实际上，即使在 OTA（使用 Join）中，LoRaWAN 规范也将网络会话密钥（由网络服务器用于验证校验和并可能消除冲突的短 DevAddr 地址到它们唯一的 devEUI 中的歧义）和有效负载加密会话密钥（AppSKey）分开。与 802.15.4 等其他 MAC 层相比，这是其关键创新之一。

诀窍是使用 HSM（硬件安全模块），它可以访问设备的根密钥 (AppKey)，并派生 NwkSKey 和 AppSkey（加入过程）。HSM 会将 NwkSkey 以明文形式传递给网络服务器，并将传递加密的 AppSkey（使用先前与应用服务器共享的密钥加密密钥）。因此，网络服务器无法访问有效负载信息，而是将有效负载按原样（由源设备加密）与加密的 AppSkey 一起传递给应用程序服务器。AS首先解密AppSkey，然后使用AppSkey解密payload。

一个常见的误解是 HSM 必须位于最终客户场所。事实并非如此，HSM 被设计为在敌对环境中是安全的，即云中的 HSM 不会泄露其密钥，除非向它提供一对智能卡，并且任何进入硬件的尝试都会破坏键。因此，您可以使用托管 HSM，只要智能卡由受信任方保管。

此安全框架可在您的 ThingPark 平台上使用，可以通过 HSM 选项在本地使用，也可以使用单独的 ThingPark 激活平台 ( https://www.actility.com/iot-device-activation/ )，作为安全加入服务器，可以与任何支持标准 LoRaWAN 后端接口的网络服务器结合使用。

您可以将这些解决方案与您的设备供应商提供到 ThingPark 平台 HSM 中的 AppKeys 一起使用，或者为您的设备使用预配置的安全元素。ThingPark HSM 托管来自领先 SE 供应商的安全密钥派生软件，可以直接从 SE 序列号访问 AppKey，因此无需在 HSM 中配置任何密钥。

一旦在 ThingPark 激活平台中提供设备根密钥，它就永远无法访问，您只能通过一次性激活令牌（第一次提供，作为最近的标准 LoRaWAN 二维码的一部分提供）的方式转移其所有权LoRaWAN 设备）。