shí)體的安全關(guān)聯(lián)和證書(shū)關(guān)聯(lián)上下文id、關(guān)聯(lián)密鑰和其它關(guān)聯(lián)參數(shù)和作用域被提供給請(qǐng)求實(shí)體或sef204。關(guān)聯(lián)參數(shù)可以指示可以被包括為安全過(guò)程(例如認(rèn)證過(guò)程)的一部分的安全信息。建立的每一安全上下文具有有效生命期，在此之后可以更新上下文或創(chuàng)建新的上下文。上下文id可以被用來(lái)識(shí)別證書(shū)(密鑰、算法等)以及關(guān)聯(lián)作用域和參數(shù)。第三方證書(shū)請(qǐng)求過(guò)程在第三方證書(shū)請(qǐng)求步驟中，需要與另一實(shí)體(諸如實(shí)體a202)執(zhí)行端對(duì)端認(rèn)證的實(shí)體n208請(qǐng)求密鑰材料、與密鑰相關(guān)聯(lián)的作用域、可以用來(lái)證實(shí)消息認(rèn)證的參數(shù)和其它信息，使得可以創(chuàng)建e2e安全關(guān)聯(lián)?？蛇x地，可以使用ttp/kdf206認(rèn)證請(qǐng)求實(shí)體，并且還確定是否授權(quán)向?qū)嶓w提供e2e密鑰。此后，ttp和/或kdf206將被稱為ttp。可以為實(shí)體提供上下文id、uri、端口#、關(guān)聯(lián)密鑰、作用域和關(guān)聯(lián)參數(shù)?？梢圆眉羯傻拿荑€以進(jìn)一步適合兩個(gè)終端實(shí)體?？蛇x地，可以發(fā)生密鑰生成過(guò)程的另一級(jí)。在實(shí)體n，可以使用想創(chuàng)建和維護(hù)安全關(guān)聯(lián)的實(shí)體維護(hù)下述參數(shù)：表10：將與每一實(shí)體一起使用的認(rèn)證機(jī)制，作用域和參數(shù)在上表中，能觀察到為了實(shí)體n208與實(shí)體a202執(zhí)行e2e認(rèn)證，可以提供上下文id(實(shí)體a-上下文1)，其可以是可選參數(shù)。上下文id：可以被用來(lái)識(shí)別將用于建立e2e認(rèn)證的安全特征/參數(shù)。上下文id被用來(lái)識(shí)別e2e安全證書(shū)以及關(guān)聯(lián)作用域和參數(shù)?？梢噪S機(jī)或使用加密過(guò)程來(lái)生成上下文id。上下文id可以被用作實(shí)體或事務(wù)的臨時(shí)標(biāo)識(shí)。資源id：其是實(shí)體的標(biāo)識(shí)(例如實(shí)體的uri或域名，ip@等)，實(shí)體n想要通過(guò)該標(biāo)識(shí)創(chuàng)建ee認(rèn)證過(guò)程和關(guān)聯(lián)。端口#：在會(huì)話層e2e認(rèn)證的情況下，可以可選地提供端口#。協(xié)議：在服務(wù)層e2e的情況下，協(xié)議僅指示將使用的消息認(rèn)證算法(例如hmac-sha2)，而在會(huì)話層的情況下，協(xié)議指示協(xié)議(可以是dtls或tls或任一其它協(xié)議)。這不限于僅是會(huì)話或服務(wù)層并且可以包含與應(yīng)用層(例如安全rtp)相關(guān)聯(lián)的協(xié)議或其它低層協(xié)議，諸如ipsec、eap等。參數(shù)：指示可以被用來(lái)提供密鑰所有/消息認(rèn)證的證據(jù)的值(例如nonce、時(shí)間、隨機(jī)質(zhì)詢等)。認(rèn)證類型：確定在其上可以執(zhí)行認(rèn)證的層。這些包括可以在服務(wù)、會(huì)話、網(wǎng)絡(luò)、mac層處執(zhí)行的認(rèn)證。本公開(kāi)對(duì)服務(wù)和會(huì)話層處的認(rèn)證機(jī)制感興趣。與實(shí)體a202相關(guān)聯(lián)的端對(duì)端證書(shū)可以由ttp被提供給第三方(稱為實(shí)體n)，或所需密鑰材料被提供給實(shí)體n208，以便實(shí)體n208能夠生成被用來(lái)校驗(yàn)或提供實(shí)體a202和實(shí)體n208之間的端對(duì)端安全保護(hù)(即，端對(duì)端消息認(rèn)證、端對(duì)端消息機(jī)密性、端對(duì)端數(shù)據(jù)機(jī)密性和端對(duì)端數(shù)據(jù)完整性)的適當(dāng)安全證書(shū)。在表引用中提供可以生成的證書(shū)的類型的列表：生成密鑰材料采用kdf206的ttp可以執(zhí)行實(shí)體n208的認(rèn)證，在此之后且如果已經(jīng)授權(quán)實(shí)體n，可以為實(shí)體n提供適當(dāng)?shù)膃ntitya_entityn(實(shí)體a_實(shí)體n)特定的端對(duì)端密鑰。將由實(shí)體a202預(yù)先提供的預(yù)配置的entitya_entityn特定密鑰提供給實(shí)體n208。如果已經(jīng)提供了ke2e_entitya_master，那么ttp生成適當(dāng)?shù)膋e2e_entitya_entityn特定密鑰并且將它們提供給實(shí)體n208。替選地，ttp僅將ke2e_entitya_entityn密鑰提供給實(shí)體n208以及向?qū)嶓wn208提供必要的播種材料，使得實(shí)體n208能夠生成用于實(shí)體n208的安全保護(hù)所需的各種密鑰。生成的各種密鑰可以是在本文獻(xiàn)內(nèi)被稱為e2e_mac_key的用于消息認(rèn)證的ke2e_entitya_entityn_msg_auth、用于消息機(jī)密性的ke2e_entitya_entityn_msg_conf、用于提供數(shù)據(jù)機(jī)密性的ke2e_entitya_entityn_data_conf和用于提供端對(duì)端數(shù)據(jù)完整性的ke2e_entitya_entityn_data_auth。注意：在某些圖中，端對(duì)端ke2e_entitya_entityn_msg_auth和ke2e_entitya_entityn_msg_auth通常被稱為kpsae2e?；谟蓪?shí)體a202和ttp執(zhí)行的認(rèn)證過(guò)程，可以由實(shí)體a202和ttp生成ke2e_entitya_master。ke2e_entitya_master可以是在實(shí)體a202和ttp之間執(zhí)行的引導(dǎo)過(guò)程的結(jié)果。此外，ke2e_entitya_master可以是綁定到認(rèn)證的信道和用于在實(shí)體a202和ttp之間執(zhí)行認(rèn)證(例如tls或dtls或gba)的認(rèn)證信道。引導(dǎo)過(guò)程：可以使用諸如gba的引導(dǎo)機(jī)制以推導(dǎo)出可以與每一實(shí)體對(duì)相關(guān)聯(lián)的ke2e密鑰?？梢允褂胓ba通過(guò)ttp認(rèn)證從e2e觀點(diǎn)看想要認(rèn)證實(shí)體的實(shí)體(例如實(shí)體a)。作為使用gba過(guò)程認(rèn)證實(shí)體a的結(jié)果生成的主(master)e2e密鑰可以是下述形式：ke2e_entitya_master:148735880652c65238b432a....(256位)基于實(shí)體a202和ttp之間的成功相互認(rèn)證，由實(shí)體a202和ttp引導(dǎo)生成ke2e_entitya_master。將由ttp生成和提供的實(shí)體特定密鑰或播種材料提供給每一終端實(shí)體，使得能生成實(shí)體特定的端對(duì)端密鑰。生成端對(duì)端密鑰的示例機(jī)制如下所示：ke2e_entitya_entityb＝hmac-sha256(ke2e_entitya_master,"引導(dǎo)過(guò)程"||entity_b-id||random1)ke2e_entitya_entityc＝hmac-sha256(ke2e_entitya_master,"引導(dǎo)過(guò)程"||entity_c-id||random2)ke2e_entitya_entityn＝hmac-sha256(ke2e_entitya_master,"引導(dǎo)過(guò)程"||entity_n-id||random3)可以由實(shí)體a和實(shí)體n使用密鑰擴(kuò)展機(jī)制以便生成分別用于對(duì)實(shí)體a和實(shí)體n之間的消息提供端對(duì)端消息可靠性和端對(duì)端消息機(jī)密性的關(guān)聯(lián)ke2e_entitya_entityn_msg_auth和ke2e_entitya_entityn_msg_conf。提供用于端對(duì)端密鑰的密鑰擴(kuò)展的示例：ke2e_entitya_entityn_msg_auth＝hmac-hash(ke2e_entitya_entityn_master,t(0)|"e2e消息認(rèn)證密鑰"|0x01)ke2e_entitya_entityn_msg_conf＝hmac-hash(ke2e_entitya_entityn_master,t(l)|"e2e消息機(jī)密性密鑰"|0x02)如果使用基于單個(gè)密鑰的aead加密過(guò)程，那么僅生成上述密鑰中的一個(gè)。服務(wù)層：服務(wù)層處的e2e認(rèn)證，其中，仍然可以使用逐跳保護(hù)機(jī)制，但此外，使用e2e消息發(fā)端認(rèn)證。此外，可以在服務(wù)層處保護(hù)被視為具有安全重要性的信息和參數(shù)?？梢越柚鷍sonweb簽名(jws)提供保護(hù)。中間節(jié)點(diǎn)僅可以處理元數(shù)據(jù)?？梢杂蒭2ejsonweb簽名基于用作消息認(rèn)證碼(mac)密鑰的e2e密鑰來(lái)保護(hù)元數(shù)據(jù)完整性，并且使用json格式(諸如jsonweb簽名)來(lái)表示元數(shù)據(jù)。使用加密算法(諸如認(rèn)證加密)和算法的關(guān)聯(lián)數(shù)據(jù)(aead)類(諸如aes-ccm和aes-gcm)能提供端對(duì)端可靠性和消息機(jī)密性兩者。識(shí)別關(guān)聯(lián)數(shù)據(jù)被用于提供和校驗(yàn)消息可靠性。關(guān)聯(lián)數(shù)據(jù)可以由消息報(bào)頭組成，在要求消息機(jī)密性的情況下不加密消息報(bào)頭。替選地，可以使用未由任何中間節(jié)點(diǎn)變更的整個(gè)消息用來(lái)創(chuàng)建消息認(rèn)證碼。如前所述，消息報(bào)頭的子集(稱為消息的元數(shù)據(jù))可以被用作aead算法內(nèi)的關(guān)聯(lián)數(shù)據(jù)，然后，其被用于計(jì)算mac。還可以使用其它手段生成mac并且使用專用手段表示mac。與用來(lái)生成mac的機(jī)制和消息收發(fā)內(nèi)的mac的表示無(wú)關(guān)，通過(guò)利用與時(shí)間組件相關(guān)聯(lián)的nonce或創(chuàng)建消息的時(shí)間與nonce(可能是時(shí)間相關(guān)的非常大的隨機(jī)值)兩者的組合，可以防止未由中間節(jié)點(diǎn)變更或移除的整個(gè)消息遭受重放攻擊。替選地，在簽名創(chuàng)建過(guò)程期間，或代替時(shí)間與nonce一起使用，可以使用每一消息的每次發(fā)送消息時(shí)遞增的序列號(hào)。替選地，與時(shí)間和nonce一起包括消息的序列號(hào)以用于重放保護(hù)。例如，可以如下推導(dǎo)簽名或mac或認(rèn)證標(biāo)簽(auth_tag)：mac＝hmac-sha-256(ke2e_entitya_entityn_msg_auth,"e2e_servicelayermac"||原始數(shù)據(jù)||時(shí)間||nonce)或：mac＝hmac-sha-256(ke2e_entitya_entityn_msg_auth,"e2e_servicelayermac"||原始數(shù)據(jù)||消息序列號(hào)||nonce)代替僅“原始數(shù)據(jù)”，可以使用完整消息或與消息相關(guān)聯(lián)的元數(shù)據(jù)。ke2e_entitya_entityn_msg_auth：提供給請(qǐng)求e2e認(rèn)證的實(shí)體的密鑰。在此隱含實(shí)體a和實(shí)體n之間的端對(duì)端消息認(rèn)證。通常，對(duì)稱密鑰由兩個(gè)實(shí)體(例如實(shí)體a202和實(shí)體n208)共享。在公開(kāi)密鑰機(jī)制的情況下，ke2e_entitya_entityn_msg_auth可以是用在簽名消息(僅對(duì)簽名實(shí)體已知)中并且由其它實(shí)體使用包含公開(kāi)密鑰的證書(shū)校驗(yàn)的私密密鑰(也稱為e2e_ds_key：端對(duì)端數(shù)字簽名密鑰)。在無(wú)證書(shū)公開(kāi)密鑰機(jī)制的情況下，必須為終端實(shí)體提供向其執(zhí)行e2e認(rèn)證的實(shí)體的公開(kāi)密鑰。在替選實(shí)施例中，可以使用公開(kāi)密鑰機(jī)制來(lái)推導(dǎo)屬性上對(duì)稱并且由實(shí)體共享的ke2e_entitya_entityn_msg_auth。原始數(shù)據(jù)：該數(shù)據(jù)包含有關(guān)原始請(qǐng)求的信息，該數(shù)據(jù)可以被視為實(shí)際消息的元數(shù)據(jù)，也可以包含有關(guān)實(shí)際消息的發(fā)起方的信息。假定“原始數(shù)據(jù)”未由任何中間節(jié)點(diǎn)變更。原始數(shù)據(jù)可以包含在消息報(bào)頭內(nèi)包含的信息的子集，即，發(fā)起方id、目的地id、資源id、操作類型和會(huì)話id。時(shí)間：可以是可選的，并且提供何時(shí)創(chuàng)建原始消息的時(shí)間戳。nonce：與時(shí)間分量相關(guān)聯(lián)以及與會(huì)話相關(guān)聯(lián)并且防止重放攻擊的隨機(jī)值。序列號(hào)(seq#)：這是識(shí)別消息的唯一數(shù)。在一些情況下，seq#可以與會(huì)話id相同。會(huì)話層：使用借助dtls或tls的e2e認(rèn)證。這將旁路逐跳安全機(jī)制。將相互認(rèn)證終端實(shí)體，并且建立安全關(guān)聯(lián)。這可以在真e2e方式(直接)或委托方式中，在實(shí)體之間完成。端對(duì)端認(rèn)證過(guò)程可以以真實(shí)e2e方式或以委托或部分委托方式執(zhí)行e2e認(rèn)證過(guò)程?；谟蓪?shí)體提供或選擇的作用域，可以使用下述執(zhí)行e2e認(rèn)證過(guò)程：對(duì)稱密鑰：如前所述，可以為請(qǐng)求e2e認(rèn)證證書(shū)的實(shí)體提供將被用于執(zhí)行e2e認(rèn)證的對(duì)稱密鑰、作用域和參數(shù)。在直接或委托情況下，對(duì)稱密鑰可以被用于服務(wù)層e2e或會(huì)話層e2e認(rèn)證。一旦提供作用域和關(guān)聯(lián)參數(shù)，那么實(shí)體可以相應(yīng)地使用密鑰?？梢远ㄆ诘刂匦律蒭2e認(rèn)證密鑰(ke2e_entitya_entityn_msg_auth)。類似地，基于與每一證書(shū)相關(guān)聯(lián)的生命期，可以定期地生成ke2e_entitya_master?；谧C書(shū)/公開(kāi)密鑰：提供的證書(shū)可以基于以證書(shū)的形式表示的公開(kāi)密鑰或僅公開(kāi)/私密密鑰、基于標(biāo)識(shí)的加密或基于公開(kāi)密鑰機(jī)制的其它機(jī)制。可以使用用于認(rèn)證的證書(shū)，使用認(rèn)證diffie-hellman過(guò)程，在實(shí)體之間生成用于會(huì)話層認(rèn)證的e2e認(rèn)證密鑰(ke2e)。委托安全機(jī)制vs直接安全機(jī)制如果實(shí)體要求“高完整性”或“更高保證度”以用于認(rèn)證，那么處理需求也成比例地更高，且如果實(shí)體的能力(例如存儲(chǔ)器/處理)有限，實(shí)體可以選擇以委托方式執(zhí)行安全功能。實(shí)體可以將認(rèn)證和其它安全功能委托給受信第三方(例如sef204)來(lái)執(zhí)行更復(fù)雜的安全功能(例如，e2e認(rèn)證、安全存儲(chǔ)、正向加密)。執(zhí)行委托認(rèn)證的其它優(yōu)點(diǎn)是委托代理(例如sef)能夠?qū)⒍鄠€(gè)e2e認(rèn)證組合在一起。如果實(shí)體能夠獨(dú)自執(zhí)行e2e認(rèn)證和其它安全操作，實(shí)體可以選擇獨(dú)自執(zhí)行直接認(rèn)證而無(wú)需委托。sef204可以基于設(shè)備能力或服務(wù)需求(例如減少信令和其它操作開(kāi)銷)，自行選擇委托的選項(xiàng)。當(dāng)委托安全功能部分時(shí)，使用混合方法，而是直接執(zhí)行其它安全功能。圖3a-b是圖示實(shí)體a202和實(shí)體b302之間的示例e2e操作的圖：在圖3a-b的步驟1中，實(shí)體a202和sef1204(例如具有預(yù)先提供的相互信任的第一跳實(shí)體)建立通過(guò)使能的安全通信認(rèn)證的(d)tls隧道。使用該安全隧道，發(fā)生服務(wù)使能安全配置(sesc)過(guò)程，其中，創(chuàng)建實(shí)體a的配置文件，且確定安全需求。在圖3a-b的步驟2中，實(shí)體a202可以可選地請(qǐng)求在其自身和實(shí)體中的授權(quán)列表(例如實(shí)體b302、實(shí)體c…實(shí)體n)之間建立e2e密鑰。該請(qǐng)求由實(shí)體a202發(fā)送到sef1204，以及sef1204可以將該請(qǐng)求發(fā)送到ttp/kdf206。替選地，sef1204可以請(qǐng)求使用ttp206創(chuàng)建e2e密鑰，無(wú)需來(lái)自實(shí)體a的明確消息。在那種情況下，sef1204將確定將被提供有e2e密鑰的實(shí)體的授權(quán)列表。替選地，如果在實(shí)體a202和ttp206之間存在信任關(guān)系，實(shí)體a202可以將密鑰請(qǐng)求和實(shí)體的授權(quán)列表直接發(fā)送到ttp/kdf206。為實(shí)體a202提供ttp證書(shū)或預(yù)先提供ttp和實(shí)體a202之間的共享密鑰是可能的。應(yīng)注意到ttp206必須具有證書(shū)以便直接認(rèn)證實(shí)體a202，對(duì)那一情形，不必依賴sef1204來(lái)工作。在圖3a-b的步驟3中，基于實(shí)體a202的能力、作用域，ttp生成ke2e_entitya_master并且與實(shí)體a202相關(guān)聯(lián)。如果從sef1發(fā)起證書(shū)請(qǐng)求，那么生成的主密鑰可以是ke2e_sef1_master并且與sef1204相關(guān)聯(lián)。還生成有關(guān)如何使用密鑰的另外的參數(shù)以及識(shí)別密鑰和密鑰用途的上下文id?？蛇x地，ttp可以以下述方式使用主密鑰來(lái)生成作為e2e實(shí)體特定的密鑰的e2e對(duì)稱密鑰。a.例如：ke2e_entitiya_entityb_master＝(ke2e_entitya_master,"實(shí)體bid||參數(shù)")其中，實(shí)體bid是由實(shí)體a202或sef1提供的實(shí)體b的標(biāo)識(shí)(例如實(shí)體b的uri)ke2e_entitya_entityb_master：是被用來(lái)向?qū)嶓wb認(rèn)證實(shí)體a202的e2e對(duì)稱密鑰，或反之亦然。在圖3a-b的步驟4中，ttp將包括實(shí)體a的e2e主密鑰以及(可選地)e2e實(shí)體特定的對(duì)稱密鑰的列表的密鑰提供給sef1204。sef1204可以將密鑰轉(zhuǎn)發(fā)到實(shí)體a202。替選地，如果sef1204進(jìn)行請(qǐng)求，那么密鑰被存儲(chǔ)在sef1204處并且不轉(zhuǎn)發(fā)到實(shí)體a202。這適用于當(dāng)sef1204代表實(shí)體a202執(zhí)行委托認(rèn)證時(shí)。在圖3a-b的步驟5中，實(shí)體(例如實(shí)體b302)與sef2304執(zhí)行sesc過(guò)程。在一些情況下，sef1204和sef2304可以是相同的，且如果如此，可以省略e2e認(rèn)證過(guò)程或簡(jiǎn)化密鑰請(qǐng)求，而不必包含ttp。在圖3a-b的步驟6中，實(shí)體b302請(qǐng)求ttp以請(qǐng)求將被用于與實(shí)體a202通信的e2e對(duì)稱密鑰?？蛇x地，可以直接通過(guò)使用ttp認(rèn)證實(shí)體b302，或替選地，ttp基于(d)tls連接信任sef2304。在替選實(shí)施例中，sef2304可以代表實(shí)體b向ttp請(qǐng)求。在另一實(shí)施例中，sef2304可以請(qǐng)求對(duì)自身特定的e2e實(shí)體，在這種情況下，可以由ttp使用更動(dòng)態(tài)地密鑰生成機(jī)制。在圖3a-b的步驟7中，ttp確定已經(jīng)由實(shí)體a202授權(quán)實(shí)體b302以提供實(shí)體a的e2e密鑰。然后，ttp206將e2e實(shí)體特定的密鑰(ke2e_entitya_entityb_master)轉(zhuǎn)發(fā)到sef2304，sef2304將其轉(zhuǎn)發(fā)到實(shí)體b302。如果sef2304提供委托認(rèn)證，替選地，sef2304可以存儲(chǔ)密鑰。對(duì)委托認(rèn)證，由ttp提供的密鑰可以是：ke2e_entitya_sef2_master。實(shí)體a202未授權(quán)sef2304，然而，ttp可以生成sef2特定的密鑰并且提供參數(shù)內(nèi)的適當(dāng)信息以指示其剛剛正使用委托認(rèn)證。在這種情況下，實(shí)體a202將使用提供給它的主密鑰以及提供的參數(shù)，推導(dǎo)sef2特定的密鑰。在圖3a-b的步驟8中，可以基于在密鑰提供過(guò)程期間提供的參數(shù)和e2e實(shí)體特定的密鑰，使用mac或jsonweb簽名(jws)或能夠證明消息發(fā)起方認(rèn)證的任何其它手段，保護(hù)在會(huì)話層上發(fā)生的任何消息收發(fā)和執(zhí)行的相應(yīng)操作(例如創(chuàng)建、檢索、更新或刪除)。應(yīng)理解到執(zhí)行在圖3a-b的步驟中所示的步驟的實(shí)體是可以以在諸如圖21c或圖21d所示的網(wǎng)絡(luò)節(jié)點(diǎn)或計(jì)算機(jī)系統(tǒng)的存儲(chǔ)器中存儲(chǔ)并且在其處理器上執(zhí)行的軟件(例如計(jì)算機(jī)可執(zhí)行指令)的形式實(shí)現(xiàn)的邏輯實(shí)體。即，圖3a-b所示的方法可以以在網(wǎng)絡(luò)節(jié)點(diǎn)(諸如圖21c或圖21d所示的節(jié)點(diǎn)或計(jì)算機(jī)系統(tǒng))的存儲(chǔ)器中存儲(chǔ)的軟件(即，計(jì)算機(jī)可執(zhí)行指令)的形式實(shí)現(xiàn)，該計(jì)算機(jī)可執(zhí)行指令當(dāng)由節(jié)點(diǎn)的處理器執(zhí)行時(shí)，執(zhí)行圖3a-b所示的步驟。還理解到可以在節(jié)點(diǎn)的處理器和其執(zhí)行的計(jì)算機(jī)可執(zhí)行指令(例如軟件)的控制下，由節(jié)點(diǎn)的通信電路實(shí)現(xiàn)圖3a-b所示的任何發(fā)送和接收步驟。實(shí)施例本公開(kāi)中所述的機(jī)制適用于包含認(rèn)證的環(huán)境，并且特別地，包含被認(rèn)為受限的實(shí)體(例如iot/m2m設(shè)備)的e2e認(rèn)證的環(huán)境。然而，其不限于僅iot設(shè)備，并且可以用于其中受信實(shí)體可以確定適當(dāng)?shù)陌踩卣?、功能和證書(shū)以除了將受限設(shè)備從執(zhí)行復(fù)雜安全功能中釋放之外，還整體上減輕包含在系統(tǒng)中的消息收發(fā)開(kāi)銷的情況。下述子章節(jié)中所述的實(shí)施例涉及onem2m規(guī)范。在此，提議將sef204托管在托管cse處。在一些情況下，cse還可以提供ttp/kdf206支持，但從可擴(kuò)展性觀點(diǎn)看，ttp/kdf206可以托管在m2m服務(wù)提供商cse處或作為具有如在本公開(kāi)中所述的附加功能性的證書(shū)機(jī)構(gòu)。圖4a-b是圖示onem2m實(shí)施例的圖。onem2m定義由onem2m服務(wù)層支持的能力，其被稱為能力服務(wù)功能(csf404)。onem2m服務(wù)層被稱為能力服務(wù)實(shí)體(cse402)。在一個(gè)實(shí)施例中，如圖4a所示，所提出的服務(wù)使能功能204可以被托管在作為onem2mcsf的csf408中。如圖18b所示，密鑰遞送功能206可以被托管在作為onem2mcsf的csf412中。服務(wù)使能和服務(wù)配置(sesc)sesc可以包括圖5a-b中所示的安全證書(shū)請(qǐng)求和提供階段(scrp)，其中，實(shí)體cse3502請(qǐng)求建立e2e認(rèn)證證書(shū)。e2e證書(shū)可以由其它實(shí)體使用，以便與cse3502執(zhí)行e2e認(rèn)證。消息收發(fā)詳情：圖5a-b的步驟0是用于建立逐跳認(rèn)證證書(shū)的密鑰提供步驟?？梢曰诋?dāng)前的onem2m規(guī)范執(zhí)行該步驟。這可以離線執(zhí)行。作為密鑰提供步驟的結(jié)果，為cse3502和托管cse(hcse)504提供對(duì)稱密鑰(kpsa1)。在圖5a-b的步驟1中，cse3502和hcse504將kpsa1用作用于認(rèn)證的基礎(chǔ)，建立dtls連接。在圖5a-b的步驟2中，作為dtls認(rèn)證的一部分，建立會(huì)話密鑰。在圖5a-b的步驟3中，cse3502發(fā)送指示需要?jiǎng)?chuàng)建onem2m資源的“創(chuàng)建請(qǐng)求”消息和用于創(chuàng)建e2e證書(shū)的請(qǐng)求。由dtls會(huì)話密鑰保護(hù)創(chuàng)建請(qǐng)求消息。cse3502提供能使用e2e證書(shū)的授權(quán)實(shí)體的列表。在圖5a-b的步驟4中，hcse504通過(guò)使用dtls會(huì)話密鑰，校驗(yàn)消息的起源是否確實(shí)來(lái)自ae1。在圖5a-b的步驟5中，作為cse3502的托管cse的hcse504基于如在onem2m規(guī)范中制定的機(jī)制，創(chuàng)建cse3502的資源。此外，基于cse3502的能力(如在上文所述，其可以在服務(wù)使能過(guò)程期間推斷或獲得)，hcse504創(chuàng)建基于設(shè)備的能力適當(dāng)?shù)膃2e證書(shū)的請(qǐng)求。還提供用于安全證書(shū)的使用的作用域和可以使用的參數(shù)。作用域可以是服務(wù)層/會(huì)話層e2e認(rèn)證，參數(shù)包括可以用于重放保護(hù)的信息、用于消息認(rèn)證的信息(例如消息或元數(shù)據(jù)的發(fā)起方的真實(shí)身份等)。在圖5a-b的步驟6中，使用預(yù)建立的安全證書(shū)(psk)，在hcse504和ttp/kdf206之間建立tls會(huì)話。在圖5a-b的步驟7中，使用安全tls隧道，將對(duì)證書(shū)、作用域、使用和參數(shù)的請(qǐng)求從hcse504發(fā)送到ttp。在圖5a-b的步驟8中，基于由hcse504提供的設(shè)備能力信息，ttp生成如由hcse請(qǐng)求的適當(dāng)證書(shū)。如果設(shè)備能力低，那么與適當(dāng)?shù)拿荑€大小一起，選擇適當(dāng)?shù)乃惴?例如，hmac-sha1或3des或其它低資源需求算法)。證書(shū)連同作用域、參數(shù)被存儲(chǔ)在數(shù)據(jù)庫(kù)中。生成的證書(shū)可以被稱為“ke2e_cse3_master”密鑰并且具有與之相關(guān)聯(lián)的適當(dāng)?shù)拿荑€句柄/上下文id。在cse3502與ttp具有直接連接的情況下，可以由ttp將ke2e_cse3_master直接轉(zhuǎn)發(fā)到cse3502?？梢允褂迷赾se3502和ttp之間建立的(d)tls連接傳輸密鑰。在圖5a-b的步驟9中，然后將證書(shū)與必需的作用域和參數(shù)一起轉(zhuǎn)發(fā)到hcse504。在圖5a-b的步驟10中，hcse504將證書(shū)連同其它相關(guān)信息轉(zhuǎn)發(fā)到cse3502。在圖5a-b的步驟11中，校驗(yàn)從hcse504接收的消息。在圖5a-b的步驟12中，將證書(shū)連同作用域和參數(shù)存儲(chǔ)在密鑰庫(kù)中。應(yīng)理解到執(zhí)行圖5a-b所示的步驟的實(shí)體是可以以在諸如圖21c或圖21d所示的網(wǎng)絡(luò)節(jié)點(diǎn)或計(jì)算機(jī)系統(tǒng)的存儲(chǔ)器中存儲(chǔ)并且在其處理器上執(zhí)行的軟件(例如計(jì)算機(jī)可執(zhí)行指令)的形式實(shí)現(xiàn)的邏輯實(shí)體。即，圖5a-b所示的方法可以以在網(wǎng)絡(luò)節(jié)點(diǎn)(諸如圖21c或圖21d所示的節(jié)點(diǎn)或計(jì)算機(jī)系統(tǒng))的存儲(chǔ)器中存儲(chǔ)的軟件(即，計(jì)算機(jī)可執(zhí)行指令)的形式實(shí)現(xiàn)，該計(jì)算機(jī)可執(zhí)行指令當(dāng)由節(jié)點(diǎn)的處理器執(zhí)行時(shí)，執(zhí)行圖5a-b所示的步驟。還理解到可以在節(jié)點(diǎn)的處理器和其執(zhí)行的計(jì)算機(jī)可執(zhí)行指令(例如軟件)的控制下，由節(jié)點(diǎn)的通信電路實(shí)現(xiàn)圖5a-b所示的任何發(fā)送和接收步驟。圖20圖示實(shí)體ae1602發(fā)起與cse或服務(wù)提供的注冊(cè)過(guò)程并且包括提供用于逐跳和/或端對(duì)端安全的適當(dāng)安全證書(shū)?？梢曰谂cae1602相關(guān)聯(lián)的dp、sp和/或ep，確定適當(dāng)?shù)淖C書(shū)。在圖20的步驟1中，ae1602發(fā)起與cse1604的連接請(qǐng)求。連接請(qǐng)求可以是注冊(cè)請(qǐng)求。在圖20的步驟2中，cse1604不具有配置文件、與ae1602相關(guān)聯(lián)的參數(shù)，因此，在步驟3中，從in-cse2002請(qǐng)求訂閱配置文件。在圖20的步驟4中，in-cse2002將與ae1602相關(guān)聯(lián)的m2m訂閱配置文件發(fā)送到cse1604。在圖20的步驟5中，cse1604向可以位于服務(wù)或網(wǎng)絡(luò)提供商網(wǎng)絡(luò)外的sp儲(chǔ)存庫(kù)2004請(qǐng)求sp。在圖20的步驟6中，包含與ae1602相關(guān)聯(lián)的ae1_sp的響應(yīng)被發(fā)送到cse1604。在圖20的步驟7中，cse1604可以從dp/ep儲(chǔ)存庫(kù)2006請(qǐng)求ae1_dp、與ae1602和/或ae1_ep相關(guān)聯(lián)的dp、與ae1602相關(guān)聯(lián)的ep或ap。在步驟8中，將包含ae1_dp和/或ae1_ep的響應(yīng)發(fā)送到cse1604。在圖20的步驟9中，基于sp、dp和/或ep，cse1604確定安全需求的適當(dāng)集合，且因此確定用于確保與ae1602的通信的關(guān)聯(lián)安全特征和參數(shù)。在圖20的步驟10中，cse1604基于由cse1604執(zhí)行的評(píng)估，向m2m登記功能(ttp/kdf)請(qǐng)求適當(dāng)?shù)陌踩C書(shū)。證書(shū)請(qǐng)求可以是明確或隱含的，并且可以提供粒度安全需求或較低粒度需求。在圖20的步驟11中，m2m登記功能(mef)2008發(fā)起與ae1602的引導(dǎo)過(guò)程并且生成適當(dāng)?shù)囊龑?dǎo)會(huì)話證書(shū)。在圖20的步驟12中，mef2008生成與ae1602相關(guān)聯(lián)的cse1特定的端對(duì)端證書(shū)(ke2e_ae1_cse1_master)并且將其提供給cse1604。mef2008可以替選地生成kpsa_ae1_cse1并且將其提供給cse1604。此外，mef2008還可以提供與證書(shū)相關(guān)聯(lián)的使用信息(usagelnfo)和上下文信息(contextlnfo)。在圖20的步驟13中，根據(jù)策略以及使用信息和上下文信息，ae1602生成cse1特定的端對(duì)端證書(shū)：ke2e_ael_csel_master，且還可以生成相關(guān)的ke2e_ael_csel_msg_auth和/或ke2e_ael_csel_msg_conf證書(shū)。ae1602可以替選地生成被用于逐跳安全的kpsa_ael_csel。在圖20的步驟14中，如果cse1604未由mef2008提供ke2e證書(shū)并且僅被提供ke2e_ael_csel_master和用于生成端對(duì)端證書(shū)所需的播種材料，cse1604生成ke2e_ael_csel_msg_auth和/或ke2e_ael_csel_msg_conf。應(yīng)理解到執(zhí)行在圖20的步驟中所示的步驟的實(shí)體是可以以在諸如圖21c或圖21d所示的網(wǎng)絡(luò)節(jié)點(diǎn)或計(jì)算機(jī)系統(tǒng)的存儲(chǔ)器中存儲(chǔ)并且在其處理器上執(zhí)行的軟件(例如計(jì)算機(jī)可執(zhí)行指令)的形式實(shí)現(xiàn)的邏輯實(shí)體。即，圖20所示的方法可以以在網(wǎng)絡(luò)節(jié)點(diǎn)(諸如圖21c或圖21d所示的節(jié)點(diǎn)或計(jì)算機(jī)系統(tǒng))的存儲(chǔ)器中存儲(chǔ)的軟件(即，計(jì)算機(jī)可執(zhí)行指令)的形式實(shí)現(xiàn)，該計(jì)算機(jī)可執(zhí)行指令當(dāng)由節(jié)點(diǎn)的處理器執(zhí)行時(shí)，執(zhí)行圖20所示的步驟。還理解到可以在節(jié)點(diǎn)的處理器和其執(zhí)行的計(jì)算機(jī)可執(zhí)行指令(例如軟件)的控制下，由節(jié)點(diǎn)的通信電路實(shí)現(xiàn)圖20所示的任何發(fā)送和接收步驟。第三方證書(shū)請(qǐng)求階段在下圖中圖示出其中想要檢索由另一實(shí)體(例如cse3502)托管的資源且想要請(qǐng)求該其它實(shí)體的e2e證書(shū)的實(shí)體(例如ae1602)的實(shí)施例。圖6a-b是圖示第三方證書(shū)請(qǐng)求階段的圖。假定在每一實(shí)體處，ae1602、cse1604和ttp206均被提供在如由onem2m規(guī)范規(guī)定的密鑰庫(kù)內(nèi)存儲(chǔ)的對(duì)稱密鑰。還可以設(shè)想為ae1602僅預(yù)提供ttp206的e2e證書(shū)，其然后被用來(lái)獲得用于在ae和托管cse之間建立逐跳關(guān)聯(lián)的證書(shū)。消息收發(fā)詳情如下：在圖6a-b的步驟1中，ae1602使用kpsa1與cse1604建立dtls安全關(guān)聯(lián)。在圖6a-b的步驟2中，每一實(shí)體彼此認(rèn)證并且建立會(huì)話密鑰。在圖6a-b的步驟3中，ae1602發(fā)送針對(duì)由cse3502托管的資源的“檢索請(qǐng)求”消息和可選的e2e證書(shū)請(qǐng)求消息。e2e證書(shū)請(qǐng)求可以是可選的，因?yàn)閏se1604可以確定是否需要e2e認(rèn)證證書(shū)。在圖6a-b的步驟4中，在dtls隧道內(nèi)轉(zhuǎn)發(fā)檢索請(qǐng)求消息并且由cse1604校驗(yàn)消息的起源。在圖6a-b的步驟5中，cse1604基于ae1602的能力創(chuàng)建對(duì)cse3502的證書(shū)、作用域和參數(shù)的請(qǐng)求。在圖6a-b的步驟6中，cse1604使用psk與ttp建立tls連接。在圖6a-b的步驟7中，還可以提供用于cse3的證書(shū)、作用域、參數(shù)，以及(可選地)ae1的優(yōu)選的安全能力的請(qǐng)求。在圖6a-b的步驟8中，如果ae1602在scrp階段期間由實(shí)體cse3502授權(quán)，并且處于授權(quán)實(shí)體的列表中，那么基于對(duì)cse3證書(shū)的請(qǐng)求，ttp檢索與cse3604相關(guān)聯(lián)的證書(shū)。在圖6a-b的步驟9中，使用tls隧道，將cse3604的證書(shū)連同其它相關(guān)信息(諸如作用域、參數(shù))發(fā)送到cse1。在執(zhí)行委托認(rèn)證的情況下，cse1可以可選地存儲(chǔ)證書(shū)。在圖6a-b的步驟10中，cse1將檢索響應(yīng)消息連同cse的證書(shū)和關(guān)聯(lián)信息發(fā)送到ae1。在圖6a-b的步驟11中，由ae1校驗(yàn)消息。在圖6a-b的步驟12中，ae1602將cse3的證書(shū)和關(guān)聯(lián)參數(shù)存儲(chǔ)在密鑰庫(kù)內(nèi)。應(yīng)理解到執(zhí)行在圖6a-b的步驟中所示的步驟的實(shí)體是可以以在諸如圖21c或圖21d所示的網(wǎng)絡(luò)節(jié)點(diǎn)或計(jì)算機(jī)系統(tǒng)的存儲(chǔ)器中存儲(chǔ)并且在其處理器上執(zhí)行的軟件(例如計(jì)算機(jī)可執(zhí)行指令)的形式實(shí)現(xiàn)的邏輯實(shí)體。即，圖6a-b所示的方法可以以在網(wǎng)絡(luò)節(jié)點(diǎn)(諸如圖21c或圖21d所示的節(jié)點(diǎn)或計(jì)算機(jī)系統(tǒng))的存儲(chǔ)器中存儲(chǔ)的軟件(即，計(jì)算機(jī)可執(zhí)行指令)的形式實(shí)現(xiàn)，該計(jì)算機(jī)可執(zhí)行指令當(dāng)由節(jié)點(diǎn)的處理器執(zhí)行時(shí)，執(zhí)行圖6a-b所示的步驟。還理解到可以在節(jié)點(diǎn)的處理器和其執(zhí)行的計(jì)算機(jī)可執(zhí)行指令(例如軟件)的控制下，由節(jié)點(diǎn)的通信電路實(shí)現(xiàn)圖6a-b所示的任何發(fā)送和接收步驟。在圖14中圖示并且在此描述基于引導(dǎo)過(guò)程的實(shí)施例。要求遠(yuǎn)程提供主證書(shū)和主證書(shū)標(biāo)識(shí)符或提供的安全連接密鑰(kpsa)和提供的安全連接密鑰標(biāo)識(shí)符(kpsaid)的ae或cse被稱為登記方。登記方將與其建立安全關(guān)聯(lián)的ae或cse被稱為登記方b。登記方將與其建立共享密鑰的ae或cse或m2m認(rèn)證功能(maf)被稱為登記目標(biāo)。onem2m系統(tǒng)支持預(yù)提供的對(duì)稱登記方密鑰，其是被預(yù)提供給登記方和m2m登記功能(mef)以用于那些實(shí)體的相互認(rèn)證的對(duì)稱密鑰。類似地，可以在登記方和mef處提供基于證書(shū)的機(jī)制或原始公開(kāi)密鑰。登記方和mef應(yīng)在信任證書(shū)中的公開(kāi)校驗(yàn)密鑰前校驗(yàn)彼此的證書(shū)。在安全握手內(nèi)，m2m登記功能使用其私密簽名密鑰來(lái)創(chuàng)建會(huì)話參數(shù)的數(shù)字簽名，且登記方使用m2m登記功能的公開(kāi)校驗(yàn)密鑰來(lái)校驗(yàn)數(shù)字簽名。隨后反轉(zhuǎn)角色：登記方創(chuàng)建數(shù)字簽名并且m2m登記功能校驗(yàn)它。替選地，使用基于gba的提供機(jī)制。在這種情況下，由gba引導(dǎo)服務(wù)器功能(bsf)執(zhí)行mef的角色。該框架使用3gpp或3gpp2對(duì)稱密鑰來(lái)認(rèn)證登記方和mef(也稱為gbabsf)。由3gppts33.220和3gpp2s.s0109-a規(guī)定詳情。登記方和m2m登記功能被預(yù)提供有引導(dǎo)證書(shū)，實(shí)體將用引導(dǎo)證書(shū)來(lái)向其它實(shí)體認(rèn)證自身。用于該預(yù)提供的機(jī)制可以由管理員執(zhí)行、在工廠自動(dòng)化、使用設(shè)備管理方功能或使用諸如如由全球平臺(tái)(globalplatform)規(guī)定的信任服務(wù)管理方(tsm)的機(jī)制。建立被稱為kpsa的“用于m2m安全建立的提供的證書(shū)”及其關(guān)聯(lián)標(biāo)識(shí)符kpsaid、被稱為km的“主證書(shū)”及其關(guān)聯(lián)的“主證書(shū)標(biāo)識(shí)符”kmid的過(guò)程遵循如在onem2m的ts-0003規(guī)范內(nèi)的章節(jié)8.3.1.2中所述的機(jī)制。一旦已經(jīng)生成了km和/或kpsa，那么可以使用該“主證書(shū)”以生成e2e證書(shū)。規(guī)范描述執(zhí)行下述的機(jī)制：引導(dǎo)證書(shū)配置、引導(dǎo)指令配置、引導(dǎo)登記握手、登記密鑰生成和集成到關(guān)聯(lián)安全握手過(guò)程。在本公開(kāi)中，提出添加另外的過(guò)程，被稱為“生成端對(duì)端證書(shū)”。提出通過(guò)至少提供下述參數(shù)：內(nèi)容信息、標(biāo)簽和salt，使用為登記目標(biāo)或maf提供生成端對(duì)端證書(shū)的能力的機(jī)制，增強(qiáng)“登記階段”。內(nèi)容信息為登記目標(biāo)提供具有有關(guān)待生成的證書(shū)的類型、待遵循的機(jī)制或標(biāo)準(zhǔn)的足夠信息，以能夠生成端對(duì)端證書(shū)等。示例證書(shū)的類型可以是端對(duì)端消息認(rèn)證證書(shū)、端對(duì)端數(shù)據(jù)安全證書(shū)、關(guān)于證書(shū)可以是公開(kāi)或?qū)ΨQ密鑰的信息、密鑰長(zhǎng)度、待遵循的算法/協(xié)議等。標(biāo)簽基于如由rfc5809或rfc5246或rfc5705或任何其它標(biāo)準(zhǔn)密鑰導(dǎo)出功能和密鑰擴(kuò)展所述的用途，提供用于生成那些證書(shū)所需的信息?？梢杂傻怯浄街苯犹峁┗蛴蒻ef向登記目標(biāo)提供上下文信息和標(biāo)簽。salt是被用作密鑰生成機(jī)制的一部分的隨機(jī)值。優(yōu)選方法是在初始消息期間，登記方將salt提供給登記目標(biāo)，作為登記階段的一部分。salt還可以是基于登記方和登記目標(biāo)之間的初始通信計(jì)算的hash值。作為“生成端對(duì)端證書(shū)”過(guò)程的一部分，登記方和登記目標(biāo)將kpsa_ae_cse用作主密鑰，生成端對(duì)端證書(shū)，以便生成端對(duì)端主密鑰ke2e_ae_cse_master。替選地，如果目標(biāo)為maf，那么km將被用作用于生成端對(duì)端主密鑰的主密鑰。提供如下使用rfc5809的端對(duì)端密鑰生成的示例。ke2e_ae_cse_master＝hmac-hash(salt,kpsa_ae_cse)t(0)＝空串(零長(zhǎng)度)ke2e_ae_cse_msg_auth＝t(l)＝hmac-hash(ke2e_ae_cse_master,t(0)|"e2e消息認(rèn)證密鑰"|0x01)ke2e_ae_cse_message_confidentialtiy＝t(2)＝hmac-hash(ke2e_ae_cse_master,t(l)|"e2e消息機(jī)密性密鑰"|0x02)類似地，由登記目標(biāo)和登記方生成數(shù)據(jù)機(jī)密性和數(shù)據(jù)完整性密鑰。基于在登記方和登記目標(biāo)(例如ae和cse特定端對(duì)端密鑰)之間共享的唯一enrollee-enrolmenttarget_ke2e_master，由每一登記方和相關(guān)的登記目標(biāo)重復(fù)該過(guò)程。在一些情況下，對(duì)登記方僅生成ke2e_master，其可以由多個(gè)登記目標(biāo)共享并且由mef提供給登記目標(biāo)，其然后對(duì)終端實(shí)體的每一個(gè)生成唯一端對(duì)端密鑰。在某些情況下，kpsa/km可以被用作ke2e_master，以及上述過(guò)程被用來(lái)生成端對(duì)端安全保護(hù)(即，消息認(rèn)證、消息完整性、數(shù)據(jù)完整性和數(shù)據(jù)機(jī)密性)的每一個(gè)的唯一密鑰。在某些其它情況下，僅單個(gè)密鑰(kpsa或km)被用于消息認(rèn)證、消息、消息機(jī)密性、數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性、密鑰生成密鑰等。在某些其它情況下，從kpsa或km生成會(huì)話密鑰，其然后被用于生成端對(duì)端安全保護(hù)機(jī)制(即，消息認(rèn)證、消息機(jī)密性、數(shù)據(jù)完整性和數(shù)據(jù)機(jī)密性)的每一個(gè)的唯一密鑰。在某些其它情況下，僅從kpsa或kpm生成的單個(gè)會(huì)話密鑰被用于提供端對(duì)端消息認(rèn)證、機(jī)密性、數(shù)據(jù)完整性和數(shù)據(jù)機(jī)密性。在某些其它情況下，mef將ke2e_master或下述密鑰的集合或子集提供給登記目標(biāo)或maf，即，ke2e_ae_cse_msg_auth、ke2e_ae_cse_msg_conf、ke2e_ae_cse_data_auth、ke2e_ae_cse_data_conf和ke2e_key_generation。圖15a-b分別提供與ae的資源表示關(guān)聯(lián)和具有下述屬性的<securityparameters>資源結(jié)構(gòu)：逐跳安全證書(shū)和端對(duì)端證書(shū)。圖16a-c描繪之前所述的實(shí)體配置文件、設(shè)備配置文件和安全配置文件的資源表示。e2e認(rèn)證階段在e2e認(rèn)證階段期間，基于早先在密鑰生成階段期間確定的作用域，可以在應(yīng)用、服務(wù)、會(huì)話或其它層執(zhí)行認(rèn)證。同時(shí)，可以在直接模式或使用委托模式，執(zhí)行認(rèn)證。使用直接模式在服務(wù)層處的e2e認(rèn)證圖7a-b圖示其中ae1602請(qǐng)求對(duì)在cse3502上托管的遠(yuǎn)程資源的更新操作的e2e認(rèn)證。該圖圖示使用直接模式的服務(wù)層e2e認(rèn)證。所示的機(jī)制遵循非常接近onem2m規(guī)范。消息收發(fā)詳情：在圖7a-b的步驟1中，ae1602使用kpsal1與cse1604建立dtls連接。在圖7a-b的步驟2中，ae1602發(fā)送請(qǐng)求以在cse3502上托管的資源上執(zhí)行更新操作。ae1602使用在如上所述的第三方證書(shū)請(qǐng)求階段期間先前獲得的e2e認(rèn)證密鑰(ke2e_cse3_ael_msg_auth)，創(chuàng)建消息認(rèn)證碼(mac)。基于所提供的包括將使用的算法、將用來(lái)提供起源認(rèn)證的參數(shù)、重放保護(hù)等的作用域，創(chuàng)建mac。mac被提供為請(qǐng)求消息的一部分并且使用dtls隧道保護(hù)。在圖7a-b的步驟3中，使用由onem2m規(guī)范規(guī)定的機(jī)制，處理該請(qǐng)求。在圖7a-b的步驟4中，一旦該請(qǐng)求被處理，將響應(yīng)發(fā)送到ae1。在圖7a-b的步驟5中，cse1604使用kpsa2，創(chuàng)建與下一跳cse2702的dtls連接。在圖7a-b的步驟6中，cse1604創(chuàng)建遞送資源請(qǐng)求消息并且將其連同由ae1602包括的mac轉(zhuǎn)發(fā)到下一跳cse2702。在圖7a-b的步驟7中，在cse2處，處理該請(qǐng)求。cse2處理遞送請(qǐng)求數(shù)據(jù)來(lái)提交cse3的uri和其它相關(guān)信息。在圖7a-b的步驟8中，將響應(yīng)發(fā)送到cse1604。在圖7a-b的步驟9中，cse2702使用kpsa3，與cse3502建立dtls連接。在圖7a-b的步驟10中，下一跳cse2702創(chuàng)建遞送資源請(qǐng)求消息并且將其連同ae包括的mac轉(zhuǎn)發(fā)到下一跳cse3。在圖7a-b的步驟11中，cse3502校驗(yàn)消息起源。在圖7a-b的步驟12中，cse3502校驗(yàn)包括在與ae1602相關(guān)聯(lián)的消息中的mac。如果cse3502不具有e2e證書(shū)(kpsae2e)，cse3502可以從ttp獲得主密鑰，然后，基于ae1的身份生成e2e密鑰。cse3502還使用參數(shù)(例如nonce/時(shí)間戳)校驗(yàn)還未重放消息，并且校驗(yàn)已經(jīng)將ae1602校驗(yàn)為原始消息的發(fā)起方以及確實(shí)由ae1計(jì)算和插入mac。在圖7a-b的步驟13中，由cse3502將對(duì)該請(qǐng)求的響應(yīng)提供回cse2702。替選地，可以在直到已經(jīng)執(zhí)行直到13的步驟后，發(fā)出步驟4和8的消息。一旦cse2702從cse3502接收到響應(yīng)(消息13)，cse2向cse1604發(fā)送響應(yīng)(步驟8的消息)以及cse1向?qū)嶓w發(fā)送響應(yīng)(步驟4的消息)。應(yīng)理解到執(zhí)行在圖7a-b的步驟中所示的步驟的實(shí)體是可以以在諸如圖21c或圖21d所示的網(wǎng)絡(luò)節(jié)點(diǎn)或計(jì)算機(jī)系統(tǒng)的存儲(chǔ)器中存儲(chǔ)并且在其處理器上執(zhí)行的軟件(例如計(jì)算機(jī)可執(zhí)行指令)的形式實(shí)現(xiàn)的邏輯實(shí)體。即，圖7a-b所示的方法可以以在網(wǎng)絡(luò)節(jié)點(diǎn)(諸如圖21c或圖21d所示的節(jié)點(diǎn)或計(jì)算機(jī)系統(tǒng))的存儲(chǔ)器中存儲(chǔ)的軟件(即，計(jì)算機(jī)可執(zhí)行指令)的形式實(shí)現(xiàn)，該計(jì)算機(jī)可執(zhí)行指令當(dāng)由節(jié)點(diǎn)的處理器執(zhí)行時(shí)，執(zhí)行圖7a-b所示的步驟。還理解到可以在節(jié)點(diǎn)的處理器和其執(zhí)行的計(jì)算機(jī)可執(zhí)行指令(例如軟件)的控制下，由節(jié)點(diǎn)的通信電路實(shí)現(xiàn)圖7a-b所示的任何發(fā)送和接收步驟。使用委托模式的在服務(wù)層處的e2e認(rèn)證圖8a-b圖示使用委托模式方法，在服務(wù)層處的e2e認(rèn)證。如參考圖7a-b所述的直接模式和在此所述的方法之間的主要區(qū)別在于cse1604(托管cse)代表ae1602執(zhí)行e2e認(rèn)證。cse1604代表ae1602執(zhí)行前述第三方證書(shū)請(qǐng)求處理。同時(shí)，稍微變型的實(shí)施例在于作用域信息建立使用jsonweb信令(jws)/jsonweb令牌表示而不是mac。使用的參數(shù)與用于mac計(jì)算的參數(shù)類似，表示基于jwt和上述的安全提供過(guò)程期間同意。消息收發(fā)詳情與參考圖7a-b所述的那些詳情非常類似，除了下述消息：在圖8a-b的步驟1中，請(qǐng)求消息不包含mac，因此，不能以e2e方式認(rèn)證ae1602。圖8a-b的步驟3-5與先前所述的情形類似。在圖8a-b的步驟6中，cse1604創(chuàng)建與mac類似的jws，以便終端實(shí)體cse3502能夠認(rèn)證cse1604。在此，在執(zhí)行認(rèn)證中委托cse1604代表ae1602。jws包括在請(qǐng)求消息中。使用從ttp獲得的ke2e_ael_csel_msg-aut，計(jì)算jws。圖8a-b的步驟7-9與先前所述的情形類似。在圖8a-b的步驟10中，以逐跳模式，將包含jws的請(qǐng)求消息轉(zhuǎn)發(fā)到cse3502。在圖8a-b的步驟11中，cse3502校驗(yàn)其是消息的目標(biāo)。在圖8a-b的步驟12中，cse3502校驗(yàn)由cse1604代表ae1602發(fā)送原始請(qǐng)求。通過(guò)校驗(yàn)jws并且其未被重放，校驗(yàn)發(fā)起方的確為cse1604。應(yīng)理解到執(zhí)行在圖8a-b的步驟中所示的步驟的實(shí)體是可以以在諸如圖21c或圖21d所示的網(wǎng)絡(luò)節(jié)點(diǎn)或計(jì)算機(jī)系統(tǒng)的存儲(chǔ)器中存儲(chǔ)并且在其處理器上執(zhí)行的軟件(例如計(jì)算機(jī)可執(zhí)行指令)的形式實(shí)現(xiàn)的邏輯實(shí)體。即，圖8a-b所示的方法可以以在網(wǎng)絡(luò)節(jié)點(diǎn)(諸如圖21c或圖21d所示的節(jié)點(diǎn)或計(jì)算機(jī)系統(tǒng))的存儲(chǔ)器中存儲(chǔ)的軟件(即，計(jì)算機(jī)可執(zhí)行指令)的形式實(shí)現(xiàn)，該計(jì)算機(jī)可執(zhí)行指令當(dāng)由節(jié)點(diǎn)的處理器執(zhí)行時(shí)，執(zhí)行圖8a-b所示的步驟。還理解到可以在節(jié)點(diǎn)的處理器和其執(zhí)行的計(jì)算機(jī)可執(zhí)行指令(例如軟件)的控制下，由節(jié)點(diǎn)的通信電路實(shí)現(xiàn)圖8a-b所示的任何發(fā)送和接收步驟。圖17描述圖示借助在借助在通過(guò)信任的或不太可信的或甚至不可信的中間跳的來(lái)回移動(dòng)的作為彼此遠(yuǎn)離的多個(gè)服務(wù)層跳的兩個(gè)實(shí)體ae2和cse1604之間的對(duì)稱密鑰機(jī)制的端對(duì)端消息認(rèn)證和完整性校驗(yàn)的實(shí)施例?？蛻舳藨?yīng)用(ae2)想要在另一應(yīng)用實(shí)體(602)的資源上執(zhí)行更新操作。由于資源被托管在托管cse(cse1604)上，ae2已經(jīng)被預(yù)提供資源的位置或使用發(fā)現(xiàn)服務(wù)以便發(fā)現(xiàn)資源位置(/cse1/r-id)。cse1604想要確保僅授權(quán)的實(shí)體能夠在ae1資源上執(zhí)行創(chuàng)建、檢索、更新、刪除或通知操作中的任何一個(gè)。為了cse1604能夠確保僅授權(quán)實(shí)體能夠執(zhí)行crud操作，cse1604可以通過(guò)校驗(yàn)消息的發(fā)起方擁有的密鑰要求認(rèn)證消息的來(lái)源是授權(quán)的并且消息被完整性保護(hù)。在創(chuàng)建消息的準(zhǔn)備中，ae2必須或從ttp獲得適當(dāng)?shù)南⒄J(rèn)證密鑰ke2e_ae2_csel_msg_auth，或由被提供給它或使用上述“第三實(shí)體證書(shū)請(qǐng)求過(guò)程”使用引導(dǎo)過(guò)程生成的端對(duì)端主密鑰ke2e_ae2_csel_master生成密鑰。除密鑰外，獲得、生成為了ae2能夠生成能由cse1604使用的正確認(rèn)證標(biāo)記以便校驗(yàn)ae2消息的可靠性和機(jī)密性而要求的上下文信息、用途信息和標(biāo)簽或?qū)⑵涮峁┙oae2。ae2從密鑰庫(kù)選擇適當(dāng)?shù)淖C書(shū)，用于執(zhí)行端對(duì)端認(rèn)證。在圖17的步驟1中，ae2使用kpsa_ae2_cse2以便在其自身和cse2702之間建立(d)tls連接。連接建立過(guò)程遵循在版本1的ts-0003onem2m規(guī)范中描述的機(jī)制。在圖17的步驟2中，ae1602生成被用來(lái)在cse1604上托管的ae1的資源(識(shí)別為/cse/r-id)上執(zhí)行“更新”操作的onem2m“請(qǐng)求”消息。由m2m-request-id1唯一地識(shí)別請(qǐng)求消息。ae2使用消息報(bào)頭信息，也被稱為origindata，生成認(rèn)證標(biāo)記(auth_tag)或消息認(rèn)證碼(mac)。替選地，整個(gè)消息被用作輸入以便創(chuàng)建auth_tag。下述信息可以被用作auth_tag生成的一部分。auth_tag＝hmac-sha-256(ke2e_ae2_csel_msg_auth,"消息報(bào)頭"|nonce|時(shí)間)替選地，auth_tag＝hmac-sha-256(ke2e_ae2_csel_msg_auth,"整個(gè)消息"|nonce|時(shí)間)在auth_tag的生成中可以包括nonce、時(shí)間或兩者。在某些情況下，兩個(gè)均可以被排除，因?yàn)楸徽J(rèn)為對(duì)每一會(huì)話唯一的m2m-request-id被包括在每一消息內(nèi)。優(yōu)選使用整個(gè)消息以用于計(jì)算auth_tag，替選地，可以使用消息報(bào)頭用于生成auth_tag。然而，如果消息內(nèi)的某些組件可能由中間實(shí)體(諸如cse2702)變更，那么僅可以使用能被用來(lái)保證消息的可靠性和意圖的消息的那些組件。必須被完整性保護(hù)的消息的絕對(duì)必要的組件是：來(lái)自字段，“fr”；到字段，“to”；操作字段，“op”；資源id，“res-id”(如果不同于“to”字段)；和會(huì)話標(biāo)識(shí)符，“m2m-request-id”。如果存在被包括在消息中的“data(數(shù)據(jù))”，也保護(hù)其完整性。如前所述，優(yōu)選方法是對(duì)整個(gè)消息進(jìn)行完整性保護(hù)，然而，在某些實(shí)施方式中，為了路由目的，一些組件被中間實(shí)體合理地變更，在這些情況下，必須確保僅那些未被中間實(shí)體變更組件的組件，但同時(shí)能夠提供ae2的請(qǐng)求的可靠性以及完整性。在圖17的步驟3中，ae2創(chuàng)建可以為onem2m消息收發(fā)變更的基于json的表示(jsonweb簽名)，用于攜帶auth_tag以及被用來(lái)創(chuàng)建auth_tag的安全屬性。jws將包括下述安全屬性：“cred-id”，其是證書(shū)id，被用來(lái)標(biāo)識(shí)證書(shū)或密鑰，其在這種情況下是ke2e_ae2_csel_msg_auth-id；算法“alg”；用來(lái)計(jì)算auth_tag，“hmac-sha-256”；有效載荷“payload”，其包括消息或消息報(bào)頭以及數(shù)據(jù)；和簽名，“sig”，其是auth_tag/mac。替選地，可以由在簡(jiǎn)明二進(jìn)制對(duì)象表示(cbor)對(duì)象簽名和加密標(biāo)準(zhǔn)中描述的機(jī)制使用基于cbor的表示代替base64。onem2m消息“request”在圖17的步驟4中，如果在cse1604和cse2702之間不存在現(xiàn)有的(d)tls連接，根據(jù)onem2m規(guī)范，將kpsa_cse2_csel用作對(duì)稱密鑰，在cse1604和cse2702之間建立(d)tls連接。在圖17的步驟5中，將由ae2創(chuàng)建的消息轉(zhuǎn)發(fā)到cse1604。如果用于簽名的算法是基于公開(kāi)密鑰的機(jī)制，那么，cse2702能夠在將其轉(zhuǎn)發(fā)到cse1604前認(rèn)證該消息，但在此使用對(duì)稱密鑰的情況下，基于在ae2和cse2702之間存在的信任和基于(d)tls連接建立的安全關(guān)聯(lián)，隱含消息的認(rèn)證，預(yù)期該消息來(lái)自受信ae2。cse2702將該消息轉(zhuǎn)發(fā)到cse1604，無(wú)需變更主消息報(bào)頭。在消息報(bào)頭被cse2702變更的情況下，cse2702生成消息報(bào)頭的副本并且連同安全屬性被包括為數(shù)據(jù)的一部分。在ae2已經(jīng)使用整個(gè)消息以便創(chuàng)建安全屬性(jws)的情況下，那么cse2702在將其轉(zhuǎn)發(fā)到cse1604前，將整個(gè)消息連同頭部和安全屬性(jws)復(fù)制到數(shù)據(jù)有效載荷部分中。在步驟4建立的(d)tls連接上，將該消息由cse2702發(fā)送到cse1604。在圖17的步驟6中，cse1604校驗(yàn)其是否為消息的目標(biāo)。使用安全屬性(jws)，使用證書(shū)id(cred-id)以校驗(yàn)正確的證書(shū)并且從安全密鑰庫(kù)(例如，諸如sim卡的安全元件)提取它，確定適當(dāng)?shù)纳舷挛男畔⒑陀猛緟?shù)?；诖_定安全類型(簽名)的上下文信息、涉及的實(shí)體等以及用途(nonce的算法、可用性等)，校驗(yàn)消息是否具有正確的特性集，然后使用ke2e_ae2_csel_msg_auth密鑰連同該消息，該消息可以是由ae21102原始發(fā)送的整個(gè)消息，或消息的消息報(bào)頭或元數(shù)據(jù)，并且使用可能存在的nonce連同上下文信息，以及將參數(shù)作為輸入提供到在這種情況下正好為hmac-sha-256的jws內(nèi)識(shí)別的“alg”中，并且生成generated_auth_tag。cse1604校驗(yàn)generated_auth_tag是否與包含在jws內(nèi)的auth_tag相同，如果是，ae2的消息被認(rèn)證。隨后cse1604檢查以判斷是否已經(jīng)授權(quán)ae21102在ae1資源上執(zhí)行“更新”操作。在圖17的步驟7中，如果授權(quán)ae21102執(zhí)行“更新”操作，那么cse1604更新由r-id識(shí)別的ae1資源。cse1604創(chuàng)建響應(yīng)消息并且使用與在圖17的步驟2中由ae2使用的過(guò)程類似的過(guò)程，以生成不同的auth_tag2。推薦每次使用新的nonce并且將其包括為jws的一部分，且不重用現(xiàn)有的nonce。包括所有安全屬性(例如，nonce、auth-tag2、證書(shū)id、消息或消息報(bào)頭或消息的元數(shù)據(jù))以便創(chuàng)建jws。在圖17的步驟8中，如果在ae1602和cse1604之間不存在現(xiàn)有的(d)tls連接，通過(guò)基于onem2m技術(shù)規(guī)范ts-0003版本1使用共享對(duì)稱密鑰kpsa_ael_csel，創(chuàng)建新的(d)tls連接。在圖17的步驟9中，cse1604將指示“更新”ae1的資源“r-id”的“通知”消息發(fā)送到ae1602。該消息在圖17的步驟8中建立的安全(d)tls連接上發(fā)送。在圖17的步驟10中，在創(chuàng)建如在圖17的步驟7中所述創(chuàng)建的響應(yīng)消息后，cse1604在步驟4中建立的安全(d)tls連接上，將消息發(fā)送到cse2702。如果該連接不存在，那么，必須創(chuàng)建新的(d)tls連接，與在圖17的步驟4中創(chuàng)建的(d)tls連接類似。可以與圖17的步驟8并行地發(fā)送消息10，然而，在某些關(guān)鍵情況下，可以比圖17的步驟10更早地執(zhí)行步驟8。在圖17的步驟11中，如果公開(kāi)密鑰機(jī)制被用于生成jws，通過(guò)檢驗(yàn)jws內(nèi)的數(shù)字簽名，cse2702可以校驗(yàn)從cse1604接收的消息的可靠性/完整性。由于使用對(duì)稱密鑰，cse2702使用隱含的信任，因?yàn)樵诎踩?d)tls連接上接收該消息并且在圖17的步驟1中建立的安全的(d)tls連接上將該消息轉(zhuǎn)發(fā)到ae21102。如上所述，如果有效的(d)tls連接不存在，那么必須使用kpsa_ae2_cse2對(duì)稱密鑰和使用在onem2m技術(shù)規(guī)范ts-0003版本1中所述的機(jī)制，在cse2702和ae21102之間建立新的(d)tls連接。在圖17的步驟12中，ae21102校驗(yàn)jws內(nèi)的auth_tag2并且使用如在圖17的步驟6中所述的機(jī)制，認(rèn)證消息。使用的安全屬性不同于步驟6中的安全屬性，然而，過(guò)程是相同的。應(yīng)理解到執(zhí)行在圖17的步驟中所示的步驟的實(shí)體是可以以在諸如圖21c或圖21d所示的網(wǎng)絡(luò)節(jié)點(diǎn)或計(jì)算機(jī)系統(tǒng)的存儲(chǔ)器中存儲(chǔ)并且在其處理器上執(zhí)行的軟件(例如計(jì)算機(jī)可執(zhí)行指令)的形式實(shí)現(xiàn)的邏輯實(shí)體。即，圖17所示的方法可以以在網(wǎng)絡(luò)節(jié)點(diǎn)(諸如圖21c或圖21d所示的節(jié)點(diǎn)或計(jì)算機(jī)系統(tǒng))的存儲(chǔ)器中存儲(chǔ)的軟件(即，計(jì)算機(jī)可執(zhí)行指令)的形式實(shí)現(xiàn)，該計(jì)算機(jī)可執(zhí)行指令當(dāng)由節(jié)點(diǎn)的處理器執(zhí)行時(shí)，執(zhí)行圖17所示的步驟。還理解到可以在節(jié)點(diǎn)的處理器和其執(zhí)行的計(jì)算機(jī)可執(zhí)行指令(例如軟件)的控制下，由節(jié)點(diǎn)的通信電路實(shí)現(xiàn)圖17所示的任何發(fā)送和接收步驟。圖18描述圖示借助在通過(guò)信任的或不太可信的或甚至不可信的中間跳來(lái)回移動(dòng)的作為彼此遠(yuǎn)離的多個(gè)服務(wù)層跳的兩個(gè)實(shí)體ae21102和cse1604之間的對(duì)稱密鑰機(jī)制的端對(duì)端消息認(rèn)證和完整性校驗(yàn)以及消息機(jī)密性的實(shí)施例?？蛻舳藨?yīng)用(ae21102)想要在另一應(yīng)用實(shí)體(ae1602)的資源上執(zhí)行更新操作。由于資源托管在托管cse(cse1604)上，ae21102已經(jīng)被預(yù)提供資源的位置或使用發(fā)現(xiàn)服務(wù)以便發(fā)現(xiàn)資源位置(/cse1/r-id)。cse1604想要確保僅授權(quán)的實(shí)體能夠在ae1資源上執(zhí)行創(chuàng)建、檢索、更新、刪除或通知操作中的任何一個(gè)。為了cse1604能夠確保僅授權(quán)的實(shí)體能夠執(zhí)行crud操作，cse1604可以通過(guò)校驗(yàn)消息的發(fā)起方擁有的密鑰，要求認(rèn)證消息的來(lái)源是被授權(quán)的并且消息被完整性保護(hù)。此外，要求數(shù)據(jù)和消息收發(fā)被機(jī)密性保護(hù)。在創(chuàng)建消息的準(zhǔn)備中，ae21102必須或從ttp分別獲得適當(dāng)?shù)南⒄J(rèn)證ke2e_ae2_csel_msg_auth以及消息機(jī)密性密鑰和ke2e_ae2_csel_msg_conf，或由向其提供的或使用上述“第三方證書(shū)請(qǐng)求過(guò)程”使用引導(dǎo)過(guò)程生成的端對(duì)端主密鑰ke2e_ae2_csel_master生成該密鑰。替選地，可以使用單個(gè)ke2e_ae2_csel_msg_auth_conf用于消息認(rèn)證和消息機(jī)密性兩者并且使用基于認(rèn)證的加密和關(guān)聯(lián)數(shù)據(jù)(aead)的加密機(jī)制(例如aes-ccm,aes-gcm)。除密鑰外，獲得、生成為了ae21102能夠生成能由cse1604使用的正確認(rèn)證標(biāo)記，以便校驗(yàn)ae2消息的可靠性和機(jī)密性而要求的上下文信息、用途信息和標(biāo)簽或?qū)⑵涮峁┙oae21102。并且為了確定適當(dāng)算法、將在其上操作的模式、以及初始化向量(iv)的要求等的機(jī)密性，ae21102從密鑰庫(kù)選擇適當(dāng)?shù)淖C書(shū)，用于執(zhí)行端對(duì)端消息認(rèn)證和消息機(jī)密性，因此，選擇ke2e_ae2_csel_msg_auth_conf密鑰。在圖18的步驟1中，ae21102使用kpsa_ae2_cse2以便在其自身和cse2702之間建立(d)tls連接。連接建立過(guò)程遵循在版本1的ts-0003onem2m規(guī)范中所述的機(jī)制。在圖18的步驟2中，ae1602生成用于在cse1604上托管的ae1的資源(識(shí)別為/cse/r-id)上執(zhí)行“更新”操作的onem2m“請(qǐng)求”消息。由m2m-request-id1唯一地識(shí)別該請(qǐng)求消息。ae21102使用消息報(bào)頭信息，也被稱為origindata，生成認(rèn)證標(biāo)記(auth_tag)或消息認(rèn)證碼(mac)。替選地，整個(gè)消息被用作輸入以創(chuàng)建auth_tag。如前所述，優(yōu)選方法是完整性保護(hù)整個(gè)消息，然而，在某些實(shí)施方式中，為路由目的，可能由中間實(shí)體合理地變更一些組件，在這些情況下，必須確保未被中間實(shí)體變更但同時(shí)能夠提供可靠性和ae2請(qǐng)求的完整性的僅那些組件。被用于onem2m層路由的消息或消息報(bào)頭或元數(shù)據(jù)未被加密并且被分類為關(guān)聯(lián)數(shù)據(jù)(aad)。aad可以是完整性保護(hù)的。消息報(bào)頭或元數(shù)據(jù)是用于指定“aad”值的良好候選。auth_tag＝hmac-sha-256(ke2e_ae2_csel_msg_auth_conf,aad|nonce|時(shí)間)aad被指定整個(gè)消息報(bào)頭，或替選地，aad可以被指定為消息的消息報(bào)頭或元數(shù)據(jù)的子集。在auth_tag的生成中可以包括nonce、時(shí)間或兩者。在某些情況下，兩個(gè)均可以被排除，因?yàn)楸徽J(rèn)為對(duì)每一會(huì)話唯一的m2m-request-id被包括在每一消息內(nèi)。優(yōu)選使用整個(gè)消息以用于計(jì)算auth_tag，替選地，可以使用消息報(bào)頭用于生成auth_tag。然而，如果消息內(nèi)的某些組件可能由中間實(shí)體(諸如cse2702)變更，那么僅可以使用能被用來(lái)保證消息的可靠性和意圖的消息的那些組件。必須被完整性保護(hù)的消息的絕對(duì)必要的組件是：來(lái)自字段，“fr”；到字段，“to”；操作字段，“op”；資源id，“res-id”(如果不同于“to”字段)；和會(huì)話標(biāo)識(shí)符，“m2m-request-id”。根據(jù)上下文信息和用途參數(shù)(例如加密算法、加密模式和iv…)，包括數(shù)據(jù)有效載荷的剩余消息可以被加密。在步驟3，ae21102創(chuàng)建可以可以為onem2m消息收發(fā)進(jìn)行變更和裁剪的基于json的表示(jsonweb加密表示(jwe))，用于攜帶auth_tag連同用來(lái)創(chuàng)建auth_tag的安全屬性以及加密的消息和數(shù)據(jù)。jwe將包括下述安全屬性：“cred-id”，其是用于識(shí)別證書(shū)的證書(shū)id；和密鑰，在這種情況下是ke2e_ae2_csel_msg_auth-id。替選地，如果使用單獨(dú)的消息認(rèn)證密鑰和單獨(dú)的消息機(jī)密性密鑰，那么均應(yīng)當(dāng)發(fā)送關(guān)聯(lián)的證書(shū)id。使用的算法“alg”“aes-ccm”(舉例來(lái)說(shuō))；有效載荷，“payload”，其包括消息或消息報(bào)頭連同數(shù)據(jù)；和簽名“sig”，其是auth_tag/mac。此外，使用的初始化向量“iv”，以及基于加密過(guò)程生成的密文“ciphertext(密文)”也被包括為jwe的一部分。替選地，可以由在簡(jiǎn)明二進(jìn)制對(duì)象表示(cbor)對(duì)象簽名和加密標(biāo)準(zhǔn)中描述的機(jī)制使用基于cbor的表示代替base64。生成包含消息報(bào)頭的onem2m消息“請(qǐng)求”和表示為jwe的安全屬性。在圖18的步驟4中，如果在cse1604和cse2702之間不存在現(xiàn)有的(d)tls連接，根據(jù)onem2m規(guī)范，將kpsa_cse2_csel用作對(duì)稱密鑰，在cse1604和cse2702之間建立(d)tls連接。在圖18的步驟5中，將由ae21102創(chuàng)建的消息轉(zhuǎn)發(fā)到cse1604。如果用于簽名的算法是基于公開(kāi)密鑰的機(jī)制，那么，cse2702能夠在將其轉(zhuǎn)發(fā)到cse1604前認(rèn)證該消息，但在此，由于使用對(duì)稱密鑰，基于在ae21102和cse2702之間存在的信任和基于(d)tls連接建立的安全關(guān)聯(lián)，隱含消息的認(rèn)證，預(yù)期該消息來(lái)自受信ae21102。cse2702將該消息轉(zhuǎn)發(fā)到cse1604，無(wú)需變更主消息報(bào)頭。在消息報(bào)頭被cse2702變更的情況下，cse2702生成消息報(bào)頭的副本并且連同安全屬性被包括為數(shù)據(jù)的一部分。在ae21102已經(jīng)使用整個(gè)消息以創(chuàng)建安全屬性(jwe)的情況下，那么cse2702在將其轉(zhuǎn)發(fā)到cse1604前，將整個(gè)消息連同頭部和安全屬性(jwe)復(fù)制到數(shù)據(jù)有效載荷部分中，以使得保存所有必要的消息報(bào)頭信息，使得能由接收方(例如cse1)適當(dāng)?shù)貥?gòu)建auth_tagl。在圖18步驟4建立的(d)tls連接上，將該消息由cse2702發(fā)送到cse1。在圖18的步驟6中，cse1604校驗(yàn)其是否為消息的目標(biāo)。使用安全屬性(jwe)，cse1604使用證書(shū)id以便校驗(yàn)正確的證書(shū)并且從安全密鑰庫(kù)(例如，諸如sim卡的安全元件)提取它們，確定適當(dāng)?shù)纳舷挛男畔⒑陀猛緟?shù)。在單獨(dú)的密鑰被用于消息認(rèn)證和消息機(jī)密性的情況下，將必須從密鑰庫(kù)提取兩個(gè)密鑰。使用jwe信息“alg”以及“cred-id”，cse1604能夠確定aead是否被用于安全保護(hù)，且如果是，可以僅檢索由cred-id識(shí)別的單個(gè)關(guān)聯(lián)證書(shū)?；诖_定安全類型(簽名、加密)的上下文信息、涉及的實(shí)體等以及用途(nonce的算法、可用性等)，校驗(yàn)消息是否具有正確的特性集，識(shí)別aad、iv、nonce和其它參數(shù)并且使用ke2e_ae2_csel_msg_conf密鑰以便解密“密文”并且提取“plaintext(明文)”，其可以包含消息和數(shù)據(jù)有效載荷。cse1604使用該消息或消息的消息報(bào)頭或元數(shù)據(jù)或使用已經(jīng)被識(shí)別為aad的信息，以計(jì)算generated_authtag。在一些實(shí)施方式中，由ae21102原始發(fā)送的整個(gè)消息，或消息的消息報(bào)頭或元數(shù)據(jù)，并且使用可能存在的nonce連同上下文信息，以及將參數(shù)作為輸入提供到在這種情況下正好為aes-ccm的jwe內(nèi)識(shí)別的“alg”中，并且生成generated_auth_tag。cse1604校驗(yàn)generated_auth_tag是否與包含在jws內(nèi)的auth_tag相同，且如果是，ae2的消息被認(rèn)證。隨后cse1604檢查以判斷是否已經(jīng)授權(quán)ae21102在ae2602資源上執(zhí)行“更新”操作。在圖18的步驟7中，如果授權(quán)ae21102執(zhí)行“更新”操作，那么cse1604更新由r-id識(shí)別的ae1資源。在步驟8v，如果在ae1602和cse1604之間不存在現(xiàn)有的(d)tls連接，通過(guò)基于onem2m技術(shù)規(guī)范ts-0003版本1使用共享對(duì)稱密鑰kpsa_ael_csel，創(chuàng)建新的(d)tls連接。在圖18的步驟9中，cse1604將指示“更新”ae1的資源“r-id”的“通知”消息發(fā)送到ae1602。該消息在步驟8中建立的安全(d)tls連接上發(fā)送。在圖18的步驟10中，cse1604創(chuàng)建響應(yīng)消息并且使用與在圖18的步驟2中由ae21102使用的過(guò)程相同的過(guò)程以生成不同的auth_tag2、加密消息和jwe。推薦每次使用新的nonce和iv并且將其包括為jwe的一部分，并且不重用現(xiàn)有的nonce。可以包括所有的安全屬性(例如nonce、auth-tag2、credential-id、識(shí)別為aad的消息或消息的消息報(bào)頭或元數(shù)據(jù)、iv和密文)以創(chuàng)建jwe2。在圖18的步驟11中，cse1604在步驟4中建立的安全(d)tls連接上，將消息發(fā)送到cse2702。如果該連接不存在，那么，必須創(chuàng)建新的(d)tls連接，與在圖18的步驟4中創(chuàng)建的(d)tls連接類似?？梢耘c步驟8并行地發(fā)送消息10，然而，在某些關(guān)鍵情況下，可以比圖18的步驟10更早地執(zhí)行圖18的步驟8。在圖18的步驟12中，如果公開(kāi)密鑰機(jī)制被用于生成jwe，通過(guò)檢驗(yàn)jwe內(nèi)的數(shù)字簽名，cse2702可以校驗(yàn)從cse1604接收的消息的可靠性/完整性。由于在此使用對(duì)稱密鑰，cse2702使用隱含的信任，因?yàn)樵诎踩?d)tls連接上接收該消息并且在步驟1中建立的安全的(d)tls連接上將該消息轉(zhuǎn)發(fā)到ae21102。如上所述，如果有效的(d)tls連接不存在，那么必須使用kpsa_ae2_cse2702對(duì)稱密鑰和使用在onem2m技術(shù)規(guī)范ts-0003版本1中所述的機(jī)制，在cse2702和ae21102之間建立新的(d)tls連接。在圖18的步驟13中，在使用圖18的步驟6所述的類似機(jī)制解密消息后，ae21102校驗(yàn)jwe內(nèi)的auth_tag2。使用的安全屬性不同于圖18的步驟6中的安全屬性，然而，過(guò)程是相同的。圖19描述圖示借助在借助在通過(guò)信任的或不太可信的或甚至不可信的中間跳的來(lái)回移動(dòng)的作為彼此遠(yuǎn)離的多個(gè)服務(wù)層跳的兩個(gè)實(shí)體ae21102和cse1604之間的對(duì)稱密鑰機(jī)制的端對(duì)端消息認(rèn)證和完整性校驗(yàn)以及消息機(jī)密性的實(shí)施例。客戶端應(yīng)用(ae21102)想要在另一應(yīng)用實(shí)體(ae1602)的資源上執(zhí)行更新操作。由于資源托管在托管cse(cse1604)上，ae21102已經(jīng)被預(yù)提供資源的位置或使用發(fā)現(xiàn)服務(wù)以發(fā)現(xiàn)資源位置(/cse1/r-id)。cse1604想要確保僅授權(quán)的實(shí)體能夠在ae1602資源上執(zhí)行創(chuàng)建、檢索、更新、刪除或通知操作中的任何一個(gè)。為了cse1604能夠確保僅授權(quán)的實(shí)體能夠執(zhí)行crud操作，cse1604可以通過(guò)校驗(yàn)消息的發(fā)起方擁有的密鑰要求認(rèn)證消息的來(lái)源是授權(quán)的并且保證消息完整性。此外，要求數(shù)據(jù)和消息收發(fā)的機(jī)密性被機(jī)密性保護(hù)。在創(chuàng)建消息的準(zhǔn)備中，ae21102必須或從ttp分別獲得適當(dāng)?shù)南⒄J(rèn)證ke2e_ae2_csel_msg_auth以及消息機(jī)密性密鑰ke2e_ae2_csel_msg_conf，或由向其提供的或使用上述“第三方證書(shū)請(qǐng)求過(guò)程”使用引導(dǎo)過(guò)程生成的端對(duì)端主密鑰ke2e_ae2_csel_master生成該密鑰。替選地，可以使用單個(gè)ke2e_ae2_csel_msg_auth_conf用于消息認(rèn)證和消息機(jī)密性兩者并且使用基于認(rèn)證的加密和關(guān)聯(lián)數(shù)據(jù)(aead)的加密機(jī)制(例如aes-ccm、aes-gcm)。除密鑰外，獲得、生成為了ae21102能夠生成能由cse1604使用的正確認(rèn)證標(biāo)記，以便校驗(yàn)ae2消息的可靠性和機(jī)密性而要求的上下文信息、用途信息和標(biāo)簽或?qū)⑵涮峁┙oae21102。并且為了確定適當(dāng)算法、將在其上操作的模式、以及初始化向量(iv)的要求等的機(jī)密性，ae21102從密鑰庫(kù)選擇適當(dāng)?shù)淖C書(shū)，用于執(zhí)行端對(duì)端消息認(rèn)證和消息機(jī)密性，因此，選擇ke2e_ae2_csel_msg_auth_conf密鑰。不同于不存在用于執(zhí)行ae21102和cse2702之間的基于(d)tls的安全連接建立的密鑰的前一情形，相反，可用的證書(shū)被用于使用基于對(duì)象的安全模型在服務(wù)層提供ae21102和cse2702之間的消息認(rèn)證。ke2e_ae2_cse2_msg_auth可以被稱為端對(duì)端密鑰或逐跳證書(shū)，兩種方式之一均不重要，證書(shū)的用途和上下文才重要。用途和上下文信息提供有關(guān)將如何使用證書(shū)的指南。在第三方證書(shū)請(qǐng)求過(guò)程期間，可以從ttp獲得或提供用途和上下文信息。在實(shí)體注冊(cè)過(guò)程期間，ttp可以基于從服務(wù)提供商或?qū)嶓w獲得的sp、dp和/或ep，獲得或推斷適當(dāng)?shù)挠猛竞蜕舷挛男畔⒁约跋嚓P(guān)的安全需求和特征。機(jī)制是通過(guò)使用包含在m2m訂閱配置文件內(nèi)的參考鏈接，從in-cse2002獲得sp、dp和/或ep。應(yīng)理解到執(zhí)行在圖18的步驟中所示的步驟的實(shí)體是可以以在諸如圖21c或圖21d所示的網(wǎng)絡(luò)節(jié)點(diǎn)或計(jì)算機(jī)系統(tǒng)的存儲(chǔ)器中存儲(chǔ)并且在其處理器上執(zhí)行的軟件(例如計(jì)算機(jī)可執(zhí)行指令)的形式實(shí)現(xiàn)的邏輯實(shí)體。即，圖18所示的方法可以以在網(wǎng)絡(luò)節(jié)點(diǎn)(諸如圖21c或圖21d所示的節(jié)點(diǎn)或計(jì)算機(jī)系統(tǒng))的存儲(chǔ)器中存儲(chǔ)的軟件(即，計(jì)算機(jī)可執(zhí)行指令)的形式實(shí)現(xiàn)，該計(jì)算機(jī)可執(zhí)行指令當(dāng)由節(jié)點(diǎn)的處理器執(zhí)行時(shí)，執(zhí)行圖18所示的步驟。還理解到可以在節(jié)點(diǎn)的處理器和其執(zhí)行的計(jì)算機(jī)可執(zhí)行指令(例如軟件)的控制下，由節(jié)點(diǎn)的通信電路實(shí)現(xiàn)圖18所示的任何發(fā)送和接收步驟。在圖19的步驟1中，ae21102不使用逐跳認(rèn)證和安全通信建立機(jī)制。ae1602生成用于在cse1604上托管的ae1的資源(識(shí)別為/cse/r-id)上執(zhí)行“更新”操作的onem2m“請(qǐng)求”消息。由m2m-request-id1唯一地識(shí)別該請(qǐng)求消息。ae21102使用消息報(bào)頭信息，也被稱為origindata，生成認(rèn)證標(biāo)記(auth_tag)或消息認(rèn)證碼(mac)。替選地，整個(gè)消息被用作輸入以創(chuàng)建auth_tag。如前所述，優(yōu)選方法是完整性保護(hù)整個(gè)消息，然而，在某些實(shí)施方式中，為路由目的，可能由中間實(shí)體合理地變更一些組件，在這些情況下，必須確保未被中間實(shí)體變更但同時(shí)能夠提供可靠性和ae2請(qǐng)求的完整性的僅那些組件。被用于onem2m層路由的消息或消息報(bào)頭或元數(shù)據(jù)未被加密并且被分類為關(guān)聯(lián)數(shù)據(jù)(aad)。aad可以是完整性保護(hù)的。消息報(bào)頭或元數(shù)據(jù)是用于指定“aad”值的良好候選。auth_tag＝hmac-sha-256(ke2e_ae2_csel_msg_auth_conf,aad|nonce|時(shí)間)aad被指定整個(gè)消息報(bào)頭，或替選地，aad可以被指定為消息的消息報(bào)頭或元數(shù)據(jù)的子集。在auth_tag的生成中可以包括nonce、時(shí)間或兩者。在某些情況下，兩個(gè)均可以被排除，因?yàn)楸徽J(rèn)為對(duì)每一會(huì)話唯一的m2m-request-id被包括在每一消息內(nèi)。優(yōu)選使用整個(gè)消息以用于計(jì)算auth_tag，替選地，可以使用消息報(bào)頭用于生成auth_tag。然而，如果消息內(nèi)的某些組件可能由中間實(shí)體(諸如cse2702)變更，那么僅可以使用能被用來(lái)保證消息的可靠性和意圖的消息的那些組件。必須被完整性保護(hù)的消息的絕對(duì)必要的組件是：來(lái)自字段，“fr”；到字段，“to”；操作字段，“op”；資源id，“res-id”(如果不同于“to”字段)；和會(huì)話標(biāo)識(shí)符，“m2m-request-id”。根據(jù)上下文信息和用途參數(shù)(例如加密算法、加密模式和iv…)，包括數(shù)據(jù)有效載荷的剩余消息可以被加密。在圖19的步驟2，ae21102創(chuàng)建可以可以為onem2m消息收發(fā)進(jìn)行變更和裁剪的基于json的表示(jsonweb加密表示(jwe))，用于攜帶auth_tag連同用來(lái)創(chuàng)建auth_tag的安全屬性以及加密的消息和數(shù)據(jù)。jwe將包括下述安全屬性：“cred-id”，其是被用于識(shí)別證書(shū)的證書(shū)id；和密鑰，在這種情況下其是ke2e_ae2_csel_msg_auth-id。替選地，如果使用單獨(dú)的消息認(rèn)證密鑰和單獨(dú)的消息機(jī)密性密鑰，那么均應(yīng)當(dāng)發(fā)送關(guān)聯(lián)的證書(shū)id。使用的算法“alg”“aes-ccm”(舉例來(lái)說(shuō))；有效載荷，“payload”其包括消息或消息報(bào)頭連同數(shù)據(jù)；和簽名“sig”，其是auth_tag/mac。此外，使用的初始化向量“iv”以及基于加密過(guò)程生成的密文“密文”也被包括為jwe的一部分。替選地，可以由在簡(jiǎn)明二進(jìn)制對(duì)象表示(cbor)對(duì)象簽名和加密標(biāo)準(zhǔn)中描述的機(jī)制使用基于cbor的表示代替base64。生成包含消息報(bào)頭的onem2m消息“請(qǐng)求”和表示為jwe的安全屬性。此外，ae1602使用ke2e_ae2_cse2_msg_auth并且生成新的nonce和生成包括內(nèi)部安全性/jwe1參數(shù)的有關(guān)請(qǐng)求消息的auth_tag2。外部auth_tag2被用于與cse2702認(rèn)證。ae21102基于在具有可由其證書(shū)idke2e_ae2_cse2_msg_auth-id識(shí)別的關(guān)聯(lián)證書(shū)ke2e_ae2_cse2_msg_auth提供的上下文信息和用途信息中提供的指南，生成包含auth_tag2(mac)的jws1。由ae21102創(chuàng)建的消息被轉(zhuǎn)發(fā)到cse1604。在圖19的步驟3，cse2702使用在接收的消息內(nèi)包含的jws1信息以基于來(lái)自密鑰庫(kù)的證書(shū)id連同用途信息和上下文信息，獲得相關(guān)的證書(shū)。cse2702使用nonce、ke2e_ae2_cse2_msg_auth和消息/消息報(bào)頭，生成auth_tag，并且將其與包含在jws1內(nèi)的auth_tag比較，如果它們匹配，暗指已經(jīng)認(rèn)證過(guò)ae2的消息，并且如果已經(jīng)授權(quán)ae21102發(fā)送該消息，那么cse2702處理請(qǐng)求消息。cse2702從該消息去除jws1/mac。在圖19的步驟4，cse2702生成jws2或mac并且將其追加到請(qǐng)求消息。使用ke2e_cse2_csel_msg_authkey，連同新生成的nonce、消息或消息報(bào)頭或元數(shù)據(jù)，并且基于與證書(shū)/密鑰相關(guān)聯(lián)的上下文信息和用途信息，生成jws2內(nèi)的auth_tag。cse2702將jws2/mac追加到請(qǐng)求消息并且將其發(fā)送到cse1604。必須注意到在存在通過(guò)仍然有效的(d)tls連接創(chuàng)建的逐跳安全關(guān)聯(lián)的情況下，那么可以在該安全連接上發(fā)送請(qǐng)求消息，而不是生成jws2/mac?？梢曰诜?wù)提供商策略、設(shè)備能力等，確定使用(d)tls而不是對(duì)象安全(例如使用jws)。在不要求消息機(jī)密性的情況下，那么可以優(yōu)選使用對(duì)象安全。在某些情況下，即使要求消息和數(shù)據(jù)機(jī)密性，策略可以規(guī)定使用jwe而不是(d)tls，因?yàn)榉?wù)層可能能夠提供安全服務(wù)，而不依賴于下層安全，或由于(d)tls可能計(jì)算上和/或空間上更密集的性能原因。在圖19的步驟5，cse1604校驗(yàn)其是否為消息的目標(biāo)。使用外部安全屬性(jws2/mac)，cse1604使用相關(guān)證書(shū)id以便識(shí)別正確的證書(shū)并且從密鑰庫(kù)(例如，諸如sim卡的安全元件)提取它們，確定適當(dāng)?shù)纳舷挛男畔⒑陀猛緟?shù)。在這種情況下，在jws2中檢索ke2e_cse2_csel_msg_auth連同nonce，并且使用消息或消息報(bào)頭或消息的元數(shù)據(jù)，cse1604生成generated_auth_tag并且將其與jws2/mac內(nèi)的auth_tag比較，如果匹配，那么cse1604確認(rèn)該消息是通過(guò)受信cse1604發(fā)送的。cse1604丟棄外部jws2/mac并且處理內(nèi)部安全屬性/jwe1。從jew1內(nèi)，cse1604獲得證書(shū)id，在單獨(dú)的密鑰被用于消息認(rèn)證和消息機(jī)密性兩者的情況下，將必須基于證書(shū)id從密鑰庫(kù)提取兩個(gè)密鑰。使用jwe信息“alg”以及“cred-id”，cse1604能夠確定aead是否被用于安全保護(hù)，且如果是，可以僅檢索由cred-id識(shí)別的單個(gè)關(guān)聯(lián)證書(shū)?；诖_定安全類型(簽名、加密)的上下文信息、涉及的實(shí)體等以及用途(nonce的算法、可用性等)，校驗(yàn)消息是否具有正確的特性集，識(shí)別aad、iv、nonce和其它參數(shù)并且使用ke2e_ae2_csel_msg_conf密鑰以便解密“密文”并且提取“明文”，其可以包含消息和數(shù)據(jù)有效載荷。cse1604使用該消息或消息報(bào)頭或消息的元數(shù)據(jù)或使用已經(jīng)被識(shí)別為aad的信息，以計(jì)算generated_authtag。在一些實(shí)施方式中，由ae21102原始發(fā)送的整個(gè)消息，或消息報(bào)頭或消息的元數(shù)據(jù)，并且使用可能存在的nonce連同上下文信息，以及將參數(shù)作為輸入提供到在這種情況下正好為aes-ccm的jwe內(nèi)識(shí)別的“alg”中，并且生成generated_auth_tag。cse1604校驗(yàn)generated_auth_tag是否與包含在jwe內(nèi)的auth_tag相同，且如果是，ae2的消息被認(rèn)證。在圖19的步驟6，cse1604然后校驗(yàn)以查看已經(jīng)是否授權(quán)ae21102在ae1602資源上執(zhí)行“更新”操作。如果授權(quán)ae21102執(zhí)行“更新”操作，那么cse1604更新由r-id識(shí)別的ae1602資源。在圖19的步驟7，cse1604準(zhǔn)備將指示在ae1的資源上執(zhí)行更新操作的“通知”消息發(fā)送到ae1602。如果在ae1602和cse1604之間不存在現(xiàn)有的(d)tls連接，或如果在cse1604和ae1602之間不存在用于執(zhí)行逐跳安全關(guān)聯(lián)的證書(shū)，或如果策略規(guī)定不使用借助(d)tls的逐跳安全關(guān)聯(lián)，那么使用借助jws的對(duì)象安全機(jī)制用來(lái)提供消息認(rèn)證。cse1604基于與ke2e_csel_ael_msg_auth密鑰相關(guān)聯(lián)的上下文信息和用途信息，使用新生成的nonce連同所述消息、消息報(bào)頭或消息的元數(shù)據(jù)，生成jws3/mac。jws3/mac被追加到由cse1604生成的“通知”請(qǐng)求消息并且被發(fā)送到ae1602，指示“更新”ae1的資源“r-id”。如果策略規(guī)定借助(d)tls的逐跳安全將被用于確保cse1604和ae1602之間的通信，那么可以通過(guò)使用基于onem2m技術(shù)規(guī)范ts-0003版本1需要被提供或生成的共享對(duì)稱密鑰kpsa_ael_csel，創(chuàng)建(d)tls連接?！巴ㄖ毕⒖梢栽诎踩B接上被發(fā)送，而不是使用對(duì)象安全機(jī)制。在圖19的步驟8，ae1602校驗(yàn)jws3/mac并且認(rèn)證“通知”消息。在圖19的步驟9，cse1604創(chuàng)建響應(yīng)消息，其是對(duì)由ae21102發(fā)送的請(qǐng)求消息的響應(yīng)。cse1604使用與在步驟2中由ae21102使用的過(guò)程類似的處理，使用在ae21102和cse1604之間關(guān)聯(lián)的ke2e_ae2_csel_msg_auth_conf以生成auth_tag2、加密的消息和jwe2。安全屬性/jwe2被追加到消息報(bào)頭或aad。推薦每次使用新的nonce和iv并且將其包括為jwe的一部分，并且不重用現(xiàn)有的nonce?？梢园ㄋ械?例如nonce、auth-tag2、證書(shū)id、識(shí)別為aad的消息或消息的消息報(bào)頭或元數(shù)據(jù)、iv和密文)以創(chuàng)建jwe2?？蛇x地，cse1604還生成用來(lái)將消息認(rèn)證提供給cse2702的外部jws4/mac(auth_tag)。通過(guò)使用ke2e_cse2_csel_msg_auth連同先前所述的適當(dāng)參數(shù)，生成jws4。在圖19的步驟10，cse1604將響應(yīng)消息連同jws4/mac發(fā)送到cse2702。如果策略要求在cse1604和cse2702之間建立(d)tls連接，那么可以在安全連接上發(fā)送響應(yīng)消息并且跳過(guò)生成jws4。在圖19的步驟11，cse2702可以通過(guò)校驗(yàn)jws4校驗(yàn)從cse1604接收的消息的可靠性/完整性并且從該消息去除jws4/mac。然后，cse2702使用ke2e_ae2_cse2_msg_auth和如上所述的其它參數(shù)(例如新的nonce、消息或消息報(bào)頭或消息的元數(shù)據(jù)、上下文信息和其它參數(shù))，生成auth_tag并且將auth_tag合并在jws5上。在圖19的步驟12，ae21102通過(guò)使用如在圖19的步驟5中所述的類似機(jī)制，使用響應(yīng)消息上的ke2e_ae2_cse2_msg_auth密鑰，校驗(yàn)jws5并且認(rèn)證還包括安全屬性/jwe2的響應(yīng)消息。因此，ae21102確定響應(yīng)消息是通過(guò)受信cse2702轉(zhuǎn)發(fā)的。ae21102丟棄外部jws5/mac并且處理內(nèi)部安全屬性/jwe2。從jew2內(nèi)，ae21102獲得證書(shū)id，在單獨(dú)的密鑰被用于消息認(rèn)證和消息機(jī)密性兩者的情況下，將必須基于證書(shū)id從密鑰庫(kù)提取兩個(gè)密鑰。使用jwe信息“alg”以及“cred-id”，ae21102能夠確定aead是否被用于安全保護(hù)，如果是，可以僅檢索由cred-id識(shí)別的單個(gè)關(guān)聯(lián)證書(shū)?；诖_定安全類型(簽名、加密)的上下文信息、涉及的實(shí)體等以及用途(nonce的算法、可用性等)，校驗(yàn)消息是否具有正確的特性集，識(shí)別aad、iv、nonce和其它參數(shù)并且使用ke2e_ae2_csel_msg_conf密鑰以便解密“密文”并且提取“明文”，其包含消息和數(shù)據(jù)有效載荷。ae21102使用該消息或消息報(bào)頭或消息的元數(shù)據(jù)或使用已經(jīng)被識(shí)別為aad的信息，以便計(jì)算generated_authtag。在一些情況中，由cse1604原始發(fā)送的整個(gè)消息，或消息的消息報(bào)頭或元數(shù)據(jù)，并且使用可能存在的nonce連同上下文信息，以及將參數(shù)作為輸入提供到在這種情況下正好為aes-ccm的jwe內(nèi)識(shí)別的“alg”中，并且生成generated_auth_tag。ae21102校驗(yàn)generated_auth_tag是否與包含在jwe內(nèi)的auth_tag相同，且如果是，ae2的消息被認(rèn)證。應(yīng)理解到執(zhí)行在圖19的步驟中所示的步驟的實(shí)體是可以以在諸如圖21c或圖21d所示的網(wǎng)絡(luò)節(jié)點(diǎn)或計(jì)算機(jī)系統(tǒng)的存儲(chǔ)器中存儲(chǔ)并且在其處理器上執(zhí)行的軟件(例如計(jì)算機(jī)可執(zhí)行指令)的形式實(shí)現(xiàn)的邏輯實(shí)體。即，圖19所示的方法可以以在網(wǎng)絡(luò)節(jié)點(diǎn)(諸如圖21c或圖21d所示的節(jié)點(diǎn)或計(jì)算機(jī)系統(tǒng))的存儲(chǔ)器中存儲(chǔ)的軟件(即，計(jì)算機(jī)可執(zhí)行指令)的形式實(shí)現(xiàn)，該計(jì)算機(jī)可執(zhí)行指令當(dāng)由節(jié)點(diǎn)的處理器執(zhí)行時(shí)，執(zhí)行圖19所示的步驟。還理解到可以在節(jié)點(diǎn)的處理器和其執(zhí)行的計(jì)算機(jī)可執(zhí)行指令(例如軟件)的控制下，由節(jié)點(diǎn)的通信電路實(shí)現(xiàn)圖19所示的任何發(fā)送和接收步驟。使用委托模式的在會(huì)話層的e2e認(rèn)證圖9圖示使用委托模式在會(huì)話層(dtls/tls)處執(zhí)行的e2e認(rèn)證。與上述使用的方法類似，除了在此通過(guò)在兩個(gè)e2e實(shí)體(cse1604和cse3502)之間建立單獨(dú)的會(huì)話層連接執(zhí)行認(rèn)證。cse1604和cse3502使用在請(qǐng)求消息內(nèi)攜帶的e2e認(rèn)證mac執(zhí)行基于dtls或tsl的認(rèn)證而不是執(zhí)行逐跳認(rèn)證。消息收發(fā)詳情：圖9的步驟1-4，與參考圖8a-b的消息收發(fā)機(jī)制類似、圖9的步驟5，cse1604使用kpsae2e，cse3502建立dtls連接。作為參數(shù)提供過(guò)程的一部分，cse1604能夠獲得應(yīng)當(dāng)被用于在cse1604和cse3502之間建立e2edtls的cse3502的uri和端口#。圖9的步驟6，在dtls隧道內(nèi)，將來(lái)自cse1604的請(qǐng)求消息轉(zhuǎn)發(fā)到cse3502。在此，cse3經(jīng)由從cse1604的dtls隧道，被假定為另一下一跳。圖9的步驟7，cse3502校驗(yàn)消息發(fā)起方信息，其在此正好為cse1604。應(yīng)理解到執(zhí)行在圖9的步驟中所示的步驟的實(shí)體是可以以在諸如圖21c或圖21d所示的網(wǎng)絡(luò)節(jié)點(diǎn)或計(jì)算機(jī)系統(tǒng)的存儲(chǔ)器中存儲(chǔ)并且在其處理器上執(zhí)行的軟件(例如計(jì)算機(jī)可執(zhí)行指令)的形式實(shí)現(xiàn)的邏輯實(shí)體。即，圖9所示的方法可以以在網(wǎng)絡(luò)節(jié)點(diǎn)(諸如圖21c或圖21d所示的節(jié)點(diǎn)或計(jì)算機(jī)系統(tǒng))的存儲(chǔ)器中存儲(chǔ)的軟件(即，計(jì)算機(jī)可執(zhí)行指令)的形式實(shí)現(xiàn)，該計(jì)算機(jī)可執(zhí)行指令當(dāng)由節(jié)點(diǎn)的處理器執(zhí)行時(shí)，執(zhí)行圖9所示的步驟。還理解到可以在節(jié)點(diǎn)的處理器和其執(zhí)行的計(jì)算機(jī)可執(zhí)行指令(例如軟件)的控制下，由節(jié)點(diǎn)的通信電路實(shí)現(xiàn)圖9所示的任何發(fā)送和接收步驟。使用直接模式，在會(huì)話層處的e2e認(rèn)證圖10圖示使用直接模式在會(huì)話層處的e2e認(rèn)證，以及不同于在前所述的機(jī)制，ae1602基于從ttp獲得的與cse3502相關(guān)聯(lián)的證書(shū)，與cse3502建立直接dtls連接。使用uri、端口#和aeid，適當(dāng)?shù)嘏渲觅Y源。cse3502校驗(yàn)是否消息的發(fā)起方。應(yīng)理解到執(zhí)行在圖10的步驟中所示的步驟的實(shí)體是可以以在諸如圖21c或圖21d所示的網(wǎng)絡(luò)節(jié)點(diǎn)或計(jì)算機(jī)系統(tǒng)的存儲(chǔ)器中存儲(chǔ)并且在其處理器上執(zhí)行的軟件(例如計(jì)算機(jī)可執(zhí)行指令)的形式實(shí)現(xiàn)的邏輯實(shí)體。即，圖10所示的方法可以以在網(wǎng)絡(luò)節(jié)點(diǎn)(諸如圖21c或圖21d所示的節(jié)點(diǎn)或計(jì)算機(jī)系統(tǒng))的存儲(chǔ)器中存儲(chǔ)的軟件(即，計(jì)算機(jī)可執(zhí)行指令)的形式實(shí)現(xiàn)，該計(jì)算機(jī)可執(zhí)行指令當(dāng)由節(jié)點(diǎn)的處理器執(zhí)行時(shí)，執(zhí)行圖10所示的步驟。還理解到可以在節(jié)點(diǎn)的處理器和其執(zhí)行的計(jì)算機(jī)可執(zhí)行指令(例如軟件)的控制下，由節(jié)點(diǎn)的通信電路實(shí)現(xiàn)圖10所示的任何發(fā)送和接收步驟。組認(rèn)證可以基于由那些實(shí)體提供的能力和功能性分組實(shí)體。設(shè)想提供相同類型的服務(wù)的每一實(shí)體可以借助“服務(wù)標(biāo)識(shí)”被識(shí)別，或在onem2m的情況下，被識(shí)別為在m2m服務(wù)提供商域內(nèi)唯一的或甚至全局唯一的“應(yīng)用標(biāo)識(shí)”。情形1：可以以多種方式執(zhí)行組認(rèn)證：○與每一組相關(guān)聯(lián)的唯一組密鑰○在服務(wù)使能和安全配置過(guò)程期間提供○屬于同一組的所有實(shí)體共享相同e2e組密鑰○e2e使用可以在提供階段預(yù)提供的組認(rèn)證密鑰，認(rèn)證彼此○在認(rèn)證后，可以推導(dǎo)組會(huì)話密鑰并且在由組管理員(例如cse)提供的組成員之間共享情形2：無(wú)唯一組密鑰，但唯一e2e認(rèn)證密鑰(減少e2e消息收發(fā))——委托認(rèn)證的特殊情形○可以由組管理員(例如托管cse)管理組○所有組成員注冊(cè)到托管cse○組的每一成員具有唯一e2e認(rèn)證密鑰○如在前文章節(jié)中所述，使用唯一e2e認(rèn)證密鑰，通過(guò)遠(yuǎn)程cse或任何其它實(shí)體，認(rèn)證組成員情形3：混合模式○由預(yù)先被提供有其自己的組管理員密鑰(gm密鑰)的組管理員管理組○所有組成員注冊(cè)到組管理員○組的每一成員具有唯一e2e認(rèn)證密鑰○組管理員將gm密鑰用作用于初始組認(rèn)證的e2e組密鑰○用于每一實(shí)體的唯一e2e認(rèn)證密鑰被用于另外的多因子/多層認(rèn)證○組的新成員可以使用e2e組密鑰來(lái)獲得它們的唯一e2e密鑰，或可以在服務(wù)使能和安全配置過(guò)程期間提供。○組認(rèn)證過(guò)程可以包括：○對(duì)將用于該組的共用安全參數(shù)，在組管理員和組成員之間協(xié)商○對(duì)將用于組的新的/未來(lái)成員的證書(shū)，在組管理員和ttp之間協(xié)商和撤消組成員信息和相關(guān)證書(shū)在圖11a-b中圖示其中不提供組密鑰，但在委托認(rèn)證模式情形中在兩個(gè)實(shí)體之間使用唯一e2e密鑰的組認(rèn)證的實(shí)施例。由組管理員(例如cse1604)管理組。描述相關(guān)步驟：圖11a-b的步驟1-6遵循前面章節(jié)中所述的機(jī)制。在圖11a-b的步驟7中，基于基于消息收發(fā)的目標(biāo)推斷的信息，cse1創(chuàng)建包括消息2的相關(guān)部分連同(使用與實(shí)體a相關(guān)聯(lián)的kpsa_e2e1生成的)mac1以及消息6的相關(guān)部分連同(使用與實(shí)體b相關(guān)聯(lián)的kpsa_e2e2生成的)mac2的合并消息。圖11a-b的步驟8與在前章節(jié)中所述相同。在圖11a-b的步驟9中，cse1604使用kpsae2e，與cse3502(目標(biāo))創(chuàng)建(d)tls連接。圖11a-b的步驟10，將在步驟7創(chuàng)建的合并消息在(d)tls連接上由cse1604安全地發(fā)送到cse3502。圖11a-b的步驟11，cse3502通過(guò)校驗(yàn)發(fā)起方或消息，校驗(yàn)存在從兩個(gè)實(shí)體(ae1602和cse1102)發(fā)起的兩個(gè)服務(wù)層消息，由此校驗(yàn)各自的mac，并且還確保還未重放消息。應(yīng)理解到執(zhí)行在圖11a-b的步驟中所示的步驟的實(shí)體是可以以在諸如圖21c或圖21d所示的網(wǎng)絡(luò)節(jié)點(diǎn)或計(jì)算機(jī)系統(tǒng)的存儲(chǔ)器中存儲(chǔ)并且在其處理器上執(zhí)行的軟件(例如計(jì)算機(jī)可執(zhí)行指令)的形式實(shí)現(xiàn)的邏輯實(shí)體。即，圖11a-b所示的方法可以以在網(wǎng)絡(luò)節(jié)點(diǎn)(諸如圖21c或圖21d所示的節(jié)點(diǎn)或計(jì)算機(jī)系統(tǒng))的存儲(chǔ)器中存儲(chǔ)的軟件(即，計(jì)算機(jī)可執(zhí)行指令)的形式實(shí)現(xiàn)，該計(jì)算機(jī)可執(zhí)行指令當(dāng)由節(jié)點(diǎn)的處理器執(zhí)行時(shí)，執(zhí)行圖11a-b所示的步驟。還理解到可以在節(jié)點(diǎn)的處理器和其執(zhí)行的計(jì)算機(jī)可執(zhí)行指令(例如軟件)的控制下，由節(jié)點(diǎn)的通信電路實(shí)現(xiàn)圖11a-b所示的任何發(fā)送和接收步驟。界面諸如圖形用戶界面(gui)的界面能被用來(lái)幫助用戶控制和/或配置有關(guān)端對(duì)端授權(quán)的功能性。圖12是圖示允許用戶選擇和配置端對(duì)端認(rèn)證，包括配置服務(wù)使能功能和密鑰遞送功能的界面1202的圖。用戶界面1202能被用來(lái)在m2m設(shè)備/網(wǎng)關(guān)/服務(wù)器處配置/顯示端對(duì)端安全策略和相關(guān)安全參數(shù)。應(yīng)理解到能使用如下文所述的圖21c-d所示的那些顯示器，生成界面2102。示例m2m/iot/wot通信系統(tǒng)圖21a是其中可實(shí)現(xiàn)一個(gè)或多個(gè)公開(kāi)的實(shí)施例的示例機(jī)器間(m2m)、物聯(lián)網(wǎng)(iot)或萬(wàn)物網(wǎng)(wot)通信系統(tǒng)10的圖。一般地，m2m技術(shù)提供了用于iot/wot的構(gòu)建塊，并且任何m2m設(shè)備、m2m網(wǎng)關(guān)、m2m服務(wù)器或m2m服務(wù)平臺(tái)可以是iot/wot的組件或節(jié)點(diǎn)以及iot/wot服務(wù)層等。通信系統(tǒng)10可以用來(lái)實(shí)現(xiàn)公開(kāi)的實(shí)施例的功能，并且可以包括功能性和邏輯實(shí)體，諸如服務(wù)使能功能204和304，密鑰遞送功能206，受信第三方，cse402、502、504、604、704和2002，csf408和412，ae1602，ae21102，sp儲(chǔ)存庫(kù)2004，dp/ep儲(chǔ)存庫(kù)2006，mef2008，和產(chǎn)生用戶界面1202的邏輯實(shí)體。如圖21a中所示，m2m/iot/wot通信系統(tǒng)10包括通信網(wǎng)絡(luò)12。通信網(wǎng)絡(luò)12可以是固定網(wǎng)絡(luò)(例如，以太網(wǎng)、fiber、isdn、plc等)或無(wú)線網(wǎng)絡(luò)(例如，wlan、蜂窩等)或者異構(gòu)網(wǎng)絡(luò)的網(wǎng)絡(luò)。例如，通信網(wǎng)絡(luò)12可由向多個(gè)用戶提供諸如語(yǔ)音、數(shù)據(jù)、視頻、消息、廣播等內(nèi)容的多個(gè)接入網(wǎng)構(gòu)成。例如，通信網(wǎng)絡(luò)12可采用一個(gè)或多個(gè)信道接入法，諸如碼分多址(cdma)、時(shí)分多址(tdma)、頻分多址(fdma)、正交fdma(ofdma)、單載波fdma(sc-fdma)等。此外，通信網(wǎng)絡(luò)12可包括其它網(wǎng)絡(luò)，諸如核心網(wǎng)絡(luò)、因特網(wǎng)、傳感器網(wǎng)絡(luò)、工業(yè)控制網(wǎng)絡(luò)、個(gè)域網(wǎng)、融合個(gè)人網(wǎng)絡(luò)、衛(wèi)星網(wǎng)絡(luò)、家庭網(wǎng)絡(luò)或企業(yè)網(wǎng)。如圖21a中所示，m2m/iot/wot通信系統(tǒng)10可包括基礎(chǔ)設(shè)施域和場(chǎng)域。基礎(chǔ)設(shè)施域指代端對(duì)端m2m部署的網(wǎng)絡(luò)側(cè)，以及場(chǎng)域指代通常在m2m網(wǎng)關(guān)后面的區(qū)域網(wǎng)。場(chǎng)域和基礎(chǔ)設(shè)施域兩者可包括多種不同的網(wǎng)絡(luò)節(jié)點(diǎn)(例如，服務(wù)器、網(wǎng)關(guān)、設(shè)備等)。例如，場(chǎng)域可包括m2m網(wǎng)關(guān)14和終端設(shè)備18。將認(rèn)識(shí)到的是可根據(jù)期望在m2m/iot/wot通信系統(tǒng)10中包括任何數(shù)量的m2m網(wǎng)關(guān)設(shè)備14和m2m終端設(shè)備18。m2m網(wǎng)關(guān)設(shè)備14和m2m終端設(shè)備18中的每一個(gè)被配置成經(jīng)由通信網(wǎng)絡(luò)12或直接無(wú)線電鏈路使用通信電路來(lái)發(fā)送和接收數(shù)據(jù)。m2m網(wǎng)關(guān)設(shè)備14允許無(wú)線m2m設(shè)備(例如，蜂窩式和非蜂窩式)以及固定網(wǎng)絡(luò)m2m設(shè)備(例如plc)通過(guò)諸如通信網(wǎng)絡(luò)12的運(yùn)營(yíng)商網(wǎng)絡(luò)或者通過(guò)直接無(wú)線電鏈路進(jìn)行通信。例如，m2m設(shè)終端設(shè)備18可收集數(shù)據(jù)并經(jīng)由通信網(wǎng)絡(luò)12或直接無(wú)線電鏈路來(lái)向m2m應(yīng)用20或其它m2m設(shè)備18發(fā)送數(shù)據(jù)。m2m終端設(shè)備18還可從m2m應(yīng)用20或m2m終端設(shè)備18接收數(shù)據(jù)。此外，如下所述，可經(jīng)由m2m服務(wù)層22向m2m應(yīng)用20發(fā)送和從其接收數(shù)據(jù)和信號(hào)。例如，m2m終端設(shè)備18和網(wǎng)關(guān)14可經(jīng)由包括蜂窩式、wlan、wpan(例如，zigbee、6lowpan、藍(lán)牙)的各種網(wǎng)絡(luò)、直接無(wú)線電鏈路以及線纜進(jìn)行通信。示例m2m終端設(shè)備18包括但不限于平板電腦、智能電話、醫(yī)療設(shè)備、溫度和天氣監(jiān)視器、聯(lián)網(wǎng)汽車、智能儀表、游戲控制臺(tái)、個(gè)人數(shù)字助理、健康監(jiān)視器、燈、恒溫器、器具、車庫(kù)門及其它基于致動(dòng)器的設(shè)備、安全設(shè)備以及智能插座。參考圖21b，場(chǎng)域中的所示m2m服務(wù)層22為m2m應(yīng)用20、m2m網(wǎng)關(guān)設(shè)備14以及m2m終端設(shè)備18和通信網(wǎng)絡(luò)12提供服務(wù)。通信網(wǎng)絡(luò)12可以用來(lái)實(shí)現(xiàn)公開(kāi)的實(shí)施例的功能，并且可以包括功能和邏輯實(shí)體，諸如服務(wù)使能功能204和304，密鑰遞送功能206，受信第三方，cse402、502、504、604、704和2002，csf408和412，ae1602，ae21102，sp儲(chǔ)存庫(kù)2004，dp/ep儲(chǔ)存庫(kù)2006，mef2008，和產(chǎn)生用戶界面1202的邏輯實(shí)體?？捎梢粋€(gè)或多個(gè)服務(wù)器、計(jì)算機(jī)、設(shè)備、虛擬機(jī)(例如，云/計(jì)算/存儲(chǔ)群等)等來(lái)實(shí)現(xiàn)m2m服務(wù)層22，包括例如下面所述的圖21c和21d中所示的設(shè)備。將理解的是m2m服務(wù)層22可按需與任何數(shù)量的m2m應(yīng)用、m2m網(wǎng)關(guān)設(shè)備14、m2m終端設(shè)備18和通信網(wǎng)絡(luò)12通信。m2m服務(wù)層22可由網(wǎng)絡(luò)的一個(gè)或多個(gè)節(jié)點(diǎn)實(shí)現(xiàn)，其可包括服務(wù)器、計(jì)算機(jī)、設(shè)備等。m2m服務(wù)層22提供應(yīng)用于m2m終端設(shè)備18、m2m網(wǎng)關(guān)14以及m2m應(yīng)用20的服務(wù)能力?？捎枚喾N方式來(lái)實(shí)現(xiàn)m2m服務(wù)層22的功能，例如作為網(wǎng)絡(luò)服務(wù)器、在蜂窩式核心網(wǎng)絡(luò)中、在云中等。類似于所示的m2m服務(wù)層22，在基礎(chǔ)設(shè)施域中存在m2m服務(wù)層22'。m2m服務(wù)層22'為基礎(chǔ)設(shè)施域中的m2m應(yīng)用20'和底層通信網(wǎng)絡(luò)12'提供服務(wù)。m2m服務(wù)層22'還為場(chǎng)域中的m2m網(wǎng)關(guān)設(shè)備14和m2m終端設(shè)備18提供服務(wù)。將理解的是m2m服務(wù)層22'可與任何數(shù)量的m2m應(yīng)用、m2m網(wǎng)關(guān)和m2m設(shè)備通信。m2m服務(wù)層22'可通過(guò)不同的服務(wù)提供商與服務(wù)層相交互。m2m服務(wù)層22'可由網(wǎng)絡(luò)的一個(gè)或多個(gè)節(jié)點(diǎn)實(shí)現(xiàn)，其可包括服務(wù)器、計(jì)算機(jī)、設(shè)備、虛擬機(jī)(例如，云計(jì)算/存儲(chǔ)群等)等。還參考圖21b，m2m服務(wù)層22和22'提供了不同應(yīng)用和垂直可以利用的核心的一組核心服務(wù)遞送能力。這些服務(wù)能力使得m2m應(yīng)用20和20'能夠與設(shè)備相交互并執(zhí)行諸如數(shù)據(jù)收集、數(shù)據(jù)分析、設(shè)備管理、安全、計(jì)費(fèi)、服務(wù)/設(shè)備發(fā)現(xiàn)等功能。本質(zhì)上，這些服務(wù)能力免除了應(yīng)用實(shí)現(xiàn)這些功能的負(fù)擔(dān)，從而簡(jiǎn)化了應(yīng)用開(kāi)發(fā)并減少了成本和上市時(shí)間。服務(wù)層22和22'還使得m2m應(yīng)用20和20'能夠通過(guò)與服務(wù)層22和22'提供的服務(wù)相連接的各種網(wǎng)絡(luò)12和12'進(jìn)行通信。可將本申請(qǐng)的方法實(shí)現(xiàn)為服務(wù)層22和22'的一部分。服務(wù)層22和22'是通過(guò)應(yīng)用編程界面(api)和底層聯(lián)網(wǎng)界面的集合來(lái)支持增值服務(wù)能力的軟件中間件層。etsim2m和onem2m兩者都使用可包含本申請(qǐng)的連接方法的服務(wù)層。etsim2m的服務(wù)層被稱為服務(wù)能力層(scl)?？稍趍2m設(shè)備(其中將其稱為設(shè)備scl(dscl))、網(wǎng)關(guān)(其中將其稱為網(wǎng)關(guān)scl(gscl))和/或網(wǎng)絡(luò)節(jié)點(diǎn)(其中將其稱為網(wǎng)絡(luò)scl(nscl))內(nèi)實(shí)現(xiàn)scl。onem2m服務(wù)層支持公共服務(wù)功能(csf)(即服務(wù)能力)的集合。一個(gè)或多個(gè)特定類型的csf的集合的實(shí)例化被稱為公共服務(wù)實(shí)體(cse)，其可以在不同類型的網(wǎng)絡(luò)節(jié)點(diǎn)(例如基礎(chǔ)設(shè)施節(jié)點(diǎn)、中間節(jié)點(diǎn)、應(yīng)用特定節(jié)點(diǎn))上托管。此外，可以將本申請(qǐng)的連接方法實(shí)現(xiàn)為m2m網(wǎng)絡(luò)的一部分，其使用面向服務(wù)架構(gòu)(soa)和/或面向資源架構(gòu)(roa)來(lái)接入諸如本申請(qǐng)的連接方法的服務(wù)。在某些實(shí)施例中，可與公開(kāi)的系統(tǒng)和方法相結(jié)合地使用m2m應(yīng)用20和20'。m2m應(yīng)用20和20'可包括與ue或網(wǎng)關(guān)相交互的應(yīng)用，并且還可與其它公開(kāi)的系統(tǒng)和方法相結(jié)合地使用。在一個(gè)實(shí)施例中，可在由如圖21b中所示的m2m節(jié)點(diǎn),諸如m2m服務(wù)器、m2m網(wǎng)關(guān)或m2m設(shè)備托管的m2m服務(wù)層實(shí)例內(nèi)托管諸如服務(wù)使能功能204和304、密鑰遞送功能206、受信第三方、cse402、502、504、604、704和2002、csf408和412、ae1602、ae21102、sp儲(chǔ)存庫(kù)2004、dp/ep儲(chǔ)存庫(kù)2006、mef2008的邏輯實(shí)體，和產(chǎn)生用戶界面1202的邏輯實(shí)體。例如，諸如服務(wù)使能功能204和304、密鑰遞送功能206、受信第三方、cse402、502、504、604、704和2002、csf408和412、ae1602、ae21102和產(chǎn)生用戶界面1202的邏輯實(shí)體的邏輯實(shí)體可以包括包括在m2m服務(wù)層實(shí)例內(nèi)的單獨(dú)服務(wù)能力或者作為現(xiàn)有服務(wù)能力內(nèi)的子功能。m2m應(yīng)用20和20'可包括在各種行業(yè)中的應(yīng)用，諸如但不限于運(yùn)輸、健康和保健、聯(lián)網(wǎng)家庭、能源管理、資產(chǎn)跟蹤以及安全和監(jiān)控。如上所述，跨越系統(tǒng)的設(shè)備、網(wǎng)關(guān)、服務(wù)器及其它節(jié)點(diǎn)運(yùn)行的m2m服務(wù)層支持諸如數(shù)據(jù)收集、設(shè)備管理、安全、計(jì)費(fèi)、位置跟蹤/地理圍欄、設(shè)備/服務(wù)發(fā)現(xiàn)、以及傳統(tǒng)系統(tǒng)集成的功能，并將這些功能作為服務(wù)提供給m2m應(yīng)用20和20'。一般地，服務(wù)層22和22'定義了通過(guò)應(yīng)用編程界面(api)和底層聯(lián)網(wǎng)接口的集合來(lái)支持增值服務(wù)能力的軟件中間件層。etsim2m和onem2m架構(gòu)兩者都定義了服務(wù)層。etsim2m的服務(wù)層稱為服務(wù)能力層(scl)。可在etsim2m架構(gòu)的多種不同節(jié)點(diǎn)中實(shí)現(xiàn)scl。例如，可在m2m設(shè)備(其中，將其稱為設(shè)備scl(dscl))、網(wǎng)關(guān)(其中，將其稱為網(wǎng)關(guān)scl(gscl))和/或網(wǎng)絡(luò)節(jié)點(diǎn)(其中，將其稱為網(wǎng)絡(luò)scl(nscl))內(nèi)實(shí)現(xiàn)服務(wù)層的實(shí)例。onem2m服務(wù)層支持公共服務(wù)功能(csf)(即服務(wù)能力)的集合。一個(gè)或多個(gè)特定類型的csf的集合的實(shí)例化被稱為公共服務(wù)實(shí)體(cse)，其可以在不同類型的網(wǎng)絡(luò)節(jié)點(diǎn)(例如基礎(chǔ)設(shè)施節(jié)點(diǎn)、中間節(jié)點(diǎn)、應(yīng)用特定節(jié)點(diǎn))上托管。第三代合作伙伴計(jì)劃(3gpp)還定義了用于機(jī)器類型通信(mtc)的架構(gòu)。在該架構(gòu)中，服務(wù)器及其提供的服務(wù)能力被實(shí)現(xiàn)為服務(wù)能力服務(wù)器(scs)的一部分。無(wú)論體現(xiàn)在etsim2m架構(gòu)的dscl、gscl或nscl中，3gppmtc架構(gòu)的服務(wù)能力服務(wù)器(scs)中，onem2m架構(gòu)的csf或cse中還是網(wǎng)絡(luò)的某個(gè)其它節(jié)點(diǎn)中，服務(wù)層的實(shí)例都可被實(shí)現(xiàn)為在網(wǎng)絡(luò)中的一個(gè)或多個(gè)獨(dú)立節(jié)點(diǎn)(包括服務(wù)器、計(jì)算機(jī)及其它計(jì)算設(shè)備或節(jié)點(diǎn))上或者作為一個(gè)或多個(gè)現(xiàn)有節(jié)點(diǎn)的一部分執(zhí)行的邏輯實(shí)體(例如，軟件、計(jì)算機(jī)可執(zhí)行指令等)。作為示例，可以在具有下面描述的圖21c或圖21d中所示的通用架構(gòu)的網(wǎng)絡(luò)節(jié)點(diǎn)(例如，服務(wù)器、計(jì)算機(jī)、網(wǎng)關(guān)、設(shè)備等)上運(yùn)行的軟件的形式實(shí)現(xiàn)服務(wù)層或其組件的實(shí)例。此外，可以將諸如服務(wù)使能功能204和304、密鑰遞送功能206、受信第三方、cse402、502、504、604、704和2002、csf408和412、ae1602、ae21102和產(chǎn)生用戶界面1202的邏輯實(shí)體的邏輯實(shí)體實(shí)現(xiàn)為m2m網(wǎng)絡(luò)的一部分，其使用面向服務(wù)架構(gòu)(soa)和/或面向資源架構(gòu)(roa)來(lái)接入本申請(qǐng)的服務(wù)。圖21c是諸如m2m設(shè)備18、m2m網(wǎng)關(guān)14、m2m服務(wù)器等的m2m網(wǎng)絡(luò)節(jié)點(diǎn)30的示例硬件/軟件架構(gòu)的框圖。節(jié)點(diǎn)30可以執(zhí)行或包括諸如服務(wù)使能功能204和304、密鑰遞送功能206、受信第三方、cse402、502、504、604、704和2002、csf408和412、ae1602、ae21102、sp儲(chǔ)存庫(kù)2004、dp/ep儲(chǔ)存庫(kù)2006、mef2008的邏輯實(shí)體和產(chǎn)生用戶界面1202的邏輯實(shí)體。設(shè)備30可以是m2m網(wǎng)絡(luò)的一部分，如圖21a-b中所示，或非m2m網(wǎng)絡(luò)的一部分。如圖21c中所示，m2m節(jié)點(diǎn)30可包括處理器32、不可移動(dòng)存儲(chǔ)器44、可移動(dòng)存儲(chǔ)器46、揚(yáng)聲器/擴(kuò)音器38、小鍵盤(pán)40、顯示器、觸摸板和/或指示器42、電源48、全球定位系統(tǒng)(gps)芯片集50及其它外設(shè)52。節(jié)點(diǎn)30還可包括通信電路，諸如收發(fā)機(jī)34和發(fā)送/接收元件36。將認(rèn)識(shí)到的是m2m節(jié)點(diǎn)30可包括前述元件的任何子組合，而仍與實(shí)施例保持一致。此節(jié)點(diǎn)可以是實(shí)現(xiàn)本文所述的smsf功能的節(jié)點(diǎn)。處理器32可以是通用處理器、專用處理器、常規(guī)處理器、數(shù)字信號(hào)處理器(dsp)、多個(gè)微處理器、與dsp核心相關(guān)聯(lián)的一個(gè)或多個(gè)微處理器、控制器、微控制器、專用集成電路(asic)、現(xiàn)場(chǎng)可編程門陣列(fpga)電路、任何其它類型的集成電路(ic)、狀態(tài)機(jī)等。一般地，處理器32可執(zhí)行存儲(chǔ)在節(jié)點(diǎn)的存儲(chǔ)器(例如，存儲(chǔ)器44和/或存儲(chǔ)器46)中的計(jì)算機(jī)可執(zhí)行指令以便執(zhí)行節(jié)點(diǎn)的各種所需功能。例如，處理器32可執(zhí)行信號(hào)編碼、數(shù)據(jù)處理、功率控制、輸入/輸出處理和/或使得m2m節(jié)點(diǎn)30能夠在無(wú)線或有線環(huán)境中操作的任何其它功能。處理器32可運(yùn)行應(yīng)用層程序(例如，瀏覽器)和/或無(wú)線電接入層(ran)程序和/或其它通信程序。例如，處理器32還可執(zhí)行諸如在接入層和/或應(yīng)用層處的諸如認(rèn)證、安全密鑰協(xié)議和/或密碼操作的安全操作。如圖21c中所示，處理器32被耦合至其通信電路(例如，收發(fā)機(jī)34和發(fā)送/接收元件36)。通過(guò)計(jì)算機(jī)可執(zhí)行指令的執(zhí)行，處理器32可以控制通信電路以使節(jié)點(diǎn)30經(jīng)由其被連接到的網(wǎng)絡(luò)來(lái)與其它節(jié)點(diǎn)通信。特別地，處理器32可控制通信電路以執(zhí)行在本文和權(quán)利要求中描述的發(fā)送和接收步驟。雖然圖21c將處理器32和收發(fā)機(jī)34描繪為分離的組件，但將認(rèn)識(shí)到的是可將處理器32和收發(fā)機(jī)34一起集成在電子封裝或芯片中。發(fā)送/接收元件36可被配置成向其它m2m節(jié)點(diǎn)(包括m2m服務(wù)器、網(wǎng)關(guān)、設(shè)備等)發(fā)送信號(hào)或從其接收信號(hào)。例如，在實(shí)施例中，發(fā)送/接收元件36可以是被配置成發(fā)送和/接收rf信號(hào)的天線。發(fā)送/接收元件36可支持各種網(wǎng)絡(luò)和空中接口，諸如wlan、wpan、蜂窩等。在實(shí)施例中，發(fā)送/接收元件36可以是被配置成發(fā)送和/或接收ir、uv或可見(jiàn)光信號(hào)的發(fā)射器/探測(cè)器。在另一實(shí)施例中，發(fā)送/接收元件36可被配置成發(fā)送和接收rf和光信號(hào)兩者。將認(rèn)識(shí)到的是發(fā)送/接收元件36可被配置成發(fā)送和/或接收無(wú)線或有線信號(hào)的任何組合。另外，雖然發(fā)送/接收元件36在圖21c中被描繪為單個(gè)元件，但m2m節(jié)點(diǎn)30可包括任何數(shù)量的發(fā)送/接收元件36。更具體地，m2m節(jié)點(diǎn)30可采用mimo技術(shù)。因此，在實(shí)施例中，m2m節(jié)點(diǎn)30可包括用于發(fā)送和接收無(wú)線信號(hào)的兩個(gè)或更多發(fā)送/接收元件36(例如，多個(gè)天線)。收發(fā)器34可被配置成調(diào)制將提供發(fā)送/接收元件36發(fā)送的信號(hào)并解調(diào)將由發(fā)送/接收元件36接收到的信號(hào)。如上所述，m2m節(jié)點(diǎn)30可具有多模式能力。因此，例如，收發(fā)器34可包括用于使得m2m節(jié)點(diǎn)30能夠經(jīng)由諸如utra和ieee802.11的多個(gè)rat進(jìn)行通信的多個(gè)收發(fā)器。處理器32可從任何類型的適當(dāng)存儲(chǔ)器(諸如不可移動(dòng)存儲(chǔ)器44和/或可移動(dòng)存儲(chǔ)器46)訪問(wèn)信息并在其中存儲(chǔ)數(shù)據(jù)。例如，如上所述，處理器32可將會(huì)話上下文存儲(chǔ)在其存儲(chǔ)器中。不可移動(dòng)存儲(chǔ)器44可包括隨機(jī)存取存儲(chǔ)器(ram)、只讀存儲(chǔ)器(rom)、硬盤(pán)、或任何其它類型的存儲(chǔ)器存儲(chǔ)設(shè)備?？梢苿?dòng)存儲(chǔ)器46可包括訂戶身份模塊(sim)卡、記憶棒、安全數(shù)字(sd)存儲(chǔ)卡等。在其它實(shí)施例中，處理器32可從在物理上不位于m2m節(jié)點(diǎn)30上(諸如在服務(wù)器或家用計(jì)算機(jī)上)的存儲(chǔ)器訪問(wèn)信息以及在其中存儲(chǔ)數(shù)據(jù)。處理器32可被配置成控制顯示器或指示器42上的照明圖案、圖像或色彩以反映m2m服務(wù)層會(huì)話遷移或共享的狀態(tài)，或從用戶獲得輸入，或者向用戶顯示關(guān)于節(jié)點(diǎn)的會(huì)話遷移或共享能力或設(shè)置的信息。在另一示例中，顯示器可示出關(guān)于會(huì)話狀態(tài)的信息。本公開(kāi)定義了onem2m實(shí)施例中的restful用戶/應(yīng)用api。可在api的頂部上將可在顯示器上示出的圖形用戶界面分層，以允許用戶經(jīng)由本文所述的底層服務(wù)層會(huì)話功能來(lái)交互式地建立并管理e2e會(huì)話或其遷移或共享。處理器32可從電源48接收電力，并且可被配置成向m2m節(jié)點(diǎn)30中的其它組件分配和/或控制電力。電源48可以是用于對(duì)m2m節(jié)點(diǎn)30供電的任何適當(dāng)設(shè)備。例如，電源48可包括一個(gè)或多個(gè)干電池(例如，鎳鎘(nicd)、鎳鋅(nizn)、鎳金屬氫化物(nimh)、鋰離子(li離子)等)、太陽(yáng)能電池、燃料電池等。處理器32還可被耦合到gps芯片集50，其被配置成提供關(guān)于m2m節(jié)點(diǎn)30的當(dāng)前位置的位置信息(例如，經(jīng)度和緯度)。將認(rèn)識(shí)到的是m2m節(jié)點(diǎn)30可通過(guò)任何適當(dāng)?shù)奈恢么_定方法來(lái)獲取位置信息，而仍與實(shí)施例保持一致。處理器32可進(jìn)一步被耦合到其它外設(shè)52，其可包括提供附加特征、功能和/或有線或無(wú)線連接的一個(gè)或多個(gè)軟件和/或硬件模塊。例如，外設(shè)52可包括加速度計(jì)、電子指南針、衛(wèi)星收發(fā)器、傳感器、數(shù)字式照相機(jī)(用于照片或視頻)、通用串行總線(usb)端口、振動(dòng)設(shè)備、電視收發(fā)器、免提耳機(jī)、模塊、調(diào)頻(fm)無(wú)線電單元、數(shù)字音樂(lè)播放器、媒體播放器、視頻游戲播放器模塊、因特網(wǎng)瀏覽器等。圖21d是還可用來(lái)實(shí)現(xiàn)m2m網(wǎng)絡(luò)的一個(gè)或多個(gè)節(jié)點(diǎn)(諸如m2m服務(wù)器、網(wǎng)關(guān)、設(shè)備或其它節(jié)點(diǎn))的示例計(jì)算系統(tǒng)90的框圖。計(jì)算系統(tǒng)90可包括計(jì)算機(jī)或服務(wù)器，并且可主要由可以以軟件的形式的計(jì)算機(jī)可讀指令來(lái)控制，無(wú)論在哪里或通過(guò)何種手段來(lái)存儲(chǔ)或訪問(wèn)此類軟件。計(jì)算系統(tǒng)90可以執(zhí)行或包括諸如服務(wù)使能功能204和304、密鑰遞送功能206、受信第三方、cse402、502、504、604、704和2002、csf408和412、ae1602、ae21102、sp儲(chǔ)存庫(kù)2004、dp/ep儲(chǔ)存庫(kù)2006、mef2008和產(chǎn)生用戶界面1202的邏輯實(shí)體的邏輯實(shí)體。計(jì)算系統(tǒng)90可以是m2m設(shè)備、用戶設(shè)備、網(wǎng)關(guān)、ue/gw或任何其它節(jié)點(diǎn)，包括例如移動(dòng)核心網(wǎng)絡(luò)的節(jié)點(diǎn)、服務(wù)層網(wǎng)絡(luò)應(yīng)用提供商、終端設(shè)備18或m2m網(wǎng)關(guān)設(shè)備14。此類計(jì)算機(jī)可讀指令可在諸如中央處理單元(cpu)91的處理器內(nèi)被執(zhí)行以促使計(jì)算系統(tǒng)90進(jìn)行工作。在許多已知工作站、服務(wù)器以及個(gè)人計(jì)算機(jī)中，中央處理單元91由被稱為微處理器的單片cpu實(shí)現(xiàn)。在其它機(jī)器中，中央處理單元91可包括多個(gè)處理器。協(xié)處理器81是不同于主cpu91的可選處理器，其執(zhí)行附加功能或協(xié)助cpu91。cpu91和/或協(xié)處理器81可接收、生成以及處理與用于e2em2m服務(wù)層會(huì)話的公開(kāi)系統(tǒng)和方法有關(guān)的數(shù)據(jù)，諸如接收會(huì)話證書(shū)并基于該會(huì)話證書(shū)進(jìn)行認(rèn)證。在操作中，cpu91獲取、解碼并執(zhí)行指令，并經(jīng)由計(jì)算機(jī)的主數(shù)據(jù)傳輸路徑、系統(tǒng)總線80來(lái)向和從其它資源傳輸信息。此類系統(tǒng)總線連接計(jì)算系統(tǒng)90中的組件，并且定義用于數(shù)據(jù)交換的介質(zhì)。系統(tǒng)總線80通常包括用于發(fā)送數(shù)據(jù)的數(shù)據(jù)線、用于發(fā)送地址的地址線以及用于發(fā)送中斷且用于控制系統(tǒng)總線的控制線。此類系統(tǒng)總線80的示例是pci(外圍部件互連)總線。被耦合到系統(tǒng)總線80的存儲(chǔ)器包括隨機(jī)存取存儲(chǔ)器(ram)82和只讀存儲(chǔ)器(rom)93。此類存儲(chǔ)器包括允許存儲(chǔ)和檢索信息的電路。rom93一般包含不能被輕易被修改的存儲(chǔ)數(shù)據(jù)。存儲(chǔ)在ram82中的數(shù)據(jù)可被cpu91或其它硬件設(shè)備讀取或改變。對(duì)ram82和/或rom93的訪問(wèn)可由存儲(chǔ)器控制器92來(lái)控制。存儲(chǔ)器控制器92可提供在指令被執(zhí)行時(shí)將虛擬地址轉(zhuǎn)換成物理地址的地址轉(zhuǎn)換功能。存儲(chǔ)器控制器92還可提供將系統(tǒng)內(nèi)的進(jìn)程隔離并將系統(tǒng)進(jìn)程從用戶進(jìn)程隔離的存儲(chǔ)器保護(hù)功能。因此，在第一模式下運(yùn)行的程序僅可訪問(wèn)由其自身處理器的虛擬地址空間映射的存儲(chǔ)器；其不能訪問(wèn)另一處理器的虛擬地址空間內(nèi)的存儲(chǔ)器，除非已經(jīng)建立了處理器之間的存儲(chǔ)器共享。另外，計(jì)算系統(tǒng)90可包含外設(shè)控制器83，其負(fù)責(zé)將cpu91的指令通信給諸如打印機(jī)94、鍵盤(pán)84、鼠標(biāo)95以及磁盤(pán)驅(qū)動(dòng)器85的外設(shè)。由顯示器控制器96控制的顯示器86被用來(lái)顯示由計(jì)算系統(tǒng)90生成的視覺(jué)輸出。此類視覺(jué)輸出可包括文本、圖形、動(dòng)畫(huà)圖形以及視頻。可用基于crt的視頻顯示器、基于lcd的平板顯示器、基于氣體等離子體的平板顯示器或觸摸板來(lái)實(shí)現(xiàn)顯示器86。顯示器控制器96包括生成被發(fā)送到顯示器86的視頻信號(hào)所需的電子組件。此外，計(jì)算系統(tǒng)90可包含通信電路，例如網(wǎng)絡(luò)適配器97，其可用來(lái)將計(jì)算系統(tǒng)90連接到外部通信網(wǎng)絡(luò)，諸如圖21a和圖21b的網(wǎng)絡(luò)12，以使得計(jì)算系統(tǒng)90能夠與網(wǎng)絡(luò)的其它節(jié)點(diǎn)通信。用戶設(shè)備(ue)能是由終端用戶用來(lái)通信的任何設(shè)備。能是手持電話、具有移動(dòng)寬帶適配器的手提電腦或任何其它設(shè)備。例如，ue能被實(shí)現(xiàn)為圖21a-b的m2m終端設(shè)備或圖21c的設(shè)備30。應(yīng)理解的是可以以存儲(chǔ)在計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上的計(jì)算機(jī)可執(zhí)行指令(即，程序代碼)的形式來(lái)體現(xiàn)本文所述的任何或所有系統(tǒng)、方法以及過(guò)程，該指令在被諸如m2m網(wǎng)絡(luò)的節(jié)點(diǎn)(包括例如m2m服務(wù)器、網(wǎng)關(guān)、設(shè)備等)的機(jī)器執(zhí)行時(shí)執(zhí)行和/或?qū)崿F(xiàn)本文所述的系統(tǒng)、方法和過(guò)程。具體地，可以以此類計(jì)算機(jī)可執(zhí)行指令的形式實(shí)現(xiàn)上文所述的任何步驟、操作或功能，包括網(wǎng)關(guān)、ue、ue/gw或移動(dòng)核心網(wǎng)絡(luò)、服務(wù)層或網(wǎng)絡(luò)應(yīng)用提供商的任何節(jié)點(diǎn)的操作?？梢砸源鎯?chǔ)在計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上的計(jì)算機(jī)可執(zhí)行指令的形式體現(xiàn)諸如服務(wù)使能功能204和304、密鑰遞送功能206、受信第三方、cse402、502、504、604、704和2002、csf408和412、ae1602、ae21102、sp儲(chǔ)存庫(kù)2004、dp/ep儲(chǔ)存庫(kù)2006、mef2008和產(chǎn)生用戶界面1202的邏輯實(shí)體的邏輯實(shí)體。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)包括以用于信息存儲(chǔ)的任何非臨時(shí)(即，有形或物理)方法或技術(shù)實(shí)現(xiàn)的易失性和非易失性、可移動(dòng)和不可移動(dòng)介質(zhì)兩者，但是此類計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)不包括信號(hào)。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)包括但不限于ram、rom、eeprom、閃存或其它存儲(chǔ)技術(shù)、cd-rom、數(shù)字多功能磁盤(pán)(dvd)或其它光盤(pán)存儲(chǔ)、磁帶盒、磁帶、磁盤(pán)存儲(chǔ)器或其它磁存儲(chǔ)器件、或者可以用來(lái)存儲(chǔ)期望信息且可以由計(jì)算機(jī)訪問(wèn)的其它有形或物理介質(zhì)。在描述本公開(kāi)的主題的優(yōu)選實(shí)施例時(shí)，如圖中所示，為了明了起見(jiàn)而采用特定術(shù)語(yǔ)。然而，要求保護(hù)的主題并不意圖局限于這樣選擇的特定術(shù)語(yǔ)，并且應(yīng)理解的是每個(gè)特定元件包括以類似方式操作以實(shí)現(xiàn)類似目的的所有技術(shù)等價(jià)物。本書(shū)面描述使用示例來(lái)公開(kāi)本發(fā)明，包括最佳模式，并且還使得本領(lǐng)域的技術(shù)人員能夠?qū)嵤┍景l(fā)明，包括制造和使用任何設(shè)備或系統(tǒng)以及執(zhí)行任何結(jié)合的方法。本發(fā)明的可以取得專利的范圍由權(quán)利要求定義，并且可包括本領(lǐng)域的技術(shù)人員想到的其它示例。如果此類示例具有不同于權(quán)利要求的字面語(yǔ)言的元件或者如果其包括與權(quán)利要求的字面語(yǔ)言無(wú)實(shí)質(zhì)性差別的等價(jià)元件，則此類其它示例意圖落入權(quán)利要求的范圍內(nèi)。當(dāng)前第1頁(yè)12