CN103503367A - 基于社交网络的pki认证 - Google Patents
基于社交网络的pki认证 Download PDFInfo
- Publication number
- CN103503367A CN103503367A CN201280020414.XA CN201280020414A CN103503367A CN 103503367 A CN103503367 A CN 103503367A CN 201280020414 A CN201280020414 A CN 201280020414A CN 103503367 A CN103503367 A CN 103503367A
- Authority
- CN
- China
- Prior art keywords
- user
- certificate
- signer
- signed
- weight
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
用户设备生成基于社交图的用户证书,该用户证书向社交网络的其它用户传达信任等级。获得用户的用户证书,该用户具有用户公钥和相应的用户私钥。标识一个或多个社交网络中的多个潜在签名者。随后将该证书发送至所标识出的多个潜在签名者。可从这多个潜在签名者中的至少一些潜在签名者处接收该用户证书的一个或多个已签名版本。用户设备可向该用户证书的每个已签名版本指派签名者权重,每个对应的签名者权重与该证书的每个已签名版本的签名者相关联。用户证书、用户签名、该用户证书的一个或多个已签名版本、和用户指派的签名者权重被分发给一个或多个接收方。
Description
本专利申请要求于2011年4月28日提交的题为“Social Network BasedPKI Authentication(基于社交网络的PKI认证)”的美国临时申请No.61/480,270的优先权,其通过援引明确纳入于此。
背景技术
领域
各个特征涉及可利用社交网络或在线社区实现认证和安全性的可伸缩机制。
背景
当今在社交网络和在线社区上的隐私违犯和对用户策略管理不良的趋势提出了对用于认证用户、加密内容、和/或授权/限制对此类内容的访问的更简便手段的强烈需求。已经设计了构造和共享公钥的用户友好的手段,例如,基于身份的加密或使用统一资源标识符(URI)作为公钥的概念。然而,当前不存在自动生成证书(或信任网)的能力。没有这种能力,公-私钥对不允许认证、授权或不可否认性。公钥基础设施(PKI)是完成该能力的阶层式手段,然而,成本和可伸缩性已经阻碍该能力变为既成事实的机制。“信任网”的概念解决了该问题;然而,这在传统上要求密钥签名方或类似物。
随着社交网络的扩展,有机会出于各种目的利用其中的信息。提供可利用社交网络或在线社区实现认证和安全性的可伸缩机制将是有益的。
概述
第一示例提供了一种在用户设备上操作的用于生成基于社交图的证书的方法。获得该用户设备的用户的用户证书,其中用户与用户公钥和相应的用户私钥相关联。用户证书还可包括用户公钥。还标识一个或多个社交网络中的多个潜在签名者。随后将用户证书从用户设备发送至这多个潜在签名者。作为响应,用户设备可从这多个潜在签名者中的至少一些签名者处接收该用户证书的一个或多个已签名版本。来自用户证书的这一个或多个已签名版本中的该用户证书的第一已签名版本可由签名者使用第二私钥签名并可使用相应的第二公钥来认证。
用户证书、接收到的该用户证书的一个或多个已签名版本、和/或至少接收到的该用户证书的一个或多个已签名版本的那些签名者的身份可随后被组合成复合证书。用户证书、用户签名、该用户证书的一个或多个已签名版本、以及一个或多个由用户指派的签名者权重可被分发给一个或多个接收方。
还可通过使用用户私钥来签名该复合证书的至少一部分来生成用户签名。该用户签名可被附加至该复合证书。
生成用户签名可包括以下任一者:(a)使用用户私钥来签名用户证书,包括已标识出的多个潜在签名者的身份;和/或使用用户私钥来签名用户证书,包括接收到的用户证书的一个或多个已签名版本。
签名者权重也可被指派给用户证书的每个已签名版本,每个对应的签名者权重与用户证书的每个已签名版本的签名者相关联,其中也可使用用户私钥来签名该对应的签名者权重以生成用户签名。在一个示例中,可从自用户的电子邮件或地址簿中导出的联系人中标识这多个潜在签名者。
还可将已标识出的多个潜在签名者的身份、连同用户证书一起从用户设备发送至这多个潜在签名者以供由其中一个或多个潜在签名者签名。
在一些实例中,可在将用户证书分发给一个或多个接收方之前在用户设备处向该用户证书附加时间戳或寿命指示符。
在一个示例中,可为用户证书的每个已签名版本获得由用户指派的签名者权重。用户证书的每个已签名版本的由用户指派的签名者权重可被添加至复合证书。
在一个实现中,每个签名者的由用户指派的签名者权重可与该用户和该签名者之间的信任关系成比例。在第二示例中,每个签名者的由用户指派的签名者权重可与在社交网络中该用户和该签名者之间的关系距离成比例。在第三示例中,每个签名者的由用户指派的权重为以下至少一者:时变权重或目的相关权重。在第四示例中,每个签名者的由用户指派的权重至少部分地基于接收自其它用户且可由该用户设备认证的权重。在一个实例中,对于用户已知的签名者而言,由用户指派的签名者权重单纯由该用户来决定,而对于用户未知的签名者而言,由用户指派的签名者权重至少部分地基于由已知签名者为此类未知签名者提供的权重。
在另一实现中,可为用户证书的每个已签名版本获得因签名者而异的权重。用户证书的每个已签名版本的因签名者而异的权重可被添加/附加至复合证书。在一个示例中,每个因签名者而异的权重与相应的签名者相关联。在另一示例中,可由用户社区或受信第三方中的至少一者生成每个因签名者而异的权重。
在第二示例中,提供了一种在接收方设备上操作的用于为用户生成信任度量的方法。可接收复合证书,其包括用户证书以及由社交网络中的一个或多个签名者签名的该用户证书的一个或多个已签名版本、以及对该复合证书的用户签名。在一个示例中,用户证书可为用户公钥。
可以认证该复合证书以及该用户证书的该一个或多个已签名版本。一旦成功认证,即可基于这一个或多个签名者来为该用户生成信任度量。
在一个实现中,可接收针对这一个或多个签名者的每一个的签名者权重作为复合证书的一部分。可基于收到的这一个或多个签名者的签名者权重为该用户生成信任度量。
在另一实现中,由接收方指派的签名者权重可被指派给用户证书的该一个或多个已签名版本的每一个,每个由接收方指派的签名者权重对应于用户证书的每个已签名版本的签名者。
在各个实例中,可基于以下来生成信任度量:(a)诸签名者权重和诸由接收方指派的签名者权重的组合,或(b)一个或多个由接收方指派的签名者权重。
认证用户证书可包括向用户签名应用用户公钥以验证复合证书内已签名内容的真实性。认证用户证书的这一个或多个已签名版本可包括向用户证书的这一个或多个已签名版本应用签名者公钥以验证其真实性。在另一实现中,用户证书的这一个或多个已签名版本可由不同于用户的一方来签名。
附图简述
图1是解说用于社交网络的未加权和已加权社交图的概念的图示。
图2是解说如何可为目标用户生成认证和/或信任证书的示例的框图。
图3是解说目标用户的认证和/或信任证书如何可由验证用户使用的示例的框图。
图4(包括图4A和4B)是解说多个设备的用于基于由一个或多个签名者设备所作的背书来生成基于社交图的证书以及为用户设备计算信任度量的操作的流程图。
图5解说根据一个示例的用户设备的框图。
图6解说用户设备的用于方便生成基于社交网络的信任度量的操作的示例。
图7解说根据一个示例的签名者设备的内部结构的框图。
图8解说签名者设备的用于方便生成基于社交网络的用户证书的操作的示例。
图9解说根据一个示例的接收方设备的内部结构的框图。
图10解说接收方设备的用于为用户生成基于社交网络的信任度量的操作的示例。
具体描述
在以下描述中,给出了具体细节以提供对诸实施例的透彻理解。然而,本领域普通技术人员将理解,没有这些具体细节也可实践这些实施例。例如,电路可能用框图示出以避免使这些实施例混淆在不必要的细节中。在其他实例中,公知的电路、结构和技术可能不被详细示出以免使这些实施例不明朗。
措辞“示例性”在本文中用于表示“用作示例、实例或阐释”。本文中描述为“示例性”的任何实现或实施例不必被解释为优于或胜过其他实施例。同样,术语“实施例”并不要求所有实施例都包括所讨论的特征、优点、或工作模式。
综览
在社交网络的世界中,可在社交网络的各个用户或成员之间建立关系网(称为社交图)。可使用这些社交网络内所定义的关系中固有的信息,来例如建立这些用户/成员之间不同的信任等级。在一个示例中,可采用用户/成员的延伸社交关系以查明该用户/成员的特定信任等级。此外,该用户/成员的扩展社交关系中的部分或全部可被加权以定义对该关系的信任。随后可基于用户/成员与社交网络中的其它用户/成员之间的已加权或未加权关系来定义该用户/成员的信任等级。
根据一个特征,可生成用户/成员的证书,该证书将信任等级传达给社交网络的其它用户/成员。在一个示例中,用户设备可生成基于社交图(例如,使用社交网络关系)的用户证书。获得用户的用户证书,该用户具有用户公钥和相应的用户私钥。标识一个或多个社交网络内的多个潜在签名者。随后将证书发送至所标识出的多个潜在签名者。可从这多个潜在签名者中的至少一些潜在签名者处接收该用户证书的一个或多个已签名版本。用户设备可向用户证书的每个已签名版本指派签名者权重,每个对应的签名者权重与证书的每个已签名版本的签名者相关联。可使用用户私钥来签名用户证书的这一个或多个已签名版本以生成用户签名。也可使用用户私钥来签名对应的签名者权重以生成用户签名。用户证书、用户签名、该用户证书的一个或多个已签名版本、和/或由用户指派的签名者权重可被分发给一个或多个接收方。
根据另一特征,接收方设备可为用户(或相应的用户设备)生成信任度量。接收方设备可获得用户(或相关联的用户设备)的用户公钥。可接收用户证书和用户签名,其包括该用户证书的由社交网络中的一个或多个签名者签名的一个或多个已签名版本。可由接收方设备认证用户签名以及该用户证书的这一个或多个已签名版本。例如,可向用户签名应用用户公钥以验证该用户签名中的已签名内容的真实性。此外,认证用户证书的这一个或多个已签名版本可包括向已签名的收到证书应用签名者公钥以验证已签名的收到证书内的已签名内容的真实性。
一旦成功认证,接收方设备即可基于这一个或多个签名者为用户(或用户设备)生成信任度量。可为这一个或多个签名者的每一个接收签名者权重,其中用户的信任度量是基于收到的这一个或多个签名者的签名者权重来生成的。替换地,由接收方指派的签名者权重可被指派给用户证书的这一个或多个已签名版本的每一个,每个由接收方指派的签名者权重对应于用户证书的每个已签名版本的签名者。因此,可基于诸签名者重和诸由接收方指派的签名者权重的组合或仅基于这一个或多个由接收方指派的签名者权重来生成信任度量。
利用社交网络/在线社区来生成社交图
信息安全性在社交共享世界中(例如,在社交网络和/或在线社区中)正迅速变得重要。已经设计了构造和共享公钥的用户友好的手段(例如,基于身份的加密或使用统一资源标识符(URI)作为公钥的概念)。然而,当前不存在自动生成证书(或信任网)的能力。没有这种能力,公-私钥对不允许认证、授权、和/或不可否认性。公钥基础设施(PKI)是完成社交网络或在线社区内的证书的自动生成的阶层式手段。然而,实现PKI的成本和可伸缩性问题已经阻碍PKI变成社交网络和/或在线社区内的实际安全性机制。基于社交网络关系和PKI实现的“信任网”的概念解决了这个问题。用于基于社交图(例如,社交网络中的关系)来自举密钥签名的手段在达成全球水平上(例如,遍及社交网络及以外)可访问和可使用的安全性上是非常有用的。信息的隐私敏感性或选择性共享在存在利用网络关系和PKI的此种模型时解决起来显著简单得多。
社交网络和/或在线社区的本质和结构包括可能在实现安全性/认证系统中有帮助的固有信息,诸如关系、每个用户的凭证等。“社交图”可从社交网络或在线社区上可用的信息中建立并服务于安全性(认证、加密、隐私)。
图1是解说用于社交网络的未加权和已加权社交图的概念的图示。未加权社交图102不区分社交网络的用户间关系的各种级别或等级。目标用户104(例如,个人或目标用户设备)可具有与其它用户(例如,个人或其它用户设备)的不同类型的关系,包括但不限于直接关系和间接关系。直接关系可包括与目标用户104直接认识的其他人的那些关系,而间接关系可包括目标用户104基于与另一用户的关系而认识某人的那些关系。用户间的关系的信任或权重的等级(即,可变级别或等级)在此由位于图上的节点的大小来解说。每个节点可代表不同的用户。如在未加权社交图102中可见,用户106a、106b和106c与目标用户104具有直接关系。类似地,在未加权社交图102中,用户108a、108b、108c和108d与目标用户104具有间接关系。从目标用户104到所有直接关系用户106a、106b和106c以及到所有间接关系用户108a、108b、108c和108d的关系被平等地加权(即,未加权)。
一个方面通过使用经加权关系来生成经加权社交图103提供了对未加权社交图的改进,经加权社交图103可更为准确地捕捉用户的社交交互。经加权的社交图103示出目标用户104与直接关系用户106a、106b和106c以及间接关系用户108a、108b、108c和108d具有相同的关系。如在经加权社交图103中可见,直接关系用户106a、106b和106c的节点的大小可能不同于间接关系用户108a、108b、108c和108d的节点的大小。具体地,一些用户可能具有较大的节点,指示较大的权重(例如,更值得信任、更熟识目标用户104等)。例如,第一用户106a可能比第二用户106b具有更大的权重(例如,更值得信任、更熟识目标用户104等)。在一些情形中,间接关系的第三用户108a可能甚至比直接关系的第四用户106c具有更大的权重。也就是说,一些用户可能比其它用户更值得信任,因此在一方面,经加权的社交图103上的节点越大,该用户就越值得信任。
根据一个特征,间接关系用户的权重可受到指派给或归于将该间接关系用户链接至目标用户104的直接关系用户的权重所影响。例如,在经加权社交图103中,第五间接关系用户108b可能因其通过同样具有较低权重的第二用户106b的链路而具有(与目标用户104有关的)较低权重。类似地,第三用户108a可能因其通过同样具有较大权重的第一用户106a的链路而具有(与目标用户104有关的)较大权重。因此,某些用户的权重可取决于中间用户的权重。
根据另一方面,指派给每个用户的权重可独立于其它用户。例如,指派给第三用户108a的权重可独立于指派给第一用户106a和/或第二用户106b的权重。
通过使用经加权的社交图103,可构建能用于认证用户和/或保护信息访问的安全性的“社交”公钥基础设施(PKI)。此种社交PKI利用web网和/或因特网上成长的社交图结构。经加权的社交图使得自举PKI变得显著简单得多。指派给每个用户(例如,社交网络或在线社区的联系人或成员)的权重可受若干因素影响,包括但不限于,目标用户如何遇到其它用户的情形,用户认识彼此多久以及用户之间的历史(或交互类型)。根据一方面,指派给用户的权重可随时间推移而变化。权重的改变可受若干因素影响,包括但不限于,两个用户之间增加的交互、用户之间降低的信任和/或有条件的信任。
可基于目标用户104的直接和/或间接关系的信任等级以及目标用户和/或其他用户的PKI来生成目标用户104的组合认证和/或信任证书。除了是有条件和/或无条件的之外,此种认证和/或信任证书可为短期(例如,在相对短的时间段后或在单件事务后期满)或长期(例如,在几天、几周、几月、或几年后期满)。例如,证书可以是以用户(例如,受信用户104或其它用户106a-c以及用户108a-d)是否仅关于特定域(例如,其中此种证书可以使用/信任的域)受信任为条件的。无条件的证书可能不被限定于任何源和/或时间。
图2是解说如何为目标用户生成认证和/或信任证书的示例的框图。在此示例中,目标用户204(例如,用户设备、节点、或成员)具有相关联的私钥Priv-A和公钥Pub-A以及初始/用户证书Cert,该初始/用户证书Cert可包括设备/用户标识符、随机数据等并且可由目标用户签名(例如,使用其私钥Priv-A来签名)。在第一示例中,初始/用户证书Cert可表示为:Cert=随机数。在第二示例中,初始/用户证书Cert可表示为:Cert=Pub-A,即,与目标用户相关联的公钥。注意,在又一示例中,初始/用户证书Cert可在分发给潜在签名者之前由目标用户204签名,由此允许潜在签名者在签名之前认证目标用户。
目标用户204向该目标用户204与之具有直接或间接社交关系的一个或多个其它用户(例如,其它用户设备、节点、或成员)发送初始证书Cert。直接或间接从目标用户204接收初始/用户证书Cert的一个或多个其它用户206、208、210、212、214、216和/或218可通过使用它自己的私钥(例如,用户B206的Priv-B、用户C208的Priv-C、用户D210的Priv-D、用户E212的Priv-E、用户F214的Priv-F、和/或用户G216的Priv-G、和/或用户H218的Priv-H)签名该证书来作出响应。其它用户206、208、210、212、214、216和/或218是否决定签名目标用户204的初始/用户证书Cert可取决于它们是否具有与目标用户204的信任关系(例如,通过社交网络内的直接或间接社交链接)。已签名证书Cert的各种版本(例如,SigPriv-B(Cert)、SigPriv-C(Cert)、SigPriv-D(Cert)、SigPriv-E(Cert)、SigPriv-F(Cert)、SigPriv-G(Cert)、SigPriv-H(Cert))可被发送给目标用户204。
目标用户204因此可获得或接收其初始证书Cert的一个或多个已签名版本220(例如,SigPriv-B(Cert)、SigPriv-C(Cert)、SigPriv-D(Cert)、SigPriv-E(Cert)、SigPriv-F(Cert)、SigPriv-G(Cert)、SigPriv-H(Cert))。根据一个特征,目标用户A204可任选地将权重(例如,Wt-AB、Wt-AC、Wt-AD、Wt-AE、Wt-AF、Wt-AG、和/或Wt-AH)指派给与作出响应的用户的接口。这些“接口”权重可以代表,例如,目标用户204具有的与其指派了权重的任一个特定用户206、208、210、212、214、216、和/或218的关系的长度或类型。例如,(举例而言在权重范围内的)权重可被指派给或授予目标用户与之具有直接关系而非间接关系的用户。类似地,较高权重可被指派给或授予已经认识目标用户204最久的用户而非最近才遇到目标用户204的用户。在一些实例中,被社区或社交网络高度关注的用户可因为这种区别或显著性而被目标用户204指派较高的权重。
在其它实现中,权重可被指派给特定签名者(例如,签名用户)而非指派给目标用户和签名用户之间的接口。例如,“因用户而异的”或“因签名者而异的”权重(Wt-S)可由用户社区、受信第三方、和/或目标用户生成并被指派给特定个体签名者(例如,签名用户)。
目标用户204可随后生成包括证书Cert的已签名版本和/或指派给每个签名用户的权重的复合或组合认证和信任证书224(例如,Cert-AT226)。
在一个示例中,复合证书Cert-AT可表示为:
Cert-AT=(Cert,用户-A_ID,Pub-A,
用户-B_ID,SigPriv-B(Cert),Wt-AB,
用户-C_ID,SigPriv-C(Cert),Wt-AC,
用户-D_ID,SigPriv-D(Cert),Wt-AD,
用户-E_ID,SigPriv-E(Cert),Wt-AE,
用户-F_ID,SigPriv-F(Cert),Wt-AF,
用户-G_ID,SigPriv-G(Cert),Wt-AG,
用户-H_ID,SigPriv-H(Cert),Wt-AH)。
复合证书Cert-AT的该版本可假定用户证书Cert的诸签名者的公钥是已知的或可被接收方或验证方获得。例如,公钥可能已经通过网络分发或能由验证方独立获得,因此该公钥可以不被包括。
在图2所解说的示例中,复合证书Cert-AT可表示为:
Cert-AT=(Cert,用户-A_ID,Pub-A,
用户-B_ID,SigPriv-B(Cert),Wt-AB,Pub-B,
用户-C_ID,SigPriv-C(Cert),Wt-AC,Pub-C,
用户-D_ID,SigPriv-D(Cert),Wt-AD,Pub-D,
用户-E_ID,SigPriv-E(Cert),Wt-AE,Pub-E,
用户-F_ID,SigPriv-F(Cert),Wt-AF,Pub-F,
用户-G_ID,SigPriv-G(Cert),Wt-AG,Pub-G,
用户-H_ID,SigPriv-H(Cert),Wt-AH,Pub-H)。
在复合证书Cert-AT的此版本中,用户设备可附加用户证书Cert的诸签名者的公钥。
在又一示例中,复合证书Cert-AT可表示为:
Cert-AT=(Cert,用户-A_ID,Pub-A,
SigPriv-B(Cert),Wt-AB,
SigPriv-C(Cert),Wt-AC,
SigPriv-D(Cert),Wt-AD,
SigPriv-E(Cert),Wt-AE,
SigPriv-F(Cert),Wt-AF,
SigPriv-G(Cert),Wt-AG,
SigPriv-H(Cert),Wt-AH,
用户-B...用户-H、用户-I...用户-R,
Pub-B...Pub-H)。
在复合证书Cert-AT的此版本中,所有已标识出的潜在签名者的所有用户身份(即,用户-B...用户-H以及用户-I...用户-R)可任选地连同其相应的公钥被附加至复合证书。在此示例中,各用户用户-I...用户-R是非签名用户。注意,在其它示例中,所有已标识出的潜在签名者的身份(即,用户-B...用户-H以及用户-I...用户-R),可作为被发送给潜在签名者的初始/用户证书Cert一部分被附加或包括。
在又一示例中,复合证书Cert-AT可表示为:
Cert-AT=(Cert,用户-A_ID,Pub-A,
用户-B_ID,SigPriv-B(Cert),Wt-B,
用户-C_ID,SigPriv-C(Cert),Wt-C,
用户-D_ID,SigPriv-D(Cert),Wt-D,
用户-E_ID,SigPriv-E(Cert),Wt-E,
用户-F_ID,SigPriv-F(Cert),Wt-F,
用户-G_ID,SigPriv-G(Cert),Wt-G,
用户-H_ID,SigPriv-H(Cert),Wt-H)。
在复合证书CertA-AT的该版本中,每个权重可被指派给特定签名者(即,用户-B具有权重Wt-B、用户-C具有权重Wt-C等),而非目标用户和特定签名者之间的接口。例如,用户社区、受信第三方、和/或目标用户可向特定个体签名者指派权重。注意,在一些实现中,至少诸签名者(例如,签名用户)的公钥也可作为证书(Cert-AT)的一部分被包括。尽管本文中可使用(例如,目标用户和签名者之间的)接口权重来解说各个示例,但应该清楚,这些权重可被因用户而异的权重(例如,因签名者而异的权重)所替代。
另外,签名可由目标用户对复合证书Cert-AT或对复合证书Cert-AT的选定局部或部分来生成。例如,在一些示例中,签名可排除诸签名用户的公钥,因为这些公钥可能是已知的。同样,包括每个签名用户的权重在验证用户指派其自己的权重和/或不考虑由目标用户204指派的权重的实现中可以是可任选的。出于认证目的,复合或组合认证和信任证书Cert-AT226可通过目标用户204的私钥Priv-A签名以获得Cert-AT的已签名版本228并且是可由对应的公钥Pub-A来认证的。
目标用户204可随后发送或分发复合或组合认证和信任证书Cert-AT226连同证书的已签名版本228,作为向其它用户认证其自身的手段以及作为提供可易于由那些其它用户验证的信任凭证的方式。例如,社交网络内的接收方用户可能能够验证社交网络的其它用户的签名以便生成目标用户204的信任度量。
在一个示例中,可以各种方式生成指派给其它用户206、208、210、212、214、216、和/或218的权重。例如,第二节点(从第一节点的观点来看)的权重可在第一和第二节点之间的边缘或接口处被指派。第一节点可例如,基于其已与第二节点具有关系或认识第二节点多久、第一节点对第二节点所具有的信任、和/或与其它中间节点的信任/关系、以及其它因素和/或准则等来向第二节点指派权重。
根据替换实现,可与复合证书分开(例如,带外)地传达权重。例如,接收方可接收复合证书Cert-AT(其并不包括签名者权重)并随后从目标用户、签名者自身、和/或受信第三方获得/接收/请求其中标识的签名者的权重。
图3解说了节点/用户权重如何可由目标用户为其它节点或用户生成。在此示例中,每个节点/用户可为与其它节点/用户之间的直接关系建立权重。例如,目标用户A204已分别指派了与直接关系用户206、208和210的权重Wt-AB、Wt-AC、和Wt-AD。类似地,在一些实现中,目标用户A204可分别向间接关系用户212、214、216和218指派权重Wt-AE、Wt-AF、Wt-AG和Wt-AH。在此实现中,目标用户A204可独立查明每个用户(例如,潜在签名者)的权重。例如,目标用户A204可基于以下向间接关系用户指派权重:(a)其自身对该间接关系用户的知识、(b)与一个或多个中间用户的关系、和/或(c)与该间接关系用户的“距离”(例如,中间跳跃或节点的数目)。
从目标用户A204的观点来看,为目标用户A204和其它节点/用户X之间的直接或间接关系建立、生成、和/或指派了各个权重Wt-AX。例如,目标用户A204可分别为与之具有直接关系的用户/节点B206、C208、和D210指派直接权重Wt-AB、Wt-AC、和Wt-AD。在此示例中,对于间接关系,目标用户A204可分别为间接节点/用户E212、F214、G216和H218生成权重Wt-EB、Wt-EC、Wt-CF、Wt-CG、和/或Wt-DH。
如图4、5和6所解说的,可实现用于向目标用户的间接用户/节点指派权重的各种不同的方法。
图4解说由目标用户A实现的用于直接和间接关系节点/用户两者的权重指派方法。例如,用户/节点B206可具有与用户/节点E212的直接关系。在此示例中,目标用户A204可向直接关系节点/用户B206指派权重Wt-AB。类似地,且独立于节点/用户B,目标用户A204可为间接关系节点/用户E212指派或生成权重Wt-AE。例如,间接关系节点/用户E212的权重的此种选择可基于网络内的用户/节点E212的声誉和/或目标用户A204与用户/节点E212之间的先前交往。以此方式,目标用户A204可获得其能用于为用户/节点E212生成权重Wt-EA的权重Wt-BE。
图5解说由目标用户A实现的用于直接和间接关系节点/用户两者的另一权重指派方法。在此示例中,指派给间接用户/节点的权重可至少部分地基于指派给中间关系的(诸)权重。例如,用户/节点B206可能是目标用户A204和用户/节点E212之间的中间节点/用户。在已经向节点/用户B206指派权重Wt-AB的情况下,目标用户204可随后全部或部分地基于指派给用户/节点B的权重来向间接关系节点/用户E212指派权重Wt-AE(即,Wt-AE=f(Wt-AB))。替换地,在另一实现中,节点/用户B206可向节点/用户E212提供或指派权重Wt-BE并将该权重Wt-BE提供给目标用户/节点A204。目标用户204可随后完全或部分地基于指派给用户/节点B206的权重和由节点/用户B206指派给节点/用户E212的权重来向间接关系节点/用户E212指派复合权重Wt-AE(即,Wt-AE=f(Wt-AB,Wt-BE))。当提供复合权重时,也可提供通知/指示符以将其与直接权重区分开来。
图6解说由目标用户A实现的用于直接和间接关系节点/用户两者的又一权重指派方法。在此示例中,目标节点/用户A204可基于其到节点/用户的“距离”(例如,中间节点/用户的跳跃或数目)为其它节点指派或生成权重。例如,用户/节点B206可被指派权重Wt-AB,其是节点/用户A204到节点/用户B206的接近度的函数(即,f(到节点B的距离))。在此示例中,节点/用户B206离开目标用户/节点A204仅一跳。类似地,用户/节点E212可被指派权重Wt-AE,其是从节点/用户A204到节点/用户E212的接近度或间接关系的函数(即,f(到节点E的距离))。在此示例中,节点/用户E212离开目标用户/节点A204两跳。
注意,可实现和构想落在本公开的范围内的用于向节点/用户指派权重的其它方法。在一些示例中,图4、5和/或6中解说的两种或更多种技术可被组合以指派/生成用户/节点权重。
图7是解说目标用户的认证和/或信任证书可由验证用户如何使用的示例的框图。在此示例中,目标用户702已经向验证用户706发送其认证和信任证书Cert-AT704。例如,目标用户702可能正寻求获得一些数据或执行与验证用户706的交易。替换地,目标用户702可能正寻求获得一些数据或执行与正使用验证用户706进行认证和/或信任生成服务的另一用户的交易。
在此示例中,认证和/或信任复合证书Cert-AT704可包括目标用户证书Cert、目标用户标识符用户-A_ID、以及目标用户公钥Pub-A。此外,复合证书Cert-AT704还可包括签名用户的用户标识符/身份(例如,用户-B_ID、用户-C_ID、用户-D_ID、用户-E_ID、用户-F_ID、用户-G_ID、用户-H_ID)、由这些用户签名的用户证书Cert的已签名版本(例如,SigPriv-B(Cert)、SigPriv-C(Cert)、SigPriv-D(Cert)、SigPriv-E(Cert)、SigPriv-F(Cert)、SigPriv-G(Cert)、SigPriv-H(Cert))、(可任选地)每个签名用户的权重(由目标用户704指派)、以及每个签名用户的公钥(例如,Pub-B、Pub-C、Pub-D、Pub-E、Pub-F、Pub-G、Pub-H)。在一些示例中,用户证书Cert的由其它用户签名的版本(例如,SigPriv-B(Cert)、SigPriv-C(Cert)、SigPriv-D(Cert)、SigPriv-E(Cert)、SigPriv-F(Cert)、SigPriv-G(Cert)、SigPriv-H(Cert))可被理解为或暗示为是对目标用户702的保荐或背书的形式。
一旦收到认证和/或信任复合证书Cert-AT704,验证用户706就可认证复合证书Cert-AT,即,使用与目标用户702相关联的公钥Pub-A来认证。验证用户706还可认证用户证书Cert的一个或多个已签名版本(例如,SigPriv-B(Cert)、SigPriv-C(Cert)、SigPriv-D(Cert)、SigPriv-E(Cert)、SigPriv-F(Cert)、SigPriv-G(Cert)、SigPriv-H(Cert)),即,使用签名用户(例如,用户-B、用户-C、用户-D、用户-E、用户-F、用户-G以及用户-H)的公钥(例如,Pub-B、Pub-C、Pub-D、Pub-E、Pub-F、Pub-G、和Pub-H)来认证。验证用户706还可通过使用利用目标用户702的公钥Pub-A签名的认证和/或信任复合证书SigPriv-A(Cert-AT)716来认证目标用户A702。如果认证和/或信任复合证书Cert-AT714被成功认证,则验证用户706可进而生成或计算目标用户702的信任度量712。
在一些实现中,可作为目标用户702的认证和信任证书Cert-AT714的签名用户(例如,用户-B、用户-C、用户-D、用户-E、用户-F、用户-G、以及用户-H)的这一个或多个权重(例如,Wt-AB、Wt-AC、Wt-AD、Wt-AE、Wt-AF、Wt-AG、Wt-AH)的函数(f)来计算或生成信任度量(度量A718)。该函数可组合这一个或多个权重(例如,Wt-AB、Wt-AC、Wt-AD、Wt-AE、Wt-AF、Wt-AG、Wt-AH)以生成度量(度量A718)。
在另一实现中,验证用户706可向签名了认证和信任证书(Cert-AT)714的签名用户(例如,用户-B、用户-C、用户-D、用户-E、用户-F、用户-G、以及用户-H)指派其自己的权重710(例如,Wt-AB’、Wt-AC’、Wt-AD’、Wt-AE’、Wt-AF’、Wt-AG’、Wt-AH’)。这允许验证用户自行决定哪些用户应被给予较大权重。由验证用户706指派的权重可随后被用于为目标用户702生成或计算信任度量(度量-A’720)。
在又一实现中,多个权重集可被组合以为目标用户702生成信任度量(度量-A’’722)。例如,由目标用户和验证用户为诸签名用户指派的权重可被组合以获得信任度量。在另一个示例中,对于目标用户已知的签名者而言,由目标用户指派的签名者权重单纯由目标用户来决定,而对于目标用户未知的签名者而言,由用户指派的签名者权重至少部分地基于由已知签名者为此类未知签名者提供的权重。
在一些实现中,可在将证书Cert-AT分发给一个或多个接收方之前在目标用户设备处向证书Cert-AT附加用户证书时间戳或寿命指示符。
图8(包括图8A和8B)是解说多个设备的用于基于由一个或多个签名者设备所作的背书来生成基于社交图的证书以及计算用户设备的信任度量的操作的流程图。用户(用户设备802)可具有由一个或多个签名者(签名者设备804)签名且由用户出于向一个或多个接收方(接收方设备806)认证的目的使用的证书。并且,接收方(验证)设备806可基于各种不同因素为用户设备802计算与签名者设备804相关联的信任度量,如以下将更为详细描述的。
出于解说目的,在图8中,用户证书Cert被用于向其它用户出示。然而,一个实现可使用类似于完美隐私(PGP)的办法并使用用户公钥作为证书Cert。因为用户的公钥仅能被用于认证使用用户的相应私钥生成的签名,所以在此办法中存在某种程度的安全性,因为仅持有该私钥的那方才能生成签名。同样,因为用户的证书仅被用作从其它用户收集签名的载体,因此其值可以是无关的——只要证书能被认证即可。
用户设备802可生成或获得证书(Cert)808。例如,可从受信第三方证书权威机构获得证书。接着,用户设备802可获得或生成包括用户公钥(Pub-U)和对应的用户私钥(Priv-U)的用户公/私钥对810。可从用户设备是其成员的一个或多个社交网络中标识潜在签名者812。社交网络可包括但不限于,
和
一旦已经标识出潜在签名者,即可将证书从用户设备802发送给一个或多个潜在签名者的签名者设备804(814)。接收证书的每个签名者设备804可已生成或获得了签名者公/私钥对816,包括签名者公钥(Pub-S)和对应的签名者私钥(Priv-S)。通过使用其签名者私钥(Priv-S),每个签名者设备可签名该证书(SigPriv-S(Cert))818并向用户设备发送已签名证书(SigPriv-S(Cert))820。可任选地,除了已签名证书(SigPriv-S(Cert))之外,签名者设备804还可发送其公钥(Pub-S)或其用户/设备标识符(签名者ID)。
用户设备802可随后接收一个或多个已签名证书(SigPriv-S(Cert)S=1...i)(822),其中S=从用户设备接收到原始证书的潜在签名者的数目。接着,用户设备802可向从签名者设备接收到的每个已签名证书(SigPriv-S(Cert)S=1...i)指派用户权重(WS)824。指派给每个签名者的用户(签名者)权重(WS)可受若干因素(例如,可从社交网络连接收集)影响,包括但不限于,用户和签名者如何相识的情形,用户认识了签名者多久以及用户与签名者之间交互的历史和类型。在被指派用户权重后,接收到的证书(SigPriv-S(Cert)S=1...i)可由用户设备使用用户私钥(Priv-U)来签名(SigPriv-U(SigPriv-S(Cert)S=1...i,Pub-S,Wi))826以获得用户签名。注意,同样可使用用户密钥(Priv-U)来签名其它信息,包括用户权重(Ws)和/或签名者标识符或签名者公钥Pub-S。
用户设备802可随后向接收方(验证)设备806分发原始证书(Cert)、接收到的已签名证书(SigPriv-S(Cert)s=1...i)、签名者公钥(Pub-S)、由用户指派的签名者权重(Ws)和/或用户签名(SigPriv-U(SigPriv-S(Cert)S=1...i,Pub-S,WS))828。
可任选地,接收方设备806可独立生成或获得用户公钥(Pub-U)和签名者公钥(Pub-S)830。接着,接收方设备806可使用用户公钥(Pub-U)验证/认证用户签名(SigPriv-U(SigPriv-S(Cert)S=1...i,Pub-S,WS))832。接收方设备806可随后使用签名者公钥(Pub-S)来验证每个接收到的由签名者设备签名的证书(SigPriv-S(Cert)S=1...i)834。
一旦已经发生对用户签名(SigPriv-U(SigPriv-S(Cert)S=1...i,Pub-S,WS))以及用户证书的已签名版本(SigPriv-S(Cert)S=1...i)的验证/认证,接收方设备806就可任选地向每个已签名的用户证书(SigPriv-S(Cert)S=1...i)指派其自己的由接收方指派的签名者权重(WR)836。一旦成功认证(步骤832和834),接收方设备806就可基于由用户指派的签名者权重(WS)和/或由接收方指派的签名者权重(WR)来计算信任度量838。
示例性的用户设备和其中的操作
图9解说根据一个示例的用户设备900的框图。用户设备900可包括耦合至存储器/存储设备904和/或通信接口906的处理电路902(例如,一个或多个处理器、处理模块、子电路等)。存储器/存储设备904可用于存储公/私钥914以及一个或多个已签名/未签名证书916。通信接口906(例如,包括发射机电路和/或接收机电路)可用于将用户设备900通信耦合至无线通信网络908,例如,以允许用户设备900变成社交网络和/或在线社区的一部分或与其内的其它设备通信。
根据一个特征,存储器/存储设备904可存储一个或多个操作或指令912,这些操作或指令在由处理电路902执行时使处理电路生成基于社交网络的证书。
另外,处理电路902可执行存储在存储器/存储设备904中的这些操作/指令。例如,处理电路可:
(a)获得用户公钥(Pub-U)和相应的用户私钥(Priv-U);
(b)获得用户证书(Cert)(例如,Cert=用户公钥或来自受信第三方证书权威机构的Cert);
(c)从一个或多个社交网络中标识潜在签名者;和/或
(d)向潜在签名者分发用户证书(Cert)。
响应于分发用户证书(Cert),用户设备900可:
(a)从其它用户处接收用户证书的一个或多个已签名版本SigPriv-S(Cert)S=1...i;
(b)向签名该用户证书的每个用户指派权重(WS);和/或
(c)签名复合Cert=SigPriv-U(Cert,SigPriv-S(Cert)S=1...i,Pub-S,WS)。
用户设备900可随后分发复合证书(例如,认证和信任证书Cert-AT),该复合证书包括:用户Cert、用户证书的一个或多个已签名版本SigPriv-S(Cert)S=1...i、以及由用户指派的签名者权重WS、连同复合用户签名SigPriv-U(SigPriv-S(Cert)S=1...i,Pub-S,WS)、以及其它参数。
根据另一示例,处理电路902可包括适配成(例如,基于社交网络贡献来)生成其用户证书Cert和/或复合用户证书的证书生成器920、适配成从社交网络中发现/选择向其发送用户证书以供签名的潜在签名者的潜在签名者选择器922、适配成为向用户设备发送已签名的用户证书的那些签名者指派权重的签名者权重生成器922、和/或从潜在签名者处接收已签名的用户证书的已签名证书累积器924。这些电路可单独或与处理电路902的其它电路和/或从存储器/存储设备904可用的信息组合地执行生成基于社交网络的复合用户证书(例如,组合的认证和信任证书)的功能和/或步骤。
图10解说用于方便生成基于社交网络的信任度量的用户设备的操作的示例。用户设备可获得用户设备的用户的用户证书,其中该用户与用户公钥(Pub-U)和对应的用户私钥(Priv-U)相关联1002。在一个示例中,用户证书可为用户公钥。替换地,可从受信第三方证书权威机构获得用户证书。接着,用户设备可从一个或多个社交网络内标识多个潜在签名者1004。例如,可从自用户的电子邮件和/或地址簿中导出的联系人中标识这多个潜在签名者。社交网络可包括但不限于,
和
一旦已经标识出潜在签名者,即可将用户证书(Cert)(例如,用户公钥)从用户设备发送至所标识出的多个潜在签名者1006。接着,用户设备可从这多个潜在签名者中的至少一些潜在签名者处接收用户证书的一个或多个已签名版本(SigPriv-S(Cert))1008。用户证书Cert的已签名版本可能已经用与接收到该用户证书的潜在签名者相关联的签名者私钥(Priv-S)签名。一旦已经接收到用户证书的已签名版本,用户设备就可向证书的每个接收到的已签名版本SigPriv-S(Cert)S=1...i指派/获得因接口而异的和/或因签名者而异的权重WS1010,签名者权重WS对应于用户证书的每个接收到的已签名版本。因接口而异的权重可对应于用户和签名者之间的关系。在各个示例中,每个签名者的签名者权重(例如,由用户指派的签名者权重)可与以下成比例:(a)用户和签名者之间的信任关系,和/或(b)社交网络中该用户和该签名者之间的关系距离。因签名者而异的权重可与特定签名者而非用户(目标)和签名者之间的特定关系相关联。因签名者而异的权重可由用户社区或受信第三方的至少一者生成。
用户设备可随后将用户证书、接收到的用户证书的一个或多个已签名版本、至少接收到的用户证书的一个或多个已签名版本的那些签名者的身份、和/或签名者权重组合成复合证书1012。
接着,用户设备可通过签名全部或部分复合证书来生成用户签名1014。在一个示例中,用户签名可以是使用用户私钥(Priv-U)对接收到的用户证书的已签名版本、所述诸签名者的公钥、和/或由用户指派的签名者权重WS权重来进行的(例如,SigPriv-U(SigPriv-S(Cert)S=1...i,Pub-S,WS)。
用户设备可随后向一个或多个接收方分发复合证书(例如,用户证书、用户签名SigPriv-U(SigPriv-S(Cert)S=1...i,Pub-S,WS)、用户证书的这一个或多个已签名版本SigPriv-S(Cert)S=1...i、和/或由用户指派的签名者权重WS(以及可能还有其他参数)1016。
示例性的签名者设备和其中的操作
图11解说根据一个示例的签名者设备1100的内部结构的框图。签名者设备1100(例如,验证用户和/或设备)可包括耦合至存储器/存储设备1104、和通信接口1106的处理电路(例如,处理器、处理模块等)1102。通信接口1106(例如,包括发射机电路和/或接收机电路)可适配成将签名者设备1100通信耦合至无线通信网络1108,例如,从而允许签名者设备1100变成社交网络和/或在线社区的一部分和/或与其内的其它设备通信。存储器/存储设备1104可包括用于签名接收到的用户证书1112、并向用户发回已签名的用户证书的一个或多个操作(指令),其中已签名的用户证书最终变成针对用户的基于社交网络的证书的一部分。
处理电路1102可实现存储在存储器/存储设备1104中的操作以:
(a)获得签名者公钥(Pub-S)和相应的签名者私钥(Priv-S);
(b)从用户处接收用户证书(Cert);
(c)用签名者私钥来签名用户Cert:Priv-S=SigPriv-S(Cert);和/或
(d)向用户发送用户证书的已签名版本(SigPriv-S(Cert))和(潜在可能发送)Pub-S或签名者标识符。
根据另一示例,处理电路1102可包括适配成验证/认证接收到的用户证书的证书验证器1120、适配成验证接收到的用户证书的用户是签名者设备1100已知(例如,经过直接或间接社交链接已知)的用户的用户验证器1122、和/或适配成签名接收到的用户证书的证书签名器1124。这些电路可单独或与处理电路1102的其它电路和/或从存储器/存储设备1104可用的信息组合地执行辅助生成用户的基于社交网络的信任度量的功能和/或步骤。
图12解说签名者设备的用于方便生成基于社交网络的用户证书的操作的示例。接收方设备可生成或获得签名者私钥(Priv-S)和对应的签名者公钥(Pub-S)1202。接收方设备还可接收与社交网络的用户相关联的用户证书1204。接收方设备可(任选地)认证用户证书1206和/或验证与用户证书的用户的直接或间接关系1208。如果此类认证和/或验证是成功的,则签名者设备可使用其私钥(Priv-S)来签名接收到的用户证书1210并将已签名的用户证书返回给用户1212。
示例性的接收方设备和其中的操作
图13解说根据一个示例的接收方设备1300的内部结构的框图。接收方设备1300(例如,验证用户和/或设备)可包括耦合至存储器/存储设备1304、和通信接口1306的处理电路(例如,处理器、处理模块等)1302。接收方通信接口1306(例如,包括发射机电路和/或接收机电路)可适配成将接收方设备1300通信耦合至无线通信网络1308,例如,从而允许接收方设备1300变成社交网络和/或在线社区的一部分或与其内的其它设备通信。存储器/存储设备1304可包括用于验证基于社交网络的证书1312、生成基于社交网络的信任度量1318、存储一个或多个公和/或私钥1314以及一个或多个证书1316的一个或多个操作(指令)。
处理电路1302可实现存储在存储器/存储设备1304中的操作以:
(a)获得(例如,与社交网络内的其它用户相关联的)公钥Pub-U和Pub-S;
(b)接收复合证书和用户签名(例如,对包括属于第一用户的但由其它用户签名的用户证书的复合证书的用户签名);
(c)验证/认证用户签名SigPriv-U(SigPriv-S(Cert)S=1...i,Pub-S,WS);
(d)验证/认证用户证书的已签名版本SigPriv-S(Cert)S=1...i;
(e)可能向用户证书的诸签名者指派权重WR;和/或
(f)(至少部分地)基于由用户指派的签名者权重WS和/或由接收方指派的签名者权重WR生成对用户的信任度量。
根据另一示例,处理电路1302可包括适配成验证用户证书和/或复合证书(例如,基于社交网络贡献)的证书验证器1320、适配成向为复合证书贡献了已签名的用户证书的那些签名者指派权重的签名者权重生成器1322、和/或基于由第一用户在其复合证书内指派的用户权重和/或由接收方设备指派的用户权重为第一用户生成信任度量的信任度量生成器1324。这些电路可单独或与处理电路1302的其它电路和/或从存储器/存储设备1304可用的信息组合地来执行为第一用户生成基于社交网络的信任度量的功能和/或步骤。
图14解说接收方设备的用于为用户生成基于社交网络的信任度量的操作的示例。接收方设备可生成或获得用户公钥(Pub-U)和签名者公钥(Pub-S)1402。接着,接收方设备可接收复合证书,其包括用户证书(Cert)、该用户证书的由社交网络内的一个或多个签名者签名的一个或多个已签名版本SigPriv-S(Cert)S=1...i、对应的由用户指派的用户指派签名者权重WS、和/或对(全部或部分的)复合证书的用户签名1404。例如,用户签名(SigPriv-U(SigPriv-S(Cert)S=1...i)可包括用户证书的一个或多个已签名版本(SigPriv-S(Cert)S=1...i)。接收方设备可随后认证复合证书以及该用户证书的一个或多个已签名版本1406。例如,可使用用户公钥基于用户签名(SigPriv-S(Cert)S=1...i)来认证复合证书。可类似地使用相应的签名者公钥来认证用户证书的这一个或多个已签名版本SigPriv-S(Cert)S=1...i。
可任选地,接收方设备可向用户证书的每个已签名版本指派接收方权重1408,由接收方指派的签名者权重对应于用户证书的每个已签名版本的签名者。如果成功认证,则可基于这一个或多个签名者(例如,由用户指派的签名者权重和/或由接收方指派的签名者权重)为用户计算信任度量1410。
密钥签名
给定用户证书可由构成该用户的社交图的任何数目的其它用户(签名者)签名。注意,在此系统中,用户证书被用作从社交网络内的其它用户(签名者)处获得或收集签名的载体,并能使用此类签名连同其它用户(签名者)的相应权重来为用户生成信任度量。因此,证书本身可以是唯一性地与用户相关联的任何事物。例如,在一个示例中,证书可以是该用户的可由其它用户(签名者)签名的公钥(例如,该公钥被用作用户证书)。在此意义上,对用户的公钥的签名类似于完美保护(PGP)系统。
在实际系统中,签名者可自用户隔开的层数可受社交图的大小和/或结构限定,并且可(至少部分地)用于为该签名者指派相对于该用户而言的权重。
对应于用户和签名者(其它用户)之间的链接的权重可被指派给签名。例如,如果用户直接链接至签名者,则可向该签名者指派较高的权重。如果用户仅间接链接至不同的签名者,则可向此不同的签名者指派相应较低的权重。这些指派的权重可随时间推移随着两个用户之间的交互增加或减少(例如,对应于变化中的社交图节点位置)而被动态调整(例如,时变权重)。
而且,基于密钥的目的,可向不同的签名者应用不同的权重(例如,目的相关权重)。此外,基于使用密钥的目的,可向相同的签名者应用不同的权重。密钥签名的过程可由用户发起,例如,以便使用安全通信或允许隐私敏感性信息的共享。对签名的提示/请求可以是由系统使用经加权的社交图自动进行的,或可要求用户基于偏好挑拣社交图中的其它用户。
因目的而异的公钥
根据一方面,用户可具有多个不同的因目的而异(例如,目的相关)的公钥。在一个示例中,Alice(爱丽丝)可具有对应于她的工作和社交身份的多个公钥。此类情况的签名可通过创生因域而异的交互图(诸如,因工作而异的图)和真正意义上的社交图来处置。替换地,签名可通过对与特殊目的的密钥相关的节点(签名者)作出高于其它节点(签名者)的加权来处置。例如,Alice的工作身份可对来自她同事(签名者)的签名作出比她朋友的签名高的加权。可基于进行中的交互以及各个因域而异的节点或图的交叉来动态地调整权重,即,如果特定节点(签名者)属于Alice工作上认识、但也进行社交交互的某人,则对该特定节点(签名者)的签名作出较低加权是有意义的。
基于接收方的加权和信任度量
假定该系统并不基于普遍受信的全局PKI,则信任等级可以是诸签名者和(诸)接收方的复组合。即,例如,如果接收方更为信任第一签名者,则相比来自第二签名者的对目标用户证书的签名而言,接收方可更为信任来自第一签名者的对目标用户证书的签名。另一方面,第二签名者可能更为/更好地认识目标用户。一方面,为由接收方计算信任度量,可利用两个权重集(即,由用户指派的签名者权重和由接收方指派的签名者权重)。可以有密钥拥有者权重(也称为由用户指派的签名者权重)和密钥接收方权重(也称为由接收方指派的签名者权重)可供对给定证书签名者(即,用户证书的版本的签名者)应用。接收方可独立于、或协同由用户指派的签名者权重来应用由接收方指派的签名者权重以便为用户计算信任度量。
实用性
除了方便以显著简化的方式对社交网络进行基本认证和加密之外,该机制允许在完全未知的背景中估计信任度量。例如,察看
上的概况的潜在雇主可对它们雇用或它们信任为本领域的域专家的签名者应用较高的权重。此类应用可开启通常仅在人类交互中可行的信任度量在电子交互中的可能性。各权重可被设计为可由系统或应用的终端用户指定的可调谐参数,以用于动态推导对它们有用的信任度量。
附图中解说的组件、步骤、特征、和/或功能之中的一个或多个可以被重新编排和/或组合成单个组件、步骤、特征、或功能,或可以实施在数个组件、步骤或功能中。还可添加附加的元件、组件、步骤、和/或功能而不会脱离本文中所公开的新颖特征。附图中所解说的装置、设备和/或组件可以被配置成执行在这些附图中所描述的方法、特征、或步骤中的一个或更多个。本文中描述的新颖算法还可以高效地实现在软件中和/或嵌入在硬件中。
还应注意,这些实施例可能是作为被描绘为流程图、流图、结构图、或框图的过程来描述的。尽管流程图可能会把诸操作描述为顺序过程,但是这些操作中有许多能够并行或并发地执行。另外,这些操作的次序可以被重新安排。过程在其操作完成时终止。过程可对应于方法、函数、规程、子例程、子程序等。当过程对应于函数时,它的终止对应于该函数返回调用方函数或主函数。
此外,存储介质可表示用于存储数据的一个或更多个设备,包括只读存储器(ROM)、随机存取存储器(RAM)、磁盘存储介质、光学存储介质、闪存设备和/或其他用于存储信息的机器可读介质、处理器可读介质、和/或计算机可读介质。术语“机器可读介质”、“计算机可读介质”和/或“处理器可读介质”可包括,但不限于非瞬态介质,诸如便携或固定的存储设备、光学存储设备、以及能够存储、包含或承载指令和/或数据的各种其它介质。因此,本文中描述的各种方法可全部或部分地由可存储在“机器可读介质”、“计算机可读介质”和/或“处理器可读介质”中并由一个或更多个处理器、机器和/或设备执行的指令和/或数据来实现。
此外,诸实施例可以由硬件、软件、固件、中间件、微代码、或其任何组合来实现。当在软件、固件、中间件或微码中实现时,执行必要任务的程序代码或代码段可被存储在诸如存储介质或其它存储之类的机器可读介质中。处理器可以执行这些必要的任务。代码段可表示规程、函数、子程序、程序、例程、子例程、模块、软件包、类,或是指令、数据结构、或程序语句的任何组合。通过传递和/或接收信息、数据、自变量、参数、或存储器内容,一代码段可被耦合到另一代码段或硬件电路。信息、自变量、参数、数据等可以经由包括存储器共享、消息传递、令牌传递、网络传输等任何合适的手段被传递、转发、或传输。
结合本文中公开的示例描述的各个解说性逻辑块、模块、电路、元件和/或组件可用通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其他可编程逻辑组件、分立的门或晶体管逻辑、分立的硬件组件、或其设计成执行本文中描述的功能的任何组合来实现或执行。通用处理器可以是微处理器,但在替换方案中,该处理器可以是任何常规的处理器、控制器、微控制器、或状态机。处理器还可以实现为计算组件的组合,例如DSP与微处理器的组合、数个微处理器、与DSP核心协作的一个或更多个微处理器、或任何其他此类配置。
结合本文中公开的示例描述的方法或算法可直接在硬件中、在能由处理器执行的软件模块中、或在这两者的组合中,以处理单元、编程指令、或其他指示的形式实施,并且可包含在单个设备中或跨多个设备分布。软件模块可驻留在RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域中所知的任何其他形式的存储介质中。存储介质可耦合到处理器以使得该处理器能从/向该存储介质读写信息。在替换方案中,存储介质可以被整合到处理器。
本领域技术人员将可进一步领会,结合本文中公开的实施例描述的各种解说性逻辑框、模块、电路、和算法步骤可被实现为电子硬件、计算机软件、或两者的组合。为清楚地解说硬件与软件的这一可互换性,各种解说性组件、框、模块、电路、和步骤在上面是以其功能性的形式作一般化描述的。此类功能性是被实现为硬件还是软件取决于具体应用和施加于整体系统的设计约束。
本文中所描述的本发明的各种特征可实现于不同系统中而不脱离本发明。应注意,以上实施例仅是示例,且不应被解释成限定本发明。这些实施例的描述旨在解说,而并非旨在限定权利要求的范围。由此,本发明的教导可以现成地应用于其他类型的装置,并且许多替换、修改、和变形对于本领域技术人员将是显而易见的。
Claims (49)
1.一种在用户设备上操作的用于生成基于社交图的证书的方法,包括:
获得所述用户设备的用户的用户证书,其中所述用户与用户公钥和相应的用户私钥相关联;
标识一个或多个社交网络内的多个潜在签名者;
将所述用户证书从所述用户设备发送至所述多个潜在签名者;
在所述用户设备处从所述多个潜在签名者中的至少一些潜在签名者处接收所述用户证书的一个或多个已签名版本;以及
将所述用户证书、所接收到的所述用户证书的一个或多个已签名版本、以及至少所接收到的所述用户证书的一个或多个已签名版本的那些签名者的身份组合成复合证书。
2.如权利要求1所述的方法,其特征在于,进一步包括:
通过使用所述用户私钥来签名所述复合证书的至少一部分来生成用户签名;以及
将所述用户签名附加至所述复合证书。
3.如权利要求2所述的方法,其特征在于,生成所述用户签名包括以下之一:
使用所述用户私钥来签名包括所标识出的多个潜在签名者的身份的所述用户证书;或
使用所述用户私钥来签名包括接收到的所述用户证书的一个或多个已签名版本的所述用户证书。
4.如权利要求3所述的方法,其特征在于,进一步包括:
向所述用户证书的每个已签名版本指派签名者权重,每个对应的签名者权重与所述用户证书的每个已签名版本的签名者相关联,
其中还使用所述用户私钥来签名所述对应的签名者权重以生成所述用户签名。
5.如权利要求1所述的方法,其特征在于,所述多个潜在签名者是从自所述用户的电子邮件或地址簿中导出的联系人中标识的。
6.如权利要求1所述的方法,其特征在于,进一步包括:
将所标识出的多个潜在签名者的身份、连同所述用户证书一起从所述用户设备发送至所述多个潜在签名者以供由一个或多个潜在签名者签名。
7.如权利要求1所述的方法,其特征在于,所述用户证书包括所述用户公钥。
8.如权利要求1所述的方法,其特征在于,来自所述用户证书的所述一个或多个已签名版本中的所述用户证书的第一已签名版本由签名者使用第二私钥签名并能使用相应的第二公钥来认证。
9.如权利要求1所述的方法,其特征在于,进一步包括:
将所述用户证书、所述用户签名、所述用户证书的一个或多个已签名版本、以及一个或多个由用户指派的签名者权重分发给一个或多个接收方。
10.如权利要求1所述的方法,其特征在于,进一步包括:
在将用户证书分发给一个或多个接收方之前在所述用户设备处向所述用户证书附加时间戳或寿命指示符。
11.如权利要求1所述的方法,其特征在于,进一步包括:
为所述用户证书的每个已签名版本获得由用户指派的签名者权重;以及
将所述用户证书的每个已签名版本的所述由用户指派的签名者权重添加至所述复合证书。
12.如权利要求11所述的方法,其特征在于,每个签名者的所述由用户指派的签名者权重与所述用户和所述签名者之间的信任关系成比例。
13.如权利要求11所述的方法,其特征在于,每个签名者的所述由用户指派的签名者权重与社交网络内的所述用户和所述签名者之间的关系距离成比例。
14.如权利要求11所述的方法,其特征在于,每个签名者的所述由用户指派的权重为以下至少一者:时变权重或目的相关权重。
15.如权利要求11所述的方法,其特征在于,每个签名者的所述由用户指派的权重至少部分基于接收自其它用户的且能由所述用户设备认证的权重。
16.如权利要求11所述的方法,其特征在于,对于所述用户已知的签名者而言,所述由用户指派的签名者权重单纯由所述用户来决定,而对于所述用户未知的签名者而言,所述由用户指派的签名者权重至少部分地基于由已知签名者为此类未知签名者提供的权重。
17.如权利要求1所述的方法,其特征在于,进一步包括:
为所述用户证书的每个已签名版本获得因签名者而异的权重;以及
将所述用户证书的每个已签名版本的所述因签名者而异的权重添加至所述复合证书。
18.如权利要求17所述的方法,其特征在于,每个因签名者而异的权重与对应的签名者相关联。
19.如权利要求17所述的方法,其特征在于,所述因签名者而异的权重由用户社区或受信第三方中的至少一者生成。
20.一种用户设备,包括:
通信接口,用于在通信网络上进行通信;
耦合至所述通信接口的处理电路,所述处理电路被适配成:
获得所述用户设备的用户的用户证书,其中所述用户与用户公钥和相应的用户私钥相关联;
标识一个或多个社交网络内的多个潜在签名者;
将所述用户证书从所述用户设备发送至所述多个潜在签名者;
在所述用户设备处从所述多个潜在签名者中的至少一些潜在签名者处接收所述用户证书的一个或多个已签名版本;以及
将所述用户证书、所接收到的所述用户证书的一个或多个已签名版本、以及至少所接收到的所述用户证书的一个或多个已签名版本的那些签名者的身份组合成复合证书。
21.如权利要求20所述的用户设备,其特征在于,所述处理电路还被适配成:
通过使用所述用户私钥签名所述复合证书的至少一部分来生成用户签名;以及
将所述用户签名附加至所述复合证书。
22.如权利要求21所述的用户设备,其特征在于,生成所述用户签名,所述处理电路还被适配成:
使用所述用户私钥来签名包括所标识出的多个潜在签名者的身份的所述用户证书;或
使用所述用户私钥来签名包括所接收到的所述用户证书的一个或多个已签名版本的所述用户证书。
23.如权利要求22所述的用户设备,其特征在于,所述处理电路还被适配成:
向所述用户证书的每个已签名版本指派签名者权重,每个对应的签名者权重与所述用户证书的每个已签名版本的签名者相关联,
其中还使用所述用户私钥来签名所述对应的签名者权重以生成所述用户签名。
24.如权利要求20所述的用户设备,其特征在于,所述处理电路还被适配成:
将所标识出的多个潜在签名者的身份,连同所述用户证书一起从所述用户设备发送至所述多个潜在签名者以供由一个或多个潜在签名者签名。
25.一种用户设备,包括:
用于获得所述用户设备的用户的用户证书的装置,其中所述用户与用户公钥和相应的用户私钥相关联;
用于标识一个或多个社交网络中的多个潜在签名者的装置;
用于将所述用户证书从所述用户设备发送至所述多个潜在签名者的装置;
用于在所述用户设备处从所述多个潜在签名者中的至少一些潜在签名者处接收所述用户证书的一个或多个已签名版本的装置;以及
用于将所述用户证书、所接收到的所述用户证书的一个或多个已签名版本、以及至少所接收到的所述用户证书的一个或多个已签名版本的那些签名者的身份组合成复合证书的装置。
26.如权利要求25所述的用户设备,其特征在于,进一步包括:
用于为所述用户证书的每个已签名版本获得由用户指派的签名者权重的装置;以及
用于将所述用户证书的每个已签名版本的所述由用户指派的签名者权重添加至所述复合证书的装置。
27.一种具有在用户设备中操作的一条或更多条指令的处理器可读介质,所述指令在由一个或多个处理器执行时使所述一个或多个处理器:
获得所述用户设备的用户的用户证书,其中所述用户与用户公钥和相应的用户私钥相关联;
标识一个或多个社交网络内的多个潜在签名者;
将所述用户证书从所述用户设备发送至所述多个潜在签名者;
在所述用户设备处从所述多个潜在签名者中的至少一些潜在签名者处接收所述用户证书的一个或多个已签名版本;以及
将所述用户证书、所接收到的所述用户证书的一个或多个已签名版本、以及至少所接收到的所述用户证书的一个或多个已签名版本的那些签名者的身份组合成复合证书。
28.如权利要求27所述的处理器可读介质,其特征在于,还具有在所述用户设备中操作的一条或多条指令,所述指令在由一个或多个处理器执行时使所述一个或多个处理器:
为所述用户证书的每个已签名版本获得由用户指派的签名者权重;以及
将所述用户证书的每个已签名版本的所述由用户指派的签名者权重添加至所述复合证书。
29.一种在接收方设备上操作的用于为用户生成信任度量的方法,包括:
在所述接收方设备处接收复合证书,所述复合证书包括用户证书和所述用户证书的由社交网络内的一个或多个签名者签名的一个或多个已签名版本、以及对所述复合证书的用户签名;
认证所述复合证书以及所述用户证书的所述一个或多个已签名版本;以及
一旦成功认证,就基于所述一个或多个签名者来生成所述用户的信任度量。
30.如权利要求29所述的方法,其特征在于,所述用户证书是用户公钥。
31.如权利要求29所述的方法,其特征在于,进一步包括:
接收所述一个或多个签名者中的每一个签名者的签名者权重作为所述复合证书的一部分。
32.如权利要求31所述的方法,其特征在于,所述用户的所述信任度量是基于所接收到的所述一个或多个签名者的签名者权重来生成的。
33.如权利要求29所述的方法,其特征在于,进一步包括:
向所述用户证书的所述一个或多个已签名版本的每一个指派由接收方指派的签名者权重,每个由接收方指派的签名者权重对应于所述用户证书的每个已签名版本的签名者。
34.如权利要求33所述的方法,其特征在于,进一步包括:
基于所述签名者权重和由接收方指派的签名者权重的组合生成所述信任度量。
35.如权利要求33所述的方法,其特征在于,进一步包括:
基于所述一个或多个由接收方指派的签名者权重来生成所述用户的信任度量。
36.如权利要求29所述的方法,其特征在于,所述认证所述用户证书包括
对所述用户签名应用用户公钥以验证所述复合证书内的已签名内容的真实性。
37.如权利要求29所述的方法,其特征在于,认证所述用户证书的所述一个或多个已签名版本包括
向所述用户证书的所述一个或多个已签名版本应用签名者公钥以验证其真实性。
38.如权利要求29所述的方法,其特征在于,所述用户证书的所述一个或多个已签名版本是由不同于所述用户的一方来签名的。
39.一种接收方设备,包括:
通信接口,用于在通信网络上进行通信;
耦合至所述通信接口的处理电路,所述处理电路被适配成:
在所述接收方设备处接收复合证书,所述复合证书包括用户证书和所述用户证书的由社交网络内的一个或多个签名者签名的一个或多个已签名版本、以及对所述复合证书的用户签名;
认证所述复合证书以及所述用户证书的所述一个或多个已签名版本;以及
一旦成功认证,就基于所述一个或多个签名者来生成所述用户的信任度量。
40.如权利要求39所述的接收方设备,其特征在于,所述用户证书是用户公钥。
41.如权利要求39所述的接收方设备,其特征在于,所述处理电路还被适配成:
为所述一个或多个签名者的每一个接收签名者权重。
42.如权利要求41所述的接收方设备,其特征在于,所述用户的所述信任度量是基于接收到的所述一个或多个签名者的签名者权重来生成的。
43.如权利要求39所述的接收方设备,其特征在于,所述处理电路还被适配成:
向所述用户证书的所述一个或多个已签名版本的每一个指派由接收方指派的签名者权重,每个由接收方指派的签名者权重对应于所述用户证书的每个已签名版本的签名者。
44.一种接收方设备,包括:
用于接收复合证书的装置,所述复合证书包括用户证书和所述用户证书的由社交网络内的一个或多个签名者签名的一个或多个已签名版本、以及对所述复合证书的用户签名;
用于认证所述用户证书以及所述用户证书的所述一个或多个已签名版本的装置;以及
用于一旦成功认证就基于所述一个或多个签名者来生成所述用户的信任度量的装置。
45.如权利要求44所述的接收方设备,其特征在于,进一步包括:
用于为所述一个或多个签名者的每一个接收签名者权重的装置,其中所述用户的所述信任度量是基于所接收到的所述一个或多个签名者的签名者权重来生成的。
46.如权利要求44所述的接收方设备,其特征在于,进一步包括:
用于向所述用户证书的所述一个或多个已签名版本的每一个指派由接收方指派的签名者权重的装置,每个由接收方指派的签名者权重对应于所述用户证书的每个已签名版本的签名者。
47.一种具有在接收方设备中操作的一条或更多条指令的处理器可读介质,所述指令在由一个或多个处理器执行时使所述一个或多个处理器:
在所述接收方设备处接收复合证书,所述复合证书包括用户证书和所述用户证书的由社交网络内的一个或多个签名者签名的一个或多个已签名版本、以及对所述复合证书的用户签名;
认证所述复合证书以及所述用户证书的所述一个或多个已签名版本;以及
一旦成功认证,就基于所述一个或多个签名者生成所述用户的信任度量。
48.如权利要求47所述的处理器可读介质,其特征在于,还具有在所述接收方设备中操作的一条或多条指令,所述指令在由一个或多个处理器执行时使所述一个或多个处理器:
为所述一个或多个签名者的每一个接收签名者权重,其中所述用户的所述信任度量是基于所接收到的所述一个或多个签名者的签名者权重来生成的。
49.如权利要求47所述的处理器可读介质,其特征在于,还具有在所述接收方设备中操作的一条或多条指令,所述指令在由一个或多个处理器执行时使所述一个或多个处理器:
向所述已签名的接收到的用户证书的每个版本指派由接收方指派的签名者权重,每个由接收方指派的签名者权重对应于每个已签名的接收到的用户证书的签名者。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201161480270P | 2011-04-28 | 2011-04-28 | |
| US61/480,270 | 2011-04-28 | ||
| US13/419,065 US9369285B2 (en) | 2011-04-28 | 2012-03-13 | Social network based PKI authentication |
| US13/419,065 | 2012-03-13 | ||
| PCT/US2012/035715 WO2012149513A1 (en) | 2011-04-28 | 2012-04-29 | Social network based pki authentication |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103503367A true CN103503367A (zh) | 2014-01-08 |
Family
ID=47068903
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280020414.XA Pending CN103503367A (zh) | 2011-04-28 | 2012-04-29 | 基于社交网络的pki认证 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9369285B2 (zh) |
| EP (1) | EP2702725A1 (zh) |
| JP (1) | JP5851021B2 (zh) |
| KR (1) | KR101594056B1 (zh) |
| CN (1) | CN103503367A (zh) |
| WO (1) | WO2012149513A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108683504A (zh) * | 2018-04-24 | 2018-10-19 | 湖南东方华龙信息科技有限公司 | 基于多元身份的证书签发方法 |
| CN109977272A (zh) * | 2017-12-27 | 2019-07-05 | 航天信息股份有限公司 | 一种基于审计数据识别关键用户的方法和系统 |
Families Citing this family (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090100183A1 (en) * | 2007-10-14 | 2009-04-16 | International Business Machines Corporation | Detection of Missing Recipients in Electronic Messages |
| US8893008B1 (en) * | 2011-07-12 | 2014-11-18 | Relationship Science LLC | Allowing groups expanded connectivity to entities of an information service |
| US10311106B2 (en) * | 2011-12-28 | 2019-06-04 | Www.Trustscience.Com Inc. | Social graph visualization and user interface |
| US8762324B2 (en) * | 2012-03-23 | 2014-06-24 | Sap Ag | Multi-dimensional query expansion employing semantics and usage statistics |
| US9183595B1 (en) * | 2012-03-30 | 2015-11-10 | Emc Corporation | Using link strength in knowledge-based authentication |
| US10181147B2 (en) | 2012-05-17 | 2019-01-15 | Walmart Apollo, Llc | Methods and systems for arranging a webpage and purchasing products via a subscription mechanism |
| US10346895B2 (en) | 2012-05-17 | 2019-07-09 | Walmart Apollo, Llc | Initiation of purchase transaction in response to a reply to a recommendation |
| US10740779B2 (en) | 2012-05-17 | 2020-08-11 | Walmart Apollo, Llc | Pre-establishing purchasing intent for computer based commerce systems |
| US20130317941A1 (en) * | 2012-05-17 | 2013-11-28 | Nathan Stoll | Trust Graph |
| US10210559B2 (en) | 2012-05-17 | 2019-02-19 | Walmart Apollo, Llc | Systems and methods for recommendation scraping |
| US20150278917A1 (en) * | 2012-05-17 | 2015-10-01 | Wal-Mart Stores, Inc. | Systems and methods for obtaining product recommendations |
| US10580056B2 (en) | 2012-05-17 | 2020-03-03 | Walmart Apollo, Llc | System and method for providing a gift exchange |
| KR20160099692A (ko) * | 2013-12-20 | 2016-08-22 | 더 던 앤드 브래드스트리트 코포레이션 | 비지니스 관계 네트워크 발견 및 관계의 관련성 평가 |
| US10013480B2 (en) * | 2014-03-26 | 2018-07-03 | Excalibur Ip, Llc | Method and system for decomposing social relationships into domains of interactions |
| US10296642B1 (en) * | 2015-06-05 | 2019-05-21 | Google Llc | Ranking content for user engagement |
| US10389725B2 (en) | 2016-06-29 | 2019-08-20 | International Business Machines Corporation | Enhance computer security by utilizing an authorized user set |
| US10476673B2 (en) | 2017-03-22 | 2019-11-12 | Extrahop Networks, Inc. | Managing session secrets for continuous packet capture systems |
| US9967292B1 (en) | 2017-10-25 | 2018-05-08 | Extrahop Networks, Inc. | Inline secret sharing |
| US10389574B1 (en) | 2018-02-07 | 2019-08-20 | Extrahop Networks, Inc. | Ranking alerts based on network monitoring |
| US10270794B1 (en) | 2018-02-09 | 2019-04-23 | Extrahop Networks, Inc. | Detection of denial of service attacks |
| US10411978B1 (en) | 2018-08-09 | 2019-09-10 | Extrahop Networks, Inc. | Correlating causes and effects associated with network activity |
| US10972298B2 (en) * | 2018-08-21 | 2021-04-06 | International Business Machines Corporation | Proactively managing collisions of multiple clustering groups for collaborative messaging platforms |
| US10594718B1 (en) * | 2018-08-21 | 2020-03-17 | Extrahop Networks, Inc. | Managing incident response operations based on monitored network activity |
| US10965702B2 (en) | 2019-05-28 | 2021-03-30 | Extrahop Networks, Inc. | Detecting injection attacks using passive network monitoring |
| US10742530B1 (en) | 2019-08-05 | 2020-08-11 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| US11388072B2 (en) | 2019-08-05 | 2022-07-12 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| US10742677B1 (en) | 2019-09-04 | 2020-08-11 | Extrahop Networks, Inc. | Automatic determination of user roles and asset types based on network monitoring |
| US11503013B2 (en) * | 2020-02-13 | 2022-11-15 | Sap Se | Translation of client certificate authentication into authorization graph descriptors |
| EP4218212A1 (en) | 2020-09-23 | 2023-08-02 | ExtraHop Networks, Inc. | Monitoring encrypted network traffic |
| US11463466B2 (en) | 2020-09-23 | 2022-10-04 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
| WO2022070338A1 (ja) * | 2020-09-30 | 2022-04-07 | 富士通株式会社 | 情報処理方法、情報処理プログラム、および情報処理装置 |
| US11349861B1 (en) | 2021-06-18 | 2022-05-31 | Extrahop Networks, Inc. | Identifying network entities based on beaconing activity |
| US11296967B1 (en) | 2021-09-23 | 2022-04-05 | Extrahop Networks, Inc. | Combining passive network analysis and active probing |
| US11843606B2 (en) | 2022-03-30 | 2023-12-12 | Extrahop Networks, Inc. | Detecting abnormal data access based on data similarity |
| WO2023242969A1 (ja) * | 2022-06-14 | 2023-12-21 | 日本電信電話株式会社 | 署名システム、端末、存在確認方法、及びプログラム |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0998074A2 (en) * | 1998-10-30 | 2000-05-03 | Hitachi, Ltd. | Method of digital signature, and secret information management method and system |
| EP1235135A2 (en) * | 2001-02-22 | 2002-08-28 | Nippon Telegraph and Telephone Corporation | Method and apparatus for generating distributed digital signatures |
| US20040088369A1 (en) * | 2002-10-31 | 2004-05-06 | Yeager William J. | Peer trust evaluation using mobile agents in peer-to-peer networks |
| CN1604519A (zh) * | 2003-09-29 | 2005-04-06 | 三星电子株式会社 | 家庭网络装置、家庭网络系统及其方法 |
| US20050086300A1 (en) * | 2001-01-22 | 2005-04-21 | Yeager William J. | Trust mechanism for a peer-to-peer network computing platform |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001142397A (ja) | 1998-10-30 | 2001-05-25 | Hitachi Ltd | ディジタル署名方法、秘密情報の管理方法およびシステム |
| JP3515408B2 (ja) | 1999-02-15 | 2004-04-05 | 日本電信電話株式会社 | 時刻認証装置 |
| US20040193872A1 (en) * | 2001-07-09 | 2004-09-30 | Mart Saarepera | System and method for renewing and extending digitally signed certificates |
| US7383433B2 (en) | 2001-07-31 | 2008-06-03 | Sun Microsystems, Inc. | Trust spectrum for certificate distribution in distributed peer-to-peer networks |
| AU2003228468B2 (en) | 2002-04-08 | 2009-10-01 | Assa Abloy Ab | Physical access control |
| US7814315B2 (en) | 2006-11-30 | 2010-10-12 | Red Hat, Inc. | Propagation of certificate revocation information |
| JP2008305188A (ja) | 2007-06-07 | 2008-12-18 | Softbank Telecom Corp | ネットワークシステム、認証局設定方法、及び認証局設定プログラム |
| US8255975B2 (en) | 2007-09-05 | 2012-08-28 | Intel Corporation | Method and apparatus for a community-based trust |
| US8806565B2 (en) * | 2007-09-12 | 2014-08-12 | Microsoft Corporation | Secure network location awareness |
| US9344438B2 (en) * | 2008-12-22 | 2016-05-17 | Qualcomm Incorporated | Secure node identifier assignment in a distributed hash table for peer-to-peer networks |
| US8312276B2 (en) | 2009-02-06 | 2012-11-13 | Industrial Technology Research Institute | Method for sending and receiving an evaluation of reputation in a social network |
| JP5001968B2 (ja) | 2009-02-20 | 2012-08-15 | ヤフー株式会社 | ソーシャルネット内の各ユーザの公開鍵の正当性を保証する認証局を設定する認証局設定装置及び認証局設定方法 |
| DE102009031817A1 (de) | 2009-07-03 | 2011-01-05 | Charismathics Gmbh | Verfahren zur Ausstellung, Überprüfung und Verteilung von digitalen Zertifikaten für die Nutzung in Public-Key-Infrastrukturen |
| CN106101202B (zh) | 2009-09-30 | 2019-09-24 | 柯蔼文 | 用于社交图数据分析以确定社区内的连接性的系统和方法 |
-
2012
- 2012-03-13 US US13/419,065 patent/US9369285B2/en not_active Expired - Fee Related
- 2012-04-29 EP EP12725904.2A patent/EP2702725A1/en not_active Withdrawn
- 2012-04-29 JP JP2014508173A patent/JP5851021B2/ja not_active Expired - Fee Related
- 2012-04-29 CN CN201280020414.XA patent/CN103503367A/zh active Pending
- 2012-04-29 KR KR1020137031690A patent/KR101594056B1/ko not_active IP Right Cessation
- 2012-04-29 WO PCT/US2012/035715 patent/WO2012149513A1/en active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0998074A2 (en) * | 1998-10-30 | 2000-05-03 | Hitachi, Ltd. | Method of digital signature, and secret information management method and system |
| US20050086300A1 (en) * | 2001-01-22 | 2005-04-21 | Yeager William J. | Trust mechanism for a peer-to-peer network computing platform |
| EP1235135A2 (en) * | 2001-02-22 | 2002-08-28 | Nippon Telegraph and Telephone Corporation | Method and apparatus for generating distributed digital signatures |
| US20040088369A1 (en) * | 2002-10-31 | 2004-05-06 | Yeager William J. | Peer trust evaluation using mobile agents in peer-to-peer networks |
| CN1604519A (zh) * | 2003-09-29 | 2005-04-06 | 三星电子株式会社 | 家庭网络装置、家庭网络系统及其方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109977272A (zh) * | 2017-12-27 | 2019-07-05 | 航天信息股份有限公司 | 一种基于审计数据识别关键用户的方法和系统 |
| CN108683504A (zh) * | 2018-04-24 | 2018-10-19 | 湖南东方华龙信息科技有限公司 | 基于多元身份的证书签发方法 |
| CN108683504B (zh) * | 2018-04-24 | 2021-06-29 | 湖南东方华龙信息科技有限公司 | 基于多元身份的证书签发方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20140018362A (ko) | 2014-02-12 |
| US9369285B2 (en) | 2016-06-14 |
| KR101594056B1 (ko) | 2016-02-15 |
| EP2702725A1 (en) | 2014-03-05 |
| JP5851021B2 (ja) | 2016-02-03 |
| JP2014514870A (ja) | 2014-06-19 |
| US20120278625A1 (en) | 2012-11-01 |
| WO2012149513A1 (en) | 2012-11-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103503367A (zh) | 基于社交网络的pki认证 | |
| Rawat et al. | Smart cities cybersecurity and privacy | |
| Syta et al. | Keeping authorities" honest or bust" with decentralized witness cosigning | |
| US20180068280A1 (en) | Verifying electronic transactions | |
| US9979716B2 (en) | Certificate authority | |
| Au et al. | PERM: Practical reputation-based blacklisting without TTPs | |
| Samuel et al. | GarliChain: A privacy preserving system for smart grid consumers using blockchain | |
| Forné et al. | Pervasive authentication and authorization infrastructures for mobile users | |
| US10250392B2 (en) | Arbitrary base value for EPID calculation | |
| Ferdous et al. | A node-based trust management scheme for mobile ad-hoc networks | |
| Bao | A decentralized secure mailbox system based on blockchain | |
| Gorbunov et al. | Democoin: a publicly verifiable and jointly serviced cryptocurrency | |
| Quercia et al. | Tata: Towards anonymous trusted authentication | |
| Varnosfaderani et al. | A flexible and compatible model for supporting assurance level through a central proxy | |
| Yao et al. | Security protection for online learning of music | |
| Junjie et al. | APVAS: Reducing the Memory Requirement of AS_PATH Validation by Introducing Aggregate Signatures into BGPsec | |
| CN112583953B (zh) | 一种基于区块链对域间路由进行保护的方法及系统 | |
| Ravlija | PKIs based on Blockchains | |
| CN116915416B (zh) | 一种证书签名方法、装置以及一种证书获取方法、装置 | |
| Durresi et al. | Trust management in emergency networks | |
| EP3219074A1 (en) | Network based identity federation | |
| Antonino | A privacy-preserving approach to grid balancing using scheduled electric vehicle charging | |
| Langute et al. | Survey: Identity-based encryption in cloud computing | |
| Atluri et al. | Computer Security–ESORICS 2022: 27th European Symposium on Research in Computer Security, Copenhagen, Denmark, September 26–30, 2022, Proceedings, Part I | |
| González et al. | Content authentication and access control in pure peer-to-peer networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140108 |