CN103931220A - 用于网络通信的密钥推导函数 - Google Patents
用于网络通信的密钥推导函数 Download PDFInfo
- Publication number
- CN103931220A CN103931220A CN201280048991.XA CN201280048991A CN103931220A CN 103931220 A CN103931220 A CN 103931220A CN 201280048991 A CN201280048991 A CN 201280048991A CN 103931220 A CN103931220 A CN 103931220A
- Authority
- CN
- China
- Prior art keywords
- group
- key
- equipment
- unique information
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/047—Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
- H04W12/0471—Key exchange
Abstract
描述了与推导用来在无线网状网络中安全通信的组密钥关联的系统、方法和其它实施例。根据一个实施例,一种用于计算用来使与网络中的多个远程设备的通信安全的组密钥的控制器包括被配置用于通过使用组主密钥和关于多个远程设备中的远程设备的唯一信息来计算组密钥的密钥逻辑。多个远程设备按照网状拓扑配置。组密钥用于使与远程设备的通信安全。控制器还包括被配置用于通过使用组密钥来使通信安全的通信逻辑。通信将被发送至远程设备。
Description
有关申请的交叉引用
本专利公开内容要求于2011年8月8日提交的第61/521,231号美国临时申请的权益,其通过引用的方式整体并入于此。
背景技术
这里提供的背景技术描述是为了一般性地呈现公开内容的背景的目的。当前命名的发明人的工作(到在此背景技术部分描述的工作的程度)以及在提交时可能无法以其他方式作为现有技术衡量的本描述的诸多方面,既不明确地也不暗含地承认为本公开内容的现有技术。
网络中的计算机可以被布置成许多不同的拓扑结构。例如,网络可以按照星型拓扑、网状拓扑、环形拓扑等进行配置。在按照星型拓扑配置的网络中,中心点(例如接入点(AP))与客户端设备直接通信并且控制用于客户端设备的网络功能(例如密钥生成/分发、网络接入)。对照而言,按照网状拓扑配置的网络中,每个设备与许多其它设备通信以创建例如与连接网类似的网络。网状网络运用为不依赖于中心点控制网络功能的分布式技术。运用分布式技术可能是计算密集的。例如N2级的通信(其中N是网络中的设备数目)可能是在网状网络中执行功能所必需的。
作为示例,考虑在星型拓扑网络比对网状拓扑网络中执行密钥分发功能。在星型拓扑网络中,仅需单个组密钥。这是因为所有消息是从接入点向网络中的设备直接发送的并且设备不相互直接通信。因此,向星型拓扑网络中的所有设备分发新密钥例如需要4N个消息。
然而在网状拓扑网络中,当每个设备在与另一设备通信时使用特定组密钥。这是因为设备可以直接通信而不使用中心点。因而,每个设备需要知道网状拓扑网络中的所有设备的特定组密钥。用于每个设备的组密钥必须与网络上的每个其它设备之间交换,这通过在每对设备之间交换多个消息来执行。为了分发在具有N个设备的网络中为每个设备分发密钥,可能需要4N(N-1)个通信。现在考虑具有30个设备(N=30)的网络。星型拓扑网络使用120个通信(4x30)来分发新密钥。对照而言,网状拓扑网络使用3,480个通信(4x30(30-1))来分发新密钥。在这一示例中,网状拓扑网络需要星型拓扑网络二十九倍的通信。因而,在网状拓扑网络中分发密钥使用许多通信,其可能导致难以高效建立共享密钥的。
发明内容
在一个实施例中,一种用于计算用来使与网络中的多个远程设备的通信安全的组密钥的控制器包括密钥逻辑,该密钥逻辑被配置用于通过使用组主密钥和关于多个远程设备中的远程设备的唯一信息来计算组密钥。多个远程设备按照网状拓扑配置。组密钥用于使与远程设备的通信安全。控制器还包括通信逻辑,该通信逻辑被配置用于通过使用组密钥来使通信安全的通信逻辑。该通信将被发送至远程设备。
在另一实施例中,密钥逻辑被配置用于通过与哈希函数一起使用组主密钥和唯一信息以产生组密钥来计算组密钥。
在另一实施例中,密钥逻辑被配置用于通过使用组主密钥和关于网络中的多个远程设备中的每个远程设备的唯一信息来为网络中的多个远程设备中的每个远程设备计算不同的组密钥。
在另一实施例中,唯一信息包括远程设备的唯一标识符。
在另一实施例中,唯一信息包括远程设备的临时数。
在另一实施例中,通信逻辑被配置用于从以下各项之一获取组主密钥:响应于向多个远程设备之一的请求而接收的通信,其中请求是对于加入网络的请求;或者带外输入。
在另一实施例中,通信逻辑还被配置用于通过以下操作来获取唯一信息:嗅探(sniff)网络的无线通信,或者使远程设备响应于请求而发送唯一信息。
在一个实施例中,一种用于计算用来使在无线设备与网络中的多个远程设备之间的通信安全的组密钥的方法包括由无线设备通过使用组主密钥和关于多个远程设备中的远程设备的唯一信息来计算组密钥。按照网状拓扑配置多个远程设备。组密钥用于使与远程设备的通信安全。该方法还包括通过使用组密钥来使将向远程设备发送的通信安全。
在另一实施例中,该方法包括与哈希函数一起使用组主密钥和唯一信息以产生组密钥来计算组密钥。
在另一实施例中,该方法包括通过使用组主密钥和关于网络中的多个远程设备中的每个远程设备的唯一信息来为网络中的多个远程设备中的每个远程设备计算不同的组密钥。
在另一实施例中,唯一信息包括远程设备的唯一标识符。
在另一实施例中,唯一信息包括远程设备的临时数。
在另一实施例中,从以下各项之一获取组主密钥:响应于向多个远程设备之一的请求而由无线设备接收的通信,其中请求是对于加入网络的请求;或者带外输入。
在另一实施例中,该方法包括由无线设备通过以下操作来获取唯一信息:嗅探网络的无线通信,或者使远程设备响应于请求而发送唯一信息。
在一个实施例中,一种存储计算机可执行指令的非瞬态计算机可读介质,计算机可执行指令在由计算机执行时使计算机执行以下方法,该方法包括由计算机获取组主密钥。组主密钥是用于使在网络中的多个设备之间的通信安全的密码密钥。向多个设备分配组密钥。按照网状拓扑配置网络。该方法还包括有计算机通过使用组主密钥和关于多个设备中的设备的唯一信息来生成组密钥。
在另一实施例中,获取组主密钥包括计算机响应于向多个设备之一的请求来接收通信。
在另一实施例中,获取组主密钥包括从带外输入接收组主密钥。
在另一实施例中,该方法包括由计算机通过嗅探来自网络的无线通信来获取唯一信息。
在另一实施例中,生成组密钥包括通过与哈希函数一起使用组主密钥和唯一信息以推导组密钥来计算组密钥。
在另一实施例中,唯一信息包括设备的唯一标识符,网状拓扑包括链接多个设备的多个无线连接,并且生成组密钥包括为多个设备中的每个设备生成不同的组密钥。
附图说明
并入于说明书中并且构成说明书的一部分的附图图示公开内容的各种系统、方法和其它实施例。各图中的所示的单元边界(例如框、框组或者其它形状)代表边界的一个示例。在一些示例中,一个单元可以被设计为多个单元,或者多个单元可以被设计为一个单元。在一些示例中,被示为另一单元的内部部件的单元可以被实施为外部部件,并且反之亦然。另外,单元可能未按比例绘制。
图1图示与推导用来在无线网状网络中安全通信的组密钥关联的控制器的一个实施例。
图2图示与推导用来在无线网状网络中安全通信的组密钥关联的方法的一个实施例。
图3图示与推导用来在无线网状网络中安全通信的组密钥关联的集成电路的一个实施例。
具体实施方式
这里描述的是与推导用来在无线网状网络中安全通信的组密钥关联的系统、方法和其它实施例的示例。在一个实施例中,无线网状网络中的设备根据组主密钥本地推导其它设备的组密钥。通过根据组主密钥推导组密钥,设备避免为了在每个设备之间交换组密钥而在无线网状网络上发送大量管理通信。以这一方式,在网络上发送的通信数目得以减少并且网络的效率得以提高。
图1图示与根据组主密钥推导组密钥关联的控制器100的一个实施例。控制器100可以在无线设备105中被体现,该无线设备是智能电话、膝上型计算机、网络接口卡(NIC)、平板计算机等。控制器100包括被配置用于通过使用组主密钥来计算组密钥的密钥逻辑110。控制器100还包括被配置用于使用组密钥加密在网络130上发送的通信的通信逻辑120。在一个实施例中,网络130是包括多个远程设备(例如140、142、144和146)的无线网络。多个远程设备140、142、144和146在网状拓扑中无线连接。也就是说,多个设备140、142、144和146中的每个设备可以相互直接通信而不使用集中式接入点。
在图1中,在远程设备140、142、144和146之间的虚线代表形成网状拓扑的无线连接。尽管图示远程设备140、142、144和146具有与每个设备的无线连接,但是许多不同配置在网状拓扑网络中是可能的。例如,第一远程设备140可以具有与其它远程设备142、144和146中的少于所有设备的连接。也就是说,第一远程设备140可以不具有与第四远程设备146的直接连接。这可以归因于若干境况、比如设备之间的距离太远等。
因此,第一远程设备140可以经由第二远程设备142或者第三远程设备144与第四远程设备146通信。因而,网络130可以采用在网状拓扑的范围内的许多不同形式。一般而言,网状拓扑描述在设备之间具有许多互连的网络。例如,网络130中的设备(例如第一远程设备140)可以与许多其它设备(例如142、144和146)而不是仅与控制通信的单个中心接入点直接连接。
在网络130中,在设备之间的通信被加密。加密通信防范安全风险、比如窃听、欺诈等。由于网络130准许设备(例如140、142、144和146)不使用中心接入点而通信,每个设备将针对它与之通信的每个设备使用不同的唯一组密钥。例如,在设备105与设备140之间使用第一组密钥;并且在设备105与设备142之间使用不同的第二组密钥。以这一方式,使网络中的通信安全而可以同时基于用于设备的唯一组密钥验证该设备的身份。
网络130中的设备使用组主密钥和关于每个设备的唯一信息来生成唯一组密钥。因此,为了与网络130中的设备144通信,无线设备105使用组主密钥和关于设备144的唯一信息来本地生成用于设备144的唯一组密钥。因此,用于与设备144通信的唯一组密钥未经由多个通信消息交换,这减少网络上的流量。
无线设备105可以用若干不同方式获取组主密钥。组主密钥例如是向网络130分配、因此由在网络130中连接的所有设备共享的128位密码密钥。组主密钥可以是对称密钥或者非对称密钥对。组主密钥是由网络130中的设备保密保持的秘密密钥。仅被授权在网络130中通信的设备拥有组主密钥。以这一方式,作为网络130的部分的设备可以通过组主密钥的保密来确保计算的组密钥的安全性。
将关于图2更具体讨论获取组主密钥。当前考虑无线设备105中的通信逻辑120响应于无线设备105加入网络130而获取组主密钥。
即使无线设备105已经获取组主密钥,还必须获取关于另一设备的唯一信息。由于组密钥针对特定远程设备被个性化,所以直至关于远程设备(例如第一远程设备140)的唯一信息已知,密钥逻辑110才可以计算用于该远程设备的组密钥。
关于远程设备的唯一信息可以包括唯一标识远程设备的任何信息。例如,唯一信息可以包括远程设备的唯一标识符、比如介质访问控制(MAC)地址、因特网协议(IP)地址、安全标识符、主机名称、证书标识符等。在另一实施例中,唯一信息还包括用于远程设备的临时数。临时数是秘密数字(例如128位伪随机数)、远程设备的第二唯一标识符或者其它唯一值。
尽管通信逻辑120可以与组主密钥一起获取唯一信息作为加入网络130的部分,但是也可以用若干其它方式获取唯一信息。例如通信逻辑120可以加入网络130之后在分离的信息捕获过程中获取唯一信息。
在一个实施例中,信息捕获过程可以包括被动和/或主动功能。例如通信逻辑120可以在加入网络130之前或者之后被动获取唯一信息。也就是说,通信逻辑120可以监听(嗅探)由远程设备发送的通信。由于通信中的一些信息、比如MAC地址未经加密,所以通信逻辑120可以等待远程设备发送通信并且从通信读取未加密的信息。因此,分组嗅探准许通信逻辑120获取唯一信息而不在网络130上发送附加通信。
在另一实施例中,通信逻辑120主动获取唯一信息。也就是说,通信逻辑120使远程设备发送唯一信息。例如通信逻辑120向第一远程设备140发送通信,该通信导致第一远程设备140发送答复通信。答复通信包括唯一信息、例如MAC地址或者其它唯一信息。来自通信逻辑120的通信可以是探测请求、信标、连接请求等。
一般而言,在主动使远程设备发送唯一信息时,任意引发答复的通信就足够了。然而在唯一信息还包括临时数时,远程设备可能需要从无线设备105获取附加认证信息。附加认证信息可以包括用于验证无线设备105的身份的安全证书或者一些其它信息。此外,可以在答复通信中加密临时数以便防范安全顾虑(例如窃听)。可以例如用组主密钥来加密临时数,该组主密钥还用来在无线设备105接收到答复时对解密临时数。
一旦密钥逻辑110具有(1)组主密钥和(2)关于远程设备的唯一信息,可以通过使用两条信息来计算对于远程设备特有的组密钥。例如,密钥逻辑110使用组主密钥和唯一信息(例如MAC地址)作为向密码哈希函数的输入以计算组密钥。哈希函数例如是MD5哈希函数、SHA-0哈希函数、SHA-1哈希函数、SHA-2哈希函数、SHA-3哈希函数、与安全哈希标准(SHS)兼容的哈希函数等。在其它实施例中,可以与不同函数组合和/或用不同函数处理组主密钥和唯一信息以产生用于组密钥的唯一值。
计算的结果在一个实施例中是用作用于远程设备的组密钥的128位密钥。组密钥是由通信逻辑120用来加密向远程设备发送的通信的有效载荷的密码密钥。组密钥还可以用来解密来自远程设备的通信。组密钥可以是对称密钥或者非对称密钥对。以这一方式,密钥逻辑110针对无线设备105与之通信的每个远程设备(140、142、144和146)计算不同的组密钥。
将结合图2讨论控制器100的进一步细节。图2图示与根据组主密钥推导组密钥关联的方法200的一个实施例。图2从方法200由图1的无线设备105实施和执行的角度讨论。
方法200始于(在210)无线设备105获取组主密钥时。在一个实施例中,组主密钥作为与已经是网络130的成员的远程设备的认证过程的结果被获取。例如考虑无线设备105希望加入网络130。为了加入网络130,无线设备105需要由是网络130的成员的远程设备(例如第一远程设备140)认证。因此,无线设备105向第一远程设备140发送请求。请求是对于加入网络130的请求。请求可以包括认证信息、比如安全证书、具有公钥的安全证书、唯一标识符、口令、这些元素的组合等。以这一方式,第一远程设备140可以在向无线设备105发送组主密钥之前认证无线设备105。
向无线设备105发送组主密钥可以用若干不同方式出现。如何向无线设备105发送组主密钥的一个示例包括在第一远程设备140与无线设备105之间执行安全四路握手。四路握手准许以安全方式向无线设备发送组主密钥。在另一实施例中,无线设备105和第一远程设备140执行组主密钥的Diffie-Hellman密钥交换或者另一安全交换。
在另一实施例中,第一远程设备140可以获取组主密钥而不请求加入网络130。取代请求加入网络130,例如可以用网络130预认证无线设备。无线设备105可以简单地请求组主密钥而不请求加入网络130。
在又一实施例中,无线设备105从带外过程获取组主密钥。例如,无线设备105通过从用户的人工录入、通过与另一设备的有线连接、通过与另一设备的蓝牙连接、通过与另一设备的Wi-Fi直接连接、通过向无线设备105中插入闪存棒等获取组主密钥。通过使用带外过程获取组主密钥,可以避免与在网络中130通信关联的安全顾虑。因此,带外过程可以提高传送组主密钥的安全性。
在220,获取用于网络中的远程设备的唯一信息。唯一信息用于将与之出现通信的远程设备。尽管针对单个远程设备讨论方法200的块220,但是可以在220获取用于多于单个远程设备的唯一信息。一般而言,无线设备105可以获取用于网络130中的多个远程设备(例如140、142、144和146)中的每个远程设备的唯一信息并且预先计算用于每个远程设备的唯一组密钥。以这一方式,网络130中的后续通信不由于必须等待无线设备105计算用于多个远程设备的组密钥而延迟。因此,如果无线设备105从网络130中的远程设备接收通信,则在接收到通信之后不出现延迟(用于获取唯一信息并且计算组密钥的延迟),因为先前已经计算所有组密钥。
例如无线设备105可以先为了假如网络130或者出于其它目的与第一远程设备140通信。然而网络130中的其它通信、比如管理帧、信标等可能由不同的远程设备(例如第三远程设备144)使用不同的组密钥发送。为了无线设备105能够解密其它通信,需要已知用于关联的发送设备的组密钥。因而,无线设备105获取用于多个远程设备的唯一信息以便在230计算组密钥并且避免在飞行中来自获取信息和计算密钥的延迟。
尽管在图2中图示块220在块210之后出现,但是块220可以与块210同时或者甚至在块210之前出现。无线设备105可以在230计算组密钥之前的任何时间获取唯一信息。例如,无线设备105可以在也获取组主密钥时获取唯一信息作为加入网络130的部分。备选地,可以在加入网络130之前、因此在获取组主密钥之前获取唯一信息。
如先前说明的那样,唯一信息从网络130中的通信主动(例如通过探测请求)或者被动(例如通过分组嗅探)获取。另外,唯一信息至少包括将被计算组密钥的远程设备的唯一标识符。唯一标识符可以是唯一标识将被计算组密钥的远程设备的标识符、比如介质访问控制(MAC)地址。
在另一实施例中,唯一信息不但包括远程设备的唯一标识符,而且包括临时数。临时数例如是作为远程设备的秘密的随机数和/或字符的串。临时数与唯一标识符一起用来提高用于计算出的组密钥的安全强度。
在230,计算组密钥。在一个实施例中,计算组密钥通过使用唯一信息和组主密钥作为向哈希函数的输入来发生。哈希函数的所得输出是用于与唯一信息关联的远程设备的组密钥。尽管讨论哈希函数,但是其它函数也可以用来计算用于远程设备的组密钥。一般而言,可以使用提供安全组密钥作为输出的任何函数。例如伪随机数生成器可以用唯一信息和组主密钥作为种子以生成组密钥。在另一实施例中,临时密钥(例如短暂(ephemeral)密钥)生成器可以与组主密钥和唯一信息一起用来提供随时间顺序改变的组密钥。
除了在230计算组密钥之外,还可以在230计算用于网络130中的每个远程设备的组密钥。使用相同公式、例如密钥i=哈希(唯一信息i和组主密钥)来计算用于所有远程设备的组密钥。以下示例示出可以用于计算组密钥的若干公式。这些示例并不旨在于限制。
示例:
1)密钥i=f(MACi,组主密钥),其中f是函数、比如安全密码哈希。
2)密钥i=f(MACi,临时数i,组主密钥)。
3)密钥i=f(临时数i,组主密钥)。
4)密钥i=f(IP地址i,组主密钥)。
在240,组密钥用来使与远程设备的通信安全。在一个实施例中,组密钥与密码函数一起用来加密向远程设备发送的通信。在另一实施例中,组密钥用来解密来自远程设备的通信。此外,用于无线设备105的组密钥可以用来加密向远程设备发送的通信。因此,可以通过使用由设备本地计算的密钥而不是使用在设备之间使用多个消息交换而个别分发的密钥来减少无线网状网络中的网络开销(例如密钥分发通信)。
图3图示来自图1的控制器100的一个附加实施例,其被配置有分离的集成电路和/或芯片。在这一实施例中,来自图1的密钥逻辑110被体现为分离的集成电路310。通信逻辑120被体现在个别集成电路320上。电路经由连接路径连接以传达信号。尽管集成电路310和320被图示为分离的集成电路,但是它们可以被集成到共同的电路板300中。此外,可以将集成电路310和320组合成比所示更少的集成电路或者划分成更多的集成电路。此外,在另一实施例中,可以将(分别在集成电路310和320中图示的)密钥逻辑110和通信逻辑120组合成分离的专用集成电路。在其它实施例中,与密钥逻辑110和通信逻辑120关联的功能的部分可以被体现为由处理器可执行的并且在非瞬态存储器中存储的固件。
下文包括选出的在本文运用的术语的定义。定义包括落入术语的范围内并且可以用于实现方式的部件的各种示例和/或形式。示例并非旨在于限制。术语的单数和复数形式二者可以在定义内。
对“一个实施例”、“实施例”、“一个示例”、“示例”等的引用指示这样描述的实施例或者示例可以包括特定特征、结构、特性、性质、单元或者限制,但是并非每个实施例或者示例必然包括该特定特征、结构、特性、性质、单元或者限制。另外,反复使用短语“在一个实施例中”虽然可以、但是未必指代相同实施例。
“逻辑”如这里所用包括但不限于用于执行功能或者动作和/或导致来自另一逻辑、方法和/或系统的功能或者动作的硬件、固件、在非瞬态介质上存储或者在机器上执行的指令和/或各项的组合。逻辑可以包括软件控制的微处理器、分立逻辑(例如ASIC)、模拟电路、数字电路、经编程的逻辑器件、包含指令的存储器设备等。逻辑可以包括一个或者多个门、门的组合或者其它电路部件。在描述多个逻辑的情况下,可以有可能向一个物理逻辑中并入多个逻辑。类似地,在描述单个逻辑的情况下,可以有可能在多个物理逻辑之间分布该单个逻辑。可以使用逻辑单元中的一个或者多个逻辑单元来实施这里描述的部件和功能中的一个或者多个部件和功能。
尽管出于解释简化的目的而示出和描述所示方法为块的序列。但是方法不受块的顺序限制,因为一些块可以按与示出和描述的顺序不同的顺序和/或与其它块并行出现。另外,可以使用少于所有所示块来实施示例方法。可以组合块或者将块分离成多个部件。另外,附加和/或备选方法可以运用附加的未图示的块。
在具体实施方式或者权利要求中运用术语“包括(include)”的程度上,它旨在于以与术语“包括(comprise)”相似的方式有包含意义,因为该术语在运用时解释为权利要求中的过渡词。
尽管已经通过描述示例来举例说明示例系统、方法等并且尽管已经以相当多的细节描述示例,但是申请人的意图并非是约束或者以任何方式使所附权利要求的范围限于这样的细节。当然不可能出于描述这里描述的系统、方法等的目的而描述每个可设想的部件或者方法组合。因此,公开内容不限于示出和描述的具体细节、有代表性的装置和所示示例。因此,本申请旨在于涵盖落入所附权利要求的范围内的变更、修改和变化。
Claims (20)
1.一种用于计算用来使与网络中的多个远程设备的通信安全的组密钥的控制器,其中所述多个远程设备按照网状拓扑配置,所述控制器包括:
密钥逻辑,被配置用于通过使用组主密钥和关于所述多个远程设备中的远程设备的唯一信息来计算组密钥,其中所述组密钥用于使与所述远程设备的通信安全;以及
通信逻辑,被配置用于通过使用所述组密钥来使通信安全,其中所述通信将被发送至所述远程设备。
2.根据权利要求1所述的装置,其中所述密钥逻辑被配置用于通过与哈希函数一起使用所述组主密钥和所述唯一信息以产生所述组密钥来计算所述组密钥。
3.根据权利要求1所述的装置,其中所述密钥逻辑被配置用于通过使用所述组主密钥和关于所述网络中的所述多个远程设备中的每个远程设备的唯一信息来为所述多个远程设备中的每个远程设备计算不同的组密钥。
4.根据权利要求1所述的装置,其中所述唯一信息包括所述远程设备的唯一标识符。
5.根据权利要求4所述的装置,其中所述唯一信息包括所述远程设备的临时数。
6.根据权利要求1所述的装置,其中所述通信逻辑被配置用于从以下各项之一获取所述组主密钥:
响应于向所述多个远程设备之一的请求而接收的通信,其中所述请求是对于加入所述网络的请求,或者
带外输入。
7.根据权利要求1所述的装置,其中所述通信逻辑还被配置用于通过以下操作来获取所述唯一信息:
嗅探所述网络的无线通信,或者
使所述远程设备响应于请求而发送所述唯一信息。
8.一种用于计算用来使在无线设备与网络中的多个远程设备之间的通信安全的组密钥的方法,其中所述多个远程设备按照网状拓扑配置,所述方法包括:
由所述无线设备通过使用组主密钥和关于所述多个远程设备中的远程设备的唯一信息来计算组密钥,其中所述组密钥用于使与所述远程设备的通信安全;以及
通过使用所述组密钥来使将向所述远程设备发送的通信安全。
9.根据权利要求8所述的方法,其中计算所述组密钥包括与哈希函数一起使用所述组主密钥和所述唯一信息以产生所述组密钥。
10.根据权利要求8所述的方法,还包括:
通过使用所述组主密钥和关于所述网络中的所述多个远程设备中的每个远程设备的唯一信息来为所述多个远程设备中的每个远程设备计算不同的组密钥。
11.根据权利要求8所述的方法,其中所述唯一信息包括所述远程设备的唯一标识符。
12.根据权利要求11所述的方法,其中所述唯一信息包括所述远程设备的临时数。
13.根据权利要求8所述的方法,其中所述组主密钥从以下各项之一获取:
由所述无线设备响应于向所述多个远程设备之一的请求而接收的通信,其中所述请求是对于加入网络的请求,或者
带外输入。
14.根据权利要求8所述的方法,还包括:
由所述无线设备通过以下操作来获取所述唯一信息:
嗅探所述网络的无线通信,或者
使所述远程设备响应于请求而发送所述唯一信息。
15.一种存储计算机可执行指令的非瞬态计算机可读介质,所述计算机可执行指令在由计算机执行时使所述计算机执行方法,所述方法包括:
由所述计算机获取组主密钥,其中所述组主密钥是用于使在网络中的多个设备之间的通信安全的密码密钥,其中所述组主密钥被分配给所述多个设备,并且其中所述网络按照网状拓扑配置;以及
由所述计算机通过使用所述组主密钥和关于所述多个设备中的设备的唯一信息来生成组密钥。
16.根据权利要求15所述的方法,其中获取所述组主密钥包括由所述计算机响应于向所述多个设备之一的请求而接收通信。
17.根据权利要求15所述的方法,其中获取所述组主密钥包括从带外输入接收所述组主密钥。
18.根据权利要求15所述的方法,还包括:
由所述计算机通过嗅探来自所述网络的无线通信来获取所述唯一信息。
19.根据权利要求15所述的方法,其中生成所述组密钥包括通过与哈希函数一起使用所述组主密钥和所述唯一信息以推导所述组密钥来计算所述组密钥。
20.根据权利要求15所述的方法,其中所述唯一信息包括所述设备的唯一标识符,其中所述网状拓扑包括链接所述多个设备的多个无线连接,并且其中生成所述组密钥包括为所述多个设备中的每个设备生成不同的组密钥。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201161521231P | 2011-08-08 | 2011-08-08 | |
| US61/521,231 | 2011-08-08 | ||
| PCT/US2012/048977 WO2013022651A1 (en) | 2011-08-08 | 2012-07-31 | Key derivative function for network communications |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103931220A true CN103931220A (zh) | 2014-07-16 |
| CN103931220B CN103931220B (zh) | 2018-06-05 |
Family
ID=46634568
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280048991.XA Expired - Fee Related CN103931220B (zh) | 2011-08-08 | 2012-07-31 | 用于网络通信的密钥推导函数 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US8953791B2 (zh) |
| CN (1) | CN103931220B (zh) |
| WO (1) | WO2013022651A1 (zh) |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2013221600B2 (en) * | 2012-02-13 | 2016-09-29 | Xceedid Corporation | Credential management system |
| US20140032259A1 (en) * | 2012-07-26 | 2014-01-30 | Malcolm Gary LaFever | Systems and methods for private and secure collection and management of personal consumer data |
| KR20140041226A (ko) * | 2012-09-27 | 2014-04-04 | 삼성전자주식회사 | 이동 통신 시스템에서 그룹 통신을 위한 보안 관리 방법 및 장치 |
| US9825759B2 (en) * | 2013-07-08 | 2017-11-21 | Alcatel Lucent | Secure service management in a communication network |
| US11030341B2 (en) | 2013-11-01 | 2021-06-08 | Anonos Inc. | Systems and methods for enforcing privacy-respectful, trusted communications |
| US10043035B2 (en) | 2013-11-01 | 2018-08-07 | Anonos Inc. | Systems and methods for enhancing data protection by anonosizing structured and unstructured data and incorporating machine learning and artificial intelligence in classical and quantum computing environments |
| US9361481B2 (en) | 2013-11-01 | 2016-06-07 | Anonos Inc. | Systems and methods for contextualized data protection |
| US10572684B2 (en) | 2013-11-01 | 2020-02-25 | Anonos Inc. | Systems and methods for enforcing centralized privacy controls in de-centralized systems |
| US9619669B2 (en) | 2013-11-01 | 2017-04-11 | Anonos Inc. | Systems and methods for anonosizing data |
| EP3063691B1 (en) | 2013-11-01 | 2020-03-11 | Anonos Inc. | Dynamic de-identification and anonymity |
| US9087215B2 (en) | 2013-11-01 | 2015-07-21 | Anonos Inc. | Dynamic de-identification and anonymity |
| US9462464B2 (en) * | 2014-03-27 | 2016-10-04 | Qualcomm Incorporated | Secure and simplified procedure for joining a social Wi-Fi mesh network |
| GB2518469B (en) * | 2014-04-02 | 2016-03-16 | Photonstar Led Ltd | Wireless nodes with security key |
| US20150312228A1 (en) * | 2014-04-29 | 2015-10-29 | Qualcomm Incorporated | Remote station for deriving a derivative key in a system-on-a-chip device |
| US9392525B2 (en) * | 2014-05-16 | 2016-07-12 | Qualcomm Incorporated | Establishing reliable routes without expensive mesh peering |
| US9380513B2 (en) | 2014-05-16 | 2016-06-28 | Qualcomm Incorporated | Reducing broadcast duplication in hybrid wireless mesh protocol routing |
| US9516065B2 (en) * | 2014-12-23 | 2016-12-06 | Freescale Semiconductor, Inc. | Secure communication device and method |
| US10079880B2 (en) * | 2015-06-07 | 2018-09-18 | Apple Inc. | Automatic identification of invalid participants in a secure synchronization system |
| US10237061B2 (en) | 2015-09-25 | 2019-03-19 | International Business Machines Corporation | Generating master and wrapper keys for connected devices in a key generation scheme |
| US10645577B2 (en) * | 2016-07-15 | 2020-05-05 | Avago Technologies International Sales Pte. Limited | Enhanced secure provisioning for hotspots |
| US11432138B1 (en) * | 2018-10-24 | 2022-08-30 | Nxp Usa, Inc. | Secure communications among access points |
| JP7047186B2 (ja) * | 2018-12-20 | 2022-04-04 | ランディス・ギア イノベーションズ インコーポレイテッド | 無線メッシュネットワークを介する安全なピアツーピア通信 |
| CN109962924B (zh) * | 2019-04-04 | 2021-07-16 | 北京思源理想控股集团有限公司 | 群聊构建方法、群消息发送方法、群消息接收方法及系统 |
| TWI712307B (zh) * | 2019-09-18 | 2020-12-01 | 遊戲橘子數位科技股份有限公司 | 加、解密群組訊息及傳遞訊息之方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7234058B1 (en) * | 2002-08-27 | 2007-06-19 | Cisco Technology, Inc. | Method and apparatus for generating pairwise cryptographic transforms based on group keys |
| US20070198836A1 (en) * | 2005-04-08 | 2007-08-23 | Nortel Networks Limited | Key negotiation and management for third party access to a secure communication session |
| CN101243642A (zh) * | 2005-08-19 | 2008-08-13 | 三星电子株式会社 | 同时执行多个基于预共享密钥的认证的方法和执行该方法的设备 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6128391A (en) * | 1997-09-22 | 2000-10-03 | Visa International Service Association | Method and apparatus for asymetric key management in a cryptographic system |
| US20030145203A1 (en) * | 2002-01-30 | 2003-07-31 | Yves Audebert | System and method for performing mutual authentications between security tokens |
| JP2006019961A (ja) * | 2004-06-30 | 2006-01-19 | Toshiba Corp | 無線通信装置及び無線通信方法 |
| WO2009131538A1 (en) * | 2008-04-21 | 2009-10-29 | Agency For Science, Technology And Research | A portable system and method for remotely accessing data |
| US20110293093A1 (en) * | 2010-06-01 | 2011-12-01 | Rogers Communications Inc. | Method and system for identity-based key management |
| US8837738B2 (en) * | 2011-04-08 | 2014-09-16 | Arizona Board Of Regents On Behalf Of Arizona State University | Methods, systems, and apparatuses for optimal group key management for secure multicast communication |
-
2012
- 2012-07-31 WO PCT/US2012/048977 patent/WO2013022651A1/en active Application Filing
- 2012-07-31 US US13/562,816 patent/US8953791B2/en not_active Expired - Fee Related
- 2012-07-31 CN CN201280048991.XA patent/CN103931220B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7234058B1 (en) * | 2002-08-27 | 2007-06-19 | Cisco Technology, Inc. | Method and apparatus for generating pairwise cryptographic transforms based on group keys |
| US20070198836A1 (en) * | 2005-04-08 | 2007-08-23 | Nortel Networks Limited | Key negotiation and management for third party access to a secure communication session |
| CN101243642A (zh) * | 2005-08-19 | 2008-08-13 | 三星电子株式会社 | 同时执行多个基于预共享密钥的认证的方法和执行该方法的设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8953791B2 (en) | 2015-02-10 |
| WO2013022651A1 (en) | 2013-02-14 |
| US20130042313A1 (en) | 2013-02-14 |
| CN103931220B (zh) | 2018-06-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103931220A (zh) | 用于网络通信的密钥推导函数 | |
| CN106664311B (zh) | 支持异构电子设备之间差异化的安全通信 | |
| US10951423B2 (en) | System and method for distribution of identity based key material and certificate | |
| US9525557B2 (en) | Certificate issuing system, client terminal, server device, certificate acquisition method, and certificate issuing method | |
| KR101740957B1 (ko) | 차량용 데이터의 인증 및 획득 방법 | |
| CN109728913B (zh) | 一种设备合法性验证方法、相关设备以及系统 | |
| CN108964897B (zh) | 基于群组通信的身份认证系统和方法 | |
| WO2017167771A1 (en) | Handshake protocols for identity-based key material and certificates | |
| CN110402560B (zh) | 具有前向安全性的基于身份的认证密钥交换方案中用于计算公有会话密钥的系统和方法 | |
| KR20180119201A (ko) | 인증 시스템을 위한 전자 장치 | |
| JP2020530726A (ja) | サプライチェーン資産管理を保護するアプリケーションを有する遠隔サーバへのnfcタグ認証 | |
| CN106453246A (zh) | 设备身份信息分配方法、装置以及系统 | |
| US11044081B2 (en) | System and method for obtaining a common session key between devices | |
| CN113545115B (zh) | 一种通信方法及装置 | |
| CN108880799B (zh) | 基于群组密钥池的多次身份认证系统和方法 | |
| CN111699706A (zh) | 用于通过蓝牙低能耗连接进行通信的主从系统 | |
| CN112602290B (zh) | 一种身份验证方法、装置和可读存储介质 | |
| WO2022153051A1 (en) | System and method for key establishment | |
| WO2016171618A1 (en) | Method for aggregate authentication protocol in m2m communication | |
| CN108075896B (zh) | 使用基于标识的密码学构建自认证消息的系统和方法 | |
| CN113141333B (zh) | 入网设备的通信方法、设备、服务器、系统及存储介质 | |
| CN106487761B (zh) | 一种消息传输方法和网络设备 | |
| CN113271586B (zh) | 电力设备体域网安全通信方法及系统、存储介质 | |
| CN109067705B (zh) | 基于群组通信的改进型Kerberos身份认证系统和方法 | |
| US20240073693A1 (en) | Secure sniffing of wireless connections with forward secrecy |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200426 Address after: Singapore City Patentee after: Marvell Asia Pte. Ltd. Address before: Ford street, Grand Cayman, Cayman Islands Patentee before: Kaiwei international Co. Effective date of registration: 20200426 Address after: Ford street, Grand Cayman, Cayman Islands Patentee after: Kaiwei international Co. Address before: Hamilton, Bermuda Patentee before: Marvell International Ltd. Effective date of registration: 20200426 Address after: Hamilton, Bermuda Patentee after: Marvell International Ltd. Address before: Babado J San Mega Le Patentee before: MARVELL WORLD TRADE Ltd. |
|
| TR01 | Transfer of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180605 Termination date: 20200731 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |