CN101379798B - 用于将设备插入到网络设备群组中的方法和设备 - Google Patents
用于将设备插入到网络设备群组中的方法和设备 Download PDFInfo
- Publication number
- CN101379798B CN101379798B CN2007800045797A CN200780004579A CN101379798B CN 101379798 B CN101379798 B CN 101379798B CN 2007800045797 A CN2007800045797 A CN 2007800045797A CN 200780004579 A CN200780004579 A CN 200780004579A CN 101379798 B CN101379798 B CN 101379798B
- Authority
- CN
- China
- Prior art keywords
- equipment
- certificate
- generates
- trusted
- cert
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/12—Messaging; Mailboxes; Announcements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
一种用于在网络(10)的动态、演进设备群组(100)中执行至少一个演进操作的方法,所述网络包括至少第一设备(210)。该方法包括步骤:通过网络(10)将至少一个消息(244)从第一设备(210)发送到第二设备(220),其中第一设备(210)在没有来自第二设备(220)的至少一个消息(244)肯定应答的情况下持续执行方法。该方法适于在无时钟设备上的执行。还要求了一种用于执行该方法的设备。
Description
技术领域
本发明应用于数字网络,特别是包括无线部件在内的动态、演进、异构网络。
背景技术
定义:
以下表达的定义用于理解目的并且是非限制性的:
动态网络:该网络中的设备可以存在或不存在。
演进网络:新设备可加入该网络,较老的设备可离开该网络或被该网络拒绝(譬如当被盗时)。
异构网络:不是所有的设备都能够与该网络中的所有其他设备进行通信,譬如,如果网络的一个组件服从标准IEEE 802.11g,网络的另一个组件服从标准IEEE 802.3,在这种情况下,需要桥接设备用于各组件之间的通信。
双向连接:当两个设备都能够启动与其他设备的通信时,双向连接两个设备。
群组(community):群组是与实体相关联一组设备,例如单个用户或一群用户(譬如家庭或公司业务)。
群组知识:与群组相关联(也被称为属于)的设备知晓的知识;该设备知晓其与群组相关联并且知晓群组中的至少一些其他设备。
现有技术
WO 2005/057876教授了一种系统,提供安全的、用户界面友好的演进操作和对群组中不可信设备进行排除。每个网络设备存储了其所属的群组的本地表述。该表述包括用于其自身的可证实标识,即,设备的三个列表:1)被该设备所信任的设备,2)被该设备所信任并信任该设备的设备,3)该设备不信任的设备。每个设备都能够执行协议以便建立与网络中其他设备的可信连接。
虽然这是一个较好的解决方案,但它需要设备中的内部时钟工作。由于确信未来将有越来越多的设备不具备内部时钟(譬如所谓的智能灰尘(smart dust)),希望能够执行用于这些设备的安全的、用户界面友好的演进操作。另一个优点在于它已被证实可以通过使执行协议所需的处理能力最小化来对其进行改进。本发明示出了这种改进。
发明内容
在第一方面中,本发明针对一种用于在包括至少第一设备在内的网络中的动态、演进设备群组中执行至少一个演进操作的方法。该方法适于在无时钟设备上执行。第一设备通过网络将至少一个消息发送到第二设备,并在没有来自第二设备的至少一个消息肯定应答的情况下持续执行该方法。
在优选实施例中,该动态、演进网络至少部分是无线网络。
在另一个优选实施例中,该动态、演进网络至少部分是电力线载波网络。
在另一个优选实施例中,该动态、演进网络是异构的。
在另一个优选实施例中,至少一个演进操作是将第二设备插入到动态、演进群组中。优选地,第一设备从用户处接收插入第二设备的指令,将用于第一设备的证书发送到第二设备,将用于第二设备的信任级别设置到可信(trusted),从第二设备请求用于第二设备的证书,从第二设备接收用于第二设备的证书,并存储用于第二设备的证书。优选地,不由证书授权机构(Certificate Authority)证明用于第一设备的证书和用于第二设备的证书中的至少一个。
在第二方面中,本发明针对一种适于在网络中的动态、演进设备群组中执行至少一个演进操作的设备。该设备包括适于经由接口、通过网络将至少一个消息发送到第二设备的处理器,并在没有来自第二设备的至少一个消息肯定应答的情况下持续执行该方法。
附图说明
现在将参考附图来描述本发明的各种特征和优点及其优选实施例,所述附图意欲演示而不是限制本发明的范围,其中:
图1示出了本发明应用于其中的示例性群组;以及
图2示出了根据示例性情况将设备插入到群组中的过程
具体实施方式
图1示出了用于本发明的网络10中的示例性群组100。设备的非限制性示例是个人计算机(PC)101、102、电视机103、存储单元104、个人数字助理(PDA)105以及温度计形式的所谓的智能灰尘设备106。可见,虽然PDA 105可以是网络10的一部分,但它不属于群组100。第二PC 102、存储单元104和电视机103通过第一总线121相连,第一无线通信单元112也与第一总线121连接。第一无线通信单元112确保了与第二无线通信单元111的通信,从而通过第二总线122与第一PC 101进行通信。无线通信单元111、112还可与PDA 105进行通信。温度计106不具有内部时钟并优选地通过无线通信与无线通信单元111、112中的一个进行通信。设备优选地包括双向网络接口(例如WiFi、以太网(Ethernet)、IEEE1394……)、密码模块以及存储器(RAM、FLASH)。
根据本发明实现协议的设备A存储以下信息:
-对于该设备而言唯一的第一公共/私有密钥对(PA、SA)。该密钥对用于分别使用公共密钥算法SignGenAlgo和SignVerAlgo的签名生成和检验。
-对于该设备而言唯一的第二公共/私有密钥对(RPA、RSA)。该密钥对用于分别使用公共密钥算法SignGenAlgo和SignVerAlgo的撤销信息生成和检验。
-公共且唯一的标识符PIA,称为可证实的标识。PI是设备的公共密钥P与使用算法HashAlgo的撤销公共密钥RP之间连接的摘要。
-随机数发生器算法RandAlgo。
该设备还存储带有关于群组中其他设备的以下信息中至少一些的群组知识表(CKT):
-设备标识:可证实的标识PI。
-状态:该设备具有的用于另一设备的信任级别:
KNOWN,即该设备知晓其它设备的标识,
TRUSTED,即该设备知晓并信任其它设备,以及
REVOKED,即该设备认为该设备不再属于群组。
-公共密钥:P和/或RP。
-证书或证书链或撤销信息。
设备A使用其私有密钥SA来生成用于其自身的证书CertA(A)。证书有利地包括两个结构,信息结构和签名结构。信息结构提供信息,签名结构保证了信息的真实性。证书CertA(A)优选地包括:
在信息结构中:
-A的可证实的标识,PIA;
-A的公共撤销密钥,RPA;以及
-A的公共密钥,PA;以及
在签名结构中,使用A的私有密钥SA的信息结构签名。
设备A也可以生成用于主题设备B的证书CertA(B)。如果A可以访问B的证书CertB(B),那么它就可以重新得到B的公共密钥PB、公共撤销密钥RPB以及标识PIB,并使用该信息来构造并签署证书CertA(B),该证书CertA(B)包括:
在信息结构中:
-签名者的可证实标识,PIA;
-主题的可证实的标识:PIB;
-主题的公共密钥:PB;
-主题的公共撤销密钥:RPB;以及
在签名结构中,由签名者SA的秘密密钥所作的信息结构签名。
按照这种方式,会出现证书链,即设备A认可设备B,设备B又依次认可设备C等等。在这种情况下,起始证书表示为CertZ(X),经由CertC(Z)和CertB(C)通到CertA(B)。为了方便,这种链在该示例性情况下表示为CertA *(X),其中下标指示最近的发布者,星号指示其为证书链,括号中的字母指示第一被认可设备。
优选地,仅当在链中形成环路时或在自动设备插入期间(以下进一步描述)时,设备才解析(resolve)(即检验)证书链。
为了对证书(或撤销信息)进行检验,设备使用发布设备的公共密钥(或撤销公共密钥),譬如设备D使用PA来检验CertA(B)。为了检验证书链,设备对该链中的所有证书进行检验。
演进操作
假定群组管理员(Community Administrator)执行演进操作。群组管理员包括群组中设备的所有的管理员,即授权用户。本领域技术人员可以理解,在可适用处该术语表示设备的管理员,并且管理员可以将决策委托给设备。还假定群组中的每个管理员都信任其中的所有其它管理员。有利地,在设备之间可“借用”信任,即,在A和B的群组中,A的管理员信任C,则B的管理员接受B也信任C。进一步假定公共密钥和撤销公共密钥存储在由可信设备发布的证书中。
执行设备初始化以便准备将设备插入到群组中。
a.该设备使用RandAlgo来生成公共/私有密钥对(P,S)。
b.该设备使用RandAlgo来生成撤销公共/私有密钥对(RP,RS)。
c.该设备清空其群组知识表。
d.该设备显示用户消息“初始化成功”。
譬如执行设备重新初始化以便准备将设备以另一标识重新插入到群组中,例如当该设备被出售或者改变用户时。
a.该设备清除其公共/私有密钥对(P,S)和(RP,RS)。
b.该设备清空其CKT。
c.该设备使用RandAlgo来生成新的公共/私有密钥对(P,S)。
d.该设备使用RandAlgo来生成新的撤销公共/私有密钥对(RP,RS)。
e.该设备显示用户消息“重新初始化成功”。
执行设备插入以便使设备成为群组的一部分。群组管理员要求设备A将设备B插入A的群组中。取决于A为B指派的状态,存在四种可能性。
1.A尚未为B指派状态。
a.A将用于证书的请求消息发送到B。
b.如果B信任A,则它生成证书CertB(A),并证书消息中将证书CertB(A)发送到A。如果B不信任A,则B不应答。
c.如果A接收到CertB(A),则A在CKT中存储CertB(A)。
d.A显示用户消息“插入成功”。
2.A信任B
a.A显示用户消息“不可能插入。设备可信。”
3.A知晓B
a.A生成证书CertA(B)并在证书消息中将证书CertA(B)发送到B。
b.A将其CKT中的B的状态改变为TRUSTED。
c.如果B信任A,则它在其CKT中存储CertA(B)。如果B不信任A,则B丢弃该证书。
d.A将用于证书的请求的消息发送到B。
e.如果B信任A,则它生成证书CertB(A),而后它在证书消息中将证书CertB(A)发送到A。如果B不信任A,则B不应答。
f.如果A接收到CertB(A),则它在CKT中存储CertB(A)。
g.A显示用户消息“插入成功”。
4.A已为B指派状态REVOKED
a.A显示用户消息“不可能插入。设备已撤销。”
执行设备排除以便从群组中将不可达设备排除。
a.设备A显示其信任并知晓而且不可达的设备的所有可证实标识PI。
b.群组管理员从列表中选择设备B。
c.A为B指派状态REVOKED。
d.A计算并存储撤销证书RevocA(B)。
e.A显示用户消息“排除成功”。
使用设备移除来从群组中移除设备(设备A)。
a.设备A选择可信并且可达的设备B。如果没找到这种设备,则它显示用户消息“稍后重试设备移除”。
b.A计算RevocA(A),在撤销信息消息中将RevocA(A)发送到B,并设置定时器。
c.B接收该撤销信息消息并为A指派状态REVOKED。
d.B生成并存储RevocB(A)。
e.B返回包括RevocB(A)在内的撤销肯定应答消息。
f.如果A在定时器时间到了之前没有接收到撤销肯定应答消息,则它显示用户消息“稍后重试设备移除”。
g.然而,如果A接收到撤销肯定应答消息,则它
i.清除其公共/私有密钥对(P,S)和(RP,RS)。
ii.清空其CKT。
iii.使用RandAlgo来生成新的公共/私有密钥对(P,S)。
iv.使用RandAlgo来生成新的撤销公共/私有密钥对(RP,RS)。
v.对群组管理员发出警告:A已成功地从群组中移除。
vi.显示用户消息“移除成功”。
应当注意,如果在设备移除期间排除了“稍后重试设备移除”消息的可能性,则可在不需要时钟的情况下执行每个演进操作。在这种情况下,由群组管理员来检验设备A确实已被移除。另一方面,虽然设备A可能是没有内部时钟的设备,但是设备B很可能具有一个,在这种情况下,将使用内部定时器。
在没有时钟的情况下能够执行协议的有利影响在于不需要由证书授权来签名所使用的证书。这就进一步表示,譬如,如果该群组不具有因特网连接,可在不能够利用证书授权来对证书进行检验的群组中使用协议。
其它操作
使用群组知识扩散来在群组中传播群组知识。群组中的每个设备都周期性地将其CKT中的证书/撤销信息发送到可达的可信设备。
1.设备A发送包括其CKT在内的群组知识消息。
2.当接收到该消息时,设备B:
a.对于具有状态REVOKED的每个设备X:
i.如果B从未为X指派过任何状态,则它在其CKT中存储PX和RPX并为X指派状态REVOKED。
ii.如果B知晓或信任X,则它为X指派状态REVOKED。
iii.B在其CKT中生成并存储RevocB(X)。
b.对于被A信任或知晓的每个设备X:
i.如果B从未为X指派过任何状态,则它在其CKT中存储PX和RPX,为X指派状态KNOWN,并存储证书链Certx *(B),该证书链是Certx(A)或Certx *(A)与CertA(B)的组合。
ii.如果B知晓或信任X且所接收的Certx *(A)与CertA(B)的组合比Certx *(B)短,则它以该组合来替换其CKT中的Certx *(B)。
iii.如果B已为X指派了状态REVOKED,则不执行任何操作。
使用自动设备插入来在没有用户或群组管理员干预的情况下将设备插入到群组中。如果设备A得知(通过群组知识扩散)被A信任或知晓且A为其存储了证书链CertB *(A)的设备B是可达的,则执行以下步骤:
1.A发送包括CertB *(A)在内的证书链消息。
2.如果B从未为A指派过任何状态,则:
a.B将PA和RPA添加到其CKT并为A指派状态TRUSTED。
b.B生成证书CertB(A)。
c.B将包括CertB(A)在内的证书消息发送到A。
d.A在其CKT中以CertB(A)替换CertB *(A)。
3.如果B信任A,则:
a.B生成证书CertB(A)。
b.B将包括CertB(A)在内的证书消息发送到A。
c.A在其CKT中以CertB(A)替换CertB *(A)。
4.如果B知晓A,则:
a.B为A指派状态TRUSTED。
b.B生成证书CertB(A)。
c.B将包括CertB(A)在内的证书消息发送到A。
d.A在其CKT中以CertB(A)替换CertB *(A)。
5.如果B已为A指派状态REVOKED,则:
a.B丢弃证书链消息。
如果用户知道有诸如相邻网络设备之类的他从不想插入的设备,则使用列入黑名单。如果用户的设备反复要求他插入这些设备,则可能会引起用户的烦恼,而且如果用户的设备将这些设备包括在候选设备列表中,由于这些设备使找到用户想插入的设备变得更加困难,则也可能会引起用户的烦恼。
为了启用列入黑名单,每个设备都在其CKT中存储设备的黑名单BL。在群组知识扩散期间,与其它设备通信该黑名单。
设备不处理黑名单中的设备,这表示譬如该设备不会要求用户在其中插入设备。
使用独立的列表而不是标准撤销,容易使为设备“脱离黑名单”成为可能,即,使得先前被列入黑名单的设备成为在黑名单设备处被插入的设备的候选等。
某些应用可能会需要可信设备列表。如果是这样,则设备A在其CKT中存储互相可信设备的列表MT。如果A从可信设备接收到与B有关的撤销信息,则A从可信列表MT中移除B。如果A信任B并从B接收到群组知识消息,则A将B添加到其MT列表。
应当注意,在以上的算法描述中,设备A是用户在此刻使用的设备。由于特定操作可能需要用户与多于一个设备进行交互,所以最初是设备B的设备可能后来会变成设备A。由于不论当前设备是哪一个,算法在可适用处都是相同的,所以以上情况是可能的。
图2示出了根据示例性场景将设备插入到群组的过程。在图2中,假定设备X 210知晓设备Y 220(与以上设备插入情况下的第三种可能性相对应),设备Y 220不信任设备X 210,且由于先前已如消息箭头232和234所指示那样将其它设备的标识PIX和PIY进行广播,所以设备210、220都分别知道标识PIX和PIY。
设备Y 220包括适用于执行该方法的CPU 221、用于存储譬如证书的存储器222以及用于通信的接口(I/O)223。尽管设备X 210也包括这些组件,但为了简明起见,在图2中并未将它们示出。
当用户200命令设备X将设备Y插入(240)时,插入开始。设备X生成(242)证书CertX(Y),设备X在消息244中将证书CertX(Y)发送到设备Y。当接收到消息244,设备Y决定它不信任设备X并丢弃(246)消息244。
由于用户200命令设备X插入设备Y,设备X在不知道设备Y已丢弃了消息244的情况下继续执行协议并将设备Y的状态改变至TRUSTED(248)。然后,设备X发送消息用于从设备Y请求(250)相应的证书CertY(X)。由于设备Y仍然不信任设备X,所以它拒绝(252)该请求250。
在这一点上,由于协议不能够继续,所以协议慢慢停下来。应当注意,这实际上是故意的。
然后,用户200移至设备Y。注意,在以上的协议描述中,虽然为了简明起见,设备在图2中保持为设备Y,但设备Y现在(在此之前是设备B)已变成设备A。还应当注意,当用户200命令设备Y插入设备X时,该协议重新开始生效。
然后,用户200命令(254)设备Y插入设备X。设备Y生成(256)CertY(X)并在消息258中将CertY(X)发送到设备X。然后,由于用户200命令设备Y插入设备X,所以设备Y将设备X的状态改变为TRUSTED(260)。
由于设备X信任设备Y,所以当接收到证书消息258时,设备X存储(262)证书CertY(X)。注意,这与以上所述的设备Y不信任设备X的情况不同。
不论设备X是否信任设备Y,设备Y在此刻没有办法知道这一点的情况下继续执行协议,正如以上所述设备X所为。因此,设备Y发送消息用于从设备X请求(264)Certx(Y)。由于设备X信任设备Y,所以设备X返回带有Certx(Y)的消息266。注意,如果设备X没有存储它在步骤242中创建的证书Certx(Y),它就必须生成该证书。
当接收到证书消息266时,设备Y存储(268)证书Certx(Y)并为用户指示该插入成功(270)。
从图2的示例可以理解,如前所示,可在不使用时钟的情况下执行协议。该协议继续,如果它在某处受阻,则用户200可执行功能以便重新开始该协议。同样,不需要有肯定应答或在设备接收这些肯定应答期间的超时。由于黑客不会利用由这些超时所引起的漏洞,所以这可以增加协议的安全性。
优选算法
优选地,SignGenAlgo是被称为在PKCS #1,RSA CryptographyStandard,Version 2.1,RSA Laboratories 2002中所描述的RSASSA-PSS-SIGN的签名生成算法,。
优选地,SignVerAlgo是被称为在PKCS #1,RSA Cryptography Standard,Version 2.1,RSA Laboratories 2002中所描述的RSASSA-PSS-VERIFY签名生成算法。
优选地,HashAlgo是在FIPS Publication 180-1:Secure Hash Standard,National institute of Standards and Technology,1994中所描述的SHA-1散列算法。
RandAlgo是通过了在NIST Special Publication 800-22:A StatisticalTest Suite for Random and Pseudorandom Number Generators forCryptographic Applications,2001中专用的所有测试的任何随机算法。
Claims (4)
1.一种将第一设备(210)与第二设备(220)相关联的方法,所述第一设备存储所述第二设备的标识,所述第二设备存储所述第一设备的标识,所述方法包括以下步骤:
第一设备接收(240)与第二设备进行关联的指令;
第一设备将由第一设备生成的用于第二设备的证书发送(244)到第二设备;
第一设备存储(248)第一设备信任第二设备的指示;
如果第二设备没有存储第二设备信任第一设备的指示,则第二设备丢弃(246)用于第一设备的证书;
第一设备从第二设备请求(250)由第二设备生成的用于第一设备的证书;
如果第二设备没有存储第二设备信任第一设备的指示,则第二设备拒绝(252)所述请求;
第二设备接收(254)与第一设备进行关联的指令;
第二设备存储(260)第二设备信任第一设备的指示;
第二设备将由第二设备生成的用于第一设备的证书发送(258)到第一设备;
第一设备存储(262)由第二设备生成的用于第一设备的证书;
第二设备向第一设备请求(264)由第一设备生成的用于第二设备的证书;
第一设备将由第一设备生成的用于第二设备的证书发送(266)到第二设备;以及
第二设备存储(268)由第一设备生成的用于第二设备的证书。
2.一种将第一设备(210)与第二设备(220)相关联的方法,所述第一设备存储所述第二设备的标识,所述第二设备存储所述第一设备的标识,所述方法包括以下步骤,在第一设备处:
接收(240)与第二设备进行关联的指令;
将由第一设备生成的用于第二设备的证书发送(244)到第二设备;
存储(248)第一设备信任第二设备的指示;
从第二设备请求(250)由第二设备生成的用于第一设备的证书;
从第二设备接收(258)由第二设备生成的用于第一设备的证书;
存储(262)由第二设备生成的用于第一设备的证书;
从第二设备接收(264)对于由第一设备生成的用于第二设备的证书的请求;以及
将由第一设备生成的用于第二设备的证书发送(266)到第二设备。
3.一种将第一设备(210)与第二设备(220)相关联的方法,所述第一设备存储所述第二设备的标识,所述第二设备存储所述第一设备的标识,所述方法包括以下步骤,在第二设备处:
接收(244)由第一设备生成的用于第二设备的证书;
如果第二设备没有存储第二设备信任第一设备的指示,则丢弃(246)由第一设备生成的用于第二设备的证书;
从第一设备接收(250)对于由第二设备生成的用于第一设备的证书的请求;
如果第二设备没有存储第二设备信任第一设备的指示,则拒绝(252)所述请求;
接收(254)与第一设备进行关联的指令;
存储(260)第二设备信任第一设备的指示;
将由第二设备生成的用于第一设备的证书发送(258)到第一设备;
从第一设备请求(264)由第一设备生成的用于第二设备的证书;
从第一设备接收(266)由第一设备生成的用于第二设备的证书;以及
存储(268)由第一设备生成的用于第二设备的证书;
4.一种适用于与第二设备(210)相关联的第一设备(220),所述第一设备用于存储所述第二设备的标识,所述第一设备包括:
用于接收与第二设备进行关联的指令的装置(223);
通信装置,适用于:
将由第一设备生成的用于第二设备的证书发送到第二设备;
将对于由第二设备生成的用于第一设备的证书的请求发送到第二设备;
从第二设备接收由第二设备生成的用于第一设备的证书;
从第二设备接收对于由第一设备生成的用于第二设备的证书的请求;
将由第一设备生成的用于第二设备的证书发送到第二设备;
存储器装置(222),适用于:
当接收装置接收到与第二设备进行关联的指令时,所述存储
器装置(222)存储所述第一设备信任第二设备的指示;
存储由第二设备生成的用于第一设备的证书;以及
处理装置(221),适用于:如果存储器装置没有存储第一设备信任第二设备的指示,则丢弃来自第二设备的任何消息并拒绝来自第二设备的任何请求。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP06300115A EP1816824A1 (en) | 2006-02-07 | 2006-02-07 | Method for device insertion into a community of network devices |
| EP06300115.0 | 2006-02-07 | ||
| PCT/EP2007/051079 WO2007090815A1 (en) | 2006-02-07 | 2007-02-05 | Method for device insertion into a community of network devices |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101379798A CN101379798A (zh) | 2009-03-04 |
| CN101379798B true CN101379798B (zh) | 2011-09-28 |
Family
ID=36658760
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007800045797A Expired - Fee Related CN101379798B (zh) | 2006-02-07 | 2007-02-05 | 用于将设备插入到网络设备群组中的方法和设备 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8132241B2 (zh) |
| EP (2) | EP1816824A1 (zh) |
| JP (1) | JP5011314B2 (zh) |
| KR (1) | KR101372951B1 (zh) |
| CN (1) | CN101379798B (zh) |
| WO (1) | WO2007090815A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8595816B2 (en) * | 2007-10-19 | 2013-11-26 | Nippon Telegraph And Telephone Corporation | User authentication system and method for the same |
| KR101494123B1 (ko) | 2011-03-14 | 2015-02-16 | 퀄컴 인코포레이티드 | 프록시 디바이스를 통한 하이브리드 네트워킹 간단한 연결 셋업 |
| US9111301B2 (en) * | 2011-12-13 | 2015-08-18 | Boku, Inc. | Activating an account based on an SMS message |
| US8630904B2 (en) | 2012-02-14 | 2014-01-14 | Boku, Inc. | Transaction authentication with a variable-type user-stored account identifier |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6092201A (en) * | 1997-10-24 | 2000-07-18 | Entrust Technologies | Method and apparatus for extending secure communication operations via a shared list |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1102430A1 (en) * | 1999-10-27 | 2001-05-23 | Telefonaktiebolaget Lm Ericsson | Method and arrangement in an ad hoc communication network |
| US7120797B2 (en) * | 2002-04-24 | 2006-10-10 | Microsoft Corporation | Methods for authenticating potential members invited to join a group |
| US7574738B2 (en) * | 2002-11-06 | 2009-08-11 | At&T Intellectual Property Ii, L.P. | Virtual private network crossovers based on certificates |
| CN1771711B (zh) * | 2003-04-11 | 2010-05-26 | 汤姆森许可贸易公司 | 用于网络设备内的本地团体表示的安全分布系统 |
| US20050177715A1 (en) * | 2004-02-09 | 2005-08-11 | Microsoft Corporation | Method and system for managing identities in a peer-to-peer networking environment |
| JP4020108B2 (ja) * | 2004-07-15 | 2007-12-12 | 日本電気株式会社 | アドホックネットワーク通信方式および方法ならびにノード装置およびそのプログラム |
| JP4701706B2 (ja) * | 2004-12-22 | 2011-06-15 | 富士ゼロックス株式会社 | 情報処理装置、方法、及びプログラム |
| US7958543B2 (en) * | 2005-07-12 | 2011-06-07 | Microsoft Corporation | Account synchronization for common identity in an unmanaged network |
| KR100728002B1 (ko) * | 2005-07-22 | 2007-06-14 | 삼성전자주식회사 | 라스트 유알아이 생성 방법 및 장치와 그 방법을 수행하는프로그램이 기록된 기록 매체 |
-
2006
- 2006-02-07 EP EP06300115A patent/EP1816824A1/en not_active Withdrawn
-
2007
- 2007-02-05 JP JP2008553743A patent/JP5011314B2/ja not_active Expired - Fee Related
- 2007-02-05 US US12/223,427 patent/US8132241B2/en not_active Expired - Fee Related
- 2007-02-05 CN CN2007800045797A patent/CN101379798B/zh not_active Expired - Fee Related
- 2007-02-05 KR KR1020087019143A patent/KR101372951B1/ko active IP Right Grant
- 2007-02-05 WO PCT/EP2007/051079 patent/WO2007090815A1/en active Application Filing
- 2007-02-05 EP EP07704363.6A patent/EP2002635B1/en not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6092201A (en) * | 1997-10-24 | 2000-07-18 | Entrust Technologies | Method and apparatus for extending secure communication operations via a shared list |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2007090815B1 (en) | 2007-10-04 |
| US8132241B2 (en) | 2012-03-06 |
| WO2007090815A1 (en) | 2007-08-16 |
| KR101372951B1 (ko) | 2014-03-10 |
| US20110035791A1 (en) | 2011-02-10 |
| CN101379798A (zh) | 2009-03-04 |
| JP5011314B2 (ja) | 2012-08-29 |
| KR20080093432A (ko) | 2008-10-21 |
| EP2002635A1 (en) | 2008-12-17 |
| EP1816824A1 (en) | 2007-08-08 |
| EP2002635B1 (en) | 2014-12-24 |
| JP2009526457A (ja) | 2009-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2859700B1 (en) | Using neighbor discovery to create trust information for other applications | |
| Haas et al. | Efficient certificate revocation list organization and distribution | |
| CN111771390A (zh) | 自组织网络 | |
| KR20120055683A (ko) | 표현들의 소유권을 유도, 통신 및/또는 검증하기 위한 방법들 및 장치 | |
| CN102843231A (zh) | 密码通信系统和密码通信方法 | |
| JPH07193569A (ja) | 通信の安全を保つ方法及び安全にデータを転送する装置 | |
| CN102292962B (zh) | 与地址产生、传送和/或验证相关的方法和装置 | |
| CN110990484B (zh) | 基于区块链的信息存储方法、系统、计算机设备及存储介质 | |
| US20120226909A1 (en) | Method of Configuring a Node, Related Node and Configuration Server | |
| US20100023768A1 (en) | Method and system for security key agreement | |
| CN112019503A (zh) | 一种获得设备标识的方法、通信实体、通信系统及存储介质 | |
| CN101379798B (zh) | 用于将设备插入到网络设备群组中的方法和设备 | |
| EP4229536A1 (en) | Constructing a multiple-entity root certificate data block chain | |
| CN101247642A (zh) | 安全邻居发现方法、网络设备和移动台 | |
| Suresh et al. | A TPM-based architecture to secure VANET | |
| Sumra et al. | Forming vehicular web of trust in VANET | |
| EP4106264A1 (en) | System and method for performing secure key exchange | |
| Anshul et al. | A ZKP-based identification scheme for base nodes in wireless sensor networks | |
| KR101029205B1 (ko) | 네트워크 디바이스에서의 로컬 커뮤니티 표현을 관리하기위한 안전한 분산 시스템 | |
| CN115296864B (zh) | 车内节点可信交互方法、装置和存储介质 | |
| JP2012085036A (ja) | 通信システム、並びに、通信装置及びプログラム | |
| Lampkins et al. | Bidirectional blockchain | |
| EP2348667B1 (en) | Cga signature verification method and device thereof | |
| CN116866001A (zh) | 基于密钥管理系统的终端设备接入网关的方法和装置 | |
| Münch et al. | Integration of a Security Gateway for Critical Infrastructure into Existing PKI Systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder | ||
| CP02 | Change in the address of a patent holder |
Address after: I Si Eli Murli Nor, France Patentee after: THOMSON LICENSING Address before: French Boulogne - Bilang Kurt Patentee before: THOMSON LICENSING |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20190529 Address after: Paris France Patentee after: Interactive digital CE patent holding Co. Address before: I Si Eli Murli Nor, France Patentee before: THOMSON LICENSING |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110928 Termination date: 20210205 |