CN106576101A - 用于管理自组织网络中的安全通信的系统和方法 - Google Patents
用于管理自组织网络中的安全通信的系统和方法 Download PDFInfo
- Publication number
- CN106576101A CN106576101A CN201580043043.0A CN201580043043A CN106576101A CN 106576101 A CN106576101 A CN 106576101A CN 201580043043 A CN201580043043 A CN 201580043043A CN 106576101 A CN106576101 A CN 106576101A
- Authority
- CN
- China
- Prior art keywords
- user
- key
- public keys
- communicator
- self
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 76
- 238000000034 method Methods 0.000 title claims abstract description 22
- 230000015572 biosynthetic process Effects 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 8
- 230000009286 beneficial effect Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明提供了一种用于管理具有三个或者多于三个用户的自组织网络中的安全通信的系统和方法,所述三个或者多于三个用户包括第一用户、第二用户和第三用户。每个用户与至少一个通信装置相关联,并且具有与所述用户相关联的用于管理所述用户的所述至少一个通信装置和所述三个或者多于三个用户中的另一个用户的所述至少一个通信装置之间的安全通信的密钥集。每个密钥集包括私有密钥和公共密钥,其中,所述公共密钥与所述三个或者多于三个用户中的所述用户已经认证的其他用户的所述通信装置共享,并且所述私有密钥用于解密使用来自相同密钥集的相应公共密钥进行加密的通信。当已通过所述第一用户对所述三个或者多于三个用户中的所述第二用户进行认证时,除了接收所述第二用户的所述相关联的公共密钥之外,所述第一用户还接收定义共享权限等级的值,所述值定义所述第一用户相对于所述第二用户的权限以提供与所述第三用户的对等密钥共享。
Description
技术领域
本发明大体上涉及一种用于管理自组织网络中的安全通信的系统和方法,并且更具体地,涉及当前通信传输中未涉及到的第三方公共密钥的对等密钥共享。
背景技术
针对包括接入点、路由器和服务器的中央管理式基础设施的可用性,构建了许多传统形式的通信网络,其中,个体参与者与网络通信并且通过网络与其他个体用户通信。在这种情况下,通过网络来管理相对于任何特定用户及其对应通信的安全性,其中,用户通常不彼此直接通信。在这种情况下,每个用户与网络通信,并且网络对将通信路由至其适当目的地进行管理。
然而,这种通信环境需要建立及维护网络基础设施,该网络基础设施通常在需要通信的区域中是地理上固定的,并且进一步需要支持用户所需的通信能力。在一些情况下,不管是否存在访问网络的成本和/或与通信的信息量相关联的成本,访问网络对于用户而言都可能会产生经济成本。由于特定用户可用的已建立的基础设施并非始终存在,或者由于这样做可能在经济上更为有益,因此,用户有时可能希望建立自组织网络,在自组织网络中,在无集中代理的控制或干预的情况下,用户以对等为基础与其既定目标更直接地通信。然而,在这种情况下,可能需要针对先前已由预先建立的网络基础设施处理的安全性进行替选置配。
自组织网络被定义为不依赖于预先存在的基础设施的分散型网络。先前由预先存在的固定网络基础设施提供的联网功能现将由有时被称为节点或者对等装置的网络参与者处理。然而,在一些情况下,每个节点有时可以具有相对平等的地位,在其他情况下,一个或者多个特定节点可以承担更高的控制或者管理等级。例如,在Wi-Fi直连中,可以建立组所有者。在这种情况下,组所有者可以起到类似接入点的作用,并且由此实现与可能不支持Wi-Fi直连的其他Wi-Fi装置的可操作性。作为另一示例,允许建立微微网,在微微网中,通常来说,建立微微网的实体通常变成可以通过点对点或者点对多点方式与一个或者多个相关联的从装置对话的主装置。
自组织网络,并且更具体地说,无线自组织网络,可以是开放的或者安全的。通常,开放网络允许不受限制的接入,这可能会危害隐私。安全连接通常需要用户进行某一形式的置配或者配对,其可以包括接受所请求的连接的装置,以肯定应答用户知道另一方。一旦肯定应答,装置通常即可以彼此连接或者重新连接,而不会在任一装置上进行后续提示或者通知。在一些情况下,可能需要跨所有组或者其他对等装置来使用相同的证书集,这可以通过可以创建的L2密码的数量来控制。因此,对等装置的分离可能不可行。此外,这些密码可以与特定装置相关联,并且因此,这些密码不可用于相同个人所拥有的多个装置。因此,相对于该所有者可能想要参与的自组织网络中的每一个,特定所有者可能需要单独地认证其装置中的每一个。
此外,在先前在特定用户与网络基础设施之间可能已经存在待管理的单个通信连接的情况下,在自组织或者对等环境中,特定用户现在可能需要管理与多个不同其他用户的多个连接。
因此,本发明的发明人已认识到,管理在不同用户之间定义的信任关系以在不必要求用户单独管理每个潜在关系的情况下将关系扩展到其他用户将是有益的。进而,申请人已认识到,提供可以在合格情况下用于提供对等密钥的定义了共享权限等级的值可能更加有益。
发明内容
本发明提供了一种用于管理自组织网络中的安全通信的系统。该系统包括三个或者多于三个用户,该三个或者多于三个用户包括第一用户、第二用户和第三用户,每个用户与至少一个通信装置相关联,并且具有与用户相关联的用于管理用户的至少一个通信装置和三个或者多于三个用户中的另一个用户的至少一个通信装置之间的安全通信的密钥集。每个密钥集包括私有密钥和公共密钥,其中,该公共密钥与三个或者多于三个用户中的用户已经认证的其他用户的通信装置共享,并且该私有密钥用于解密使用来自相同密钥集的相应公共密钥进行加密的通信。
当所述三个或者多于三个用户中的第二用户已被第一用户认证时,除了接收第二用户的相关联的公共密钥之外,第一用户还接收定义共享权限等级的值,该值定义第一用户相对于第二用户的权限以提供与第三用户的对等密钥共享。
在至少一个实施例中,通过第一用户与第三用户进行的第二用户的公共密钥的对等密钥共享包括以下考虑:定义相对于第二用户的共享权限等级的值、以及在第一用户与第三用户之间的信任等级。
本发明进一步提供了一种用于管理自组织网络中的安全通信的方法。该方法包括:识别多个用户作为自组织网络的部分而包括进来,每个用户与至少一个通信装置相关联,并且具有与用户相关联的用于管理用户的至少一个通信装置和多个用户中的另一个用户的至少一个通信装置之间的安全通信的密钥集。随后认证识别的多个用户,包括交换公共密钥和验证多个用户的身份,其中,认证进一步包括交换定义共享权限等级的值。随后确定与交换的共享等级权限相关联的信任等级是否使得第一用户能够提供与第三用户进行第二用户的公共密钥的对等密钥共享,如果是,则通过第一用户与第三用户共享第二用户的公共密钥。
本发明还进一步提供了一种用于提供安全通信的自组织网络中的通信装置。该装置包括通信单元,该通信单元包括接收器和发射器。该装置进一步包括存储单元,该存储单元用于存储包括装置的用户的公共密钥和私有密钥的一个或者多个密钥集,其他用户中的每一个其他用户的公共密钥形成自组织网络,并且其他用户中的一个或者多个其他用户的共享权限等级形成自组织网络,该密钥集定义通信装置的用户相对于一个或者多个相应的其他用户的权限以用于提供与另一个用户的对等密钥共享。再进一步地,该装置包括控制器,该控制器适用于识别多个用户要作为自组织网络的部分而包括进来,认证识别的多个用户包括交换公共密钥和验证多个用户的身份,以及确定与接收的共享等级权限相关联的信任等级是否使得通信装置的用户能够提供相对于一个或者多个相应的其他用户的公共密钥的对等密钥共享以用于提供与另一个用户的对等密钥共享,如果是,则由该用户与另一个用户共享一个或者多个其他用户的公共密钥。
本发明的这些和其他目标、特征和优点通过以下参考附图对本发明的一个或者多个优选实施例的描述而显而易见。
附图说明
图1是包括多个用户和与每个用户相关联的对应的一个或者多个无线通信装置的示例性自组织网络的框图;
图2是图1所图示的用于自组织网络中的无线通信装置的框图;
图3是用于建立自组织网络中的通信连接的消息序列图的第一部分;
图4是标识图标的示例;
图5是用于建立自组织网络中的通信连接的消息序列图的第二部分;
图6是多个节点的节点图,该多个节点包括作为自组织网络的部分的一组节点后连接以及至少一个节点前连接;
图7是图示出了对等公共密钥共享的示例性节点图,其中,共享权限等级的值允许在与传送用户具有信任关系的用户之间的共享;以及
图8是用于管理自组织网络中的安全通信的方法的流程图。
具体实施方式
虽然本发明易受各种形式的实施例的影响,在附图中示出并且将在下文描述当前优选的实施例,但是,要理解,本公开被视为本发明的例示并且不旨在将本发明限制为所示的特定实施例。
图1图示出了包括多个用户102和与每个用户相关联的对应的一个或者多个无线通信装置104的示例性自组织网络100的框图。在所图示实施例中,通信装置104能够与其他通信装置104无线通信。用户A、B和D被示出为具有一个对应的无线通信装置。用户C被示出为具有一对相关联的无线通信装置。
无线通信装置104可以包括适用于与另一个装置通信的任何装置。几个示例可以包括射频电话、平板计算机、个人计算机、蜂窝电话、无绳电话、选择性呼叫接收器、音频播放器、游戏装置、机顶盒和个人数字助理。然而,本领域的技术人员要理解,在不脱离本发明的教导的情况下,本发明还可以与许多其他类型的装置一起使用,这是因为越来越多的装置配备有本申请可能适用的无线通信能力,包括需要装置在自组织网络内形成并且通信的情况。不同类型的自组织网络的至少几个示例包括Wi-Fi直连或者型网络。已将自组织网络识别为通常指代任何下述网络:所有装置均可以具有相对平等的地位,并且,装置自由地与通信范围内的其他自组织网络装置相关联并且更直接地与其进行通信。
通常,自组织网络不依赖于预先存在的基础设施,并且因此,在不使用中间服务器的情况下在不同用户之间以对等的方式传送数据。然而,任何特定通信可以依赖于在其源与目的地之间的多次跳跃,以使得可以在未直接链接的两个装置之间传送通信。
图2图示出了图1所图示的用于自组织网络中的无线通信装置200的框图。更具体地,无线通信装置200可以与图1所示的无线通信装置104中的一个或者多个对应。
无线通信装置包括耦合至天线208的通信单元206。在所图示实施例中,通信单元206包括发射器210和接收器212。在至少一些情况下,通信单元206可以采取收发器的形式,该收发器同时支持经由相关联的天线208的无线信号的传输和接收。通信单元206耦合至控制器214。除了控制器214之外,通信装置200还包括用户界面216和存储单元218。存储单元218适用于存储一个或者多个密钥集220以及共享等级权限值222。控制器214包括处理器224,该处理器224包括多个模块,结合至少一些实施例,该多个模块是由一个或者多个微处理器执行的一个或者多个预先存储指令集226的形式。更具体地,处理器224包括识别模块228、认证模块230和对等密钥共享模块232。认证模块230进一步包括密钥交换模块234和身份验证模块236。
识别模块228适用于识别多个用户使多个用户作为自组织网络的部分而潜在地包括进来。认证模块230适用于认证所识别的多个用户,包括通过密钥交换模块234交换公共密钥以及通过身份验证模块236验证多个用户的身份。对等密钥共享模块232确定与接收到的共享等级权限相关联的信任等级是否使得通信装置的用户能够相对于相应的一个或者多个其他用户提供公共密钥的对等密钥共享,以提供与另一个用户的密钥共享。如果是的话,装置200与另一个用户的装置共享该一个或者多个其他用户的公共密钥。
在相同或者其他情况下,控制器214可以另外或者替选地包含状态机和/或逻辑电路,该状态机和/或逻辑电路可以用于至少部分地实施一些模块及其对应的功能。
存储单元218可以包括一种或者多种形式的易失性和/或非易失性存储器,包括传统ROM、EPROM、RAM或者EEPROM。存储单元218还可以进一步包含一种或者多种形式的固定的或者可移动的辅助存储装置,诸如硬盘驱动器或者记忆棒。本领域的技术人员还要进一步理解,可以在不脱离本发明的教导的情况下使用其他另外形式的存储器,包括可从远端源或者分布式源获得的存储器资源,诸如云。
图3图示出了在两个潜在用户102与其对应的无线通信装置104之间的用于建立自组织网络100中的通信连接的消息序列图的第一部分300。试图参与诸如自主连接的通信连接的装置需要首先发现338彼此。这可以通过装置中的一个发出探测信号而另一个装置进行收听来完成。为了减少收听探测信号所需的时间,可以使装置在时间上同步,并且应该理解,任何探测信号会发生在其他装置被指定为主动收听该信号的特定时间间隔内。应该使用来自公共服务器的时间参考来将多个装置的时间同步,并且对应地,所述时间参考用于识别可能会发生发现信令的时间段。
如果在发现窗口期间从另一个装置检测到探测信号,则找到另一个对等340的无线通信装置可以追踪另外的通信。例如,追踪服务交换342可建立在后续通信中会使用的信令和/或参数的类型。
通常,响应于找到另一个装置,装置将与识别到他自身的用户A和识别到她自身的用户B交换识别信息344。在获知了该另一个装置的身份之后,相应装置将注意346查看其是否具有该另一个用户的已存储的公共密钥。如果未找到对应的密钥,则装置将请求348该另一个用户的密钥。该另一个用户然后将返回所请求的密钥350。
接收到新密钥的装置然后可以验证所接收到的密钥的身份,以便避免另一个装置可能已尝试通过利用其自身的密钥进行响应来假冒该另一个用户的可能性。接收到新密钥的装置的用户可以通过将按照某一方式接收到的数据与他预料自其接收密钥的用户进行比较,来验证352接收到的密钥的完整性。在至少一个实施例中,接收到的密钥可以用于在接收装置和发送装置中的每一个上产生标识图标,以便提供快速的视觉验证匹配。
在图4中图示了标识图标400的示例。在所示实施例中,标识图标为100*100像素图像,该像素图像包括处于不同定向的各种重复形状。虽然未在所示示例中重现,但所产生的图像的颜色还可以用于传送附加信息。确认信息的其他示例可以包括来源于发送和接收的密钥值的音频笔记的确定序列,该序列要在密钥的发送方和接收方之间播放并且对应地进行比较。为了使这种视觉或者音频验证发生,可能需要用户彼此接近。
在验证352接收到的密钥的完整性之后,接收到密钥的装置可以存储354接收到的密钥,并且将接收到的密钥与接收到的新发现用户的身份相关联。一旦试图连接的装置具有彼此的密钥(通过上述交换或者通过引起密钥的存储的先前交换),这些装置即可通过使用随机数发出质询来对彼此进行认证556。图5图示出了用于建立自组织网络中的通信连接的消息序列图的第二部分500。例如,可以通过用户A使用用户B的公共密钥来加密随机数,这将使在用户B的装置中存储的私有密钥能够对该随机数进行解密。用户B然后可以用通过使用用户A的公共密钥对解密后的随机数进行另一次加密来进行响应,当用户A使用用户A的私有密钥对用户A的公共密钥进行解密时,应该产生与初始随机数匹配的解密结果。用户B可以相似地发起相似的交换,其中,如果两个通信集都产生了相应的匹配随机数,则可以对交换的密钥的认证进行验证。
在该另一个用户成功认证556之后,每个用户可以生成558组所有者密码,然后可以交换560组所有者密码。然后可以存储562每个组所有者密码,并且在选举自组织网络的组所有者之后,可以使用适当的组所有者密码来进行564基于密码的连接。此时,这两个装置现在是具有信任关系的组后连接的部分。这种组仍然可以包括另外的用户。
图6图示出了多个节点的节点图600,该多个节点包括作为自组织网络的部分的一组节点后连接668以及至少一个节点前连接670。可以在成员B-G之间更随意地进行公共密钥的后连接668间接共享,其大概可以具有与其在公共组内的联合出现对应的足够的信任等级。然而,可能存在可以公共密钥被共享多少跳的限制,这可以由用户中的一个或者多个来定义。为了共享密钥,可以通过中间用户来进行通信,由此可以通过中间用户来对中继的密钥进行签名以追踪和保存共享信息的源。
在经由受信任的装置认证附近的移动装置后,可能期望组所有者能够共享无线自组织组成员的简档。进而,这又可以使重新形成移动自组织网络、形成由先前组成员的子集组成的新移动自组织组、或者添加附近的新的受信任的移动装置更加容易。
在某些情况下,可以进一步使公共密钥成为共享的前连接670。可以设想的是,作为认证过程的部分,除了共享其公共密钥之外,用户还可传送与可配置共享权限等级对应的值。该对应的值可允许第一用户772与第三用户776共享第二用户774的公共密钥。例如,如果第二用户信任778第一用户,并且第一用户信任780第三用户,则在至少一些情况下,第一用户可以将第二用户的公共密钥传送782给第三用户。图7图示了示例性节点图700,该示例性节点图700图示了对等公共密钥共享,其中,共享权限等级的值允许在与传送用户具有信任关系的用户之间的共享。
图8图示出了用于管理自组织网络中的安全通信的方法的流程图800。该方法包括:识别884要作为自组织网络的一部分而被包括进来的多个用户,每个用户与至少一个通信装置相关联,并且具有与用户相关联的用于管理用户的至少一个通信装置与多个用户中的另一个用户的至少一个通信装置之间的安全通信的密钥集。
通过将密钥集与用户(而非用户的特定装置)相关联,用户可以避免需要单独地管理其装置相对于每一个组的关系。然而,在这种情况下,有利于使用户针对其每一个装置使用相同的密钥集。通常将私有密钥本身存储在每个装置的安全存储区域中。在至少一些实施例中,可以进行置配,其允许用户从其装置中的一个提取密钥并且将私有密钥提供给其装置中的另一个装置。在这种情况下,可能有益的是使交换需要这两个装置彼此接近并且需要用户确认与在发送方侧的存储的私有密钥相关联的安全存储密码。
图8所图示的方法进一步包括:认证886所识别的多个用户,包括交换公共密钥和验证多个用户的身份,其中,认证进一步包括交换定义共享权限等级的值。然后确定888与交换的共享等级权限相关联的信任等级是否使得第一用户能够向第三用户提供第二用户的公共密钥的对等密钥共享,如果是,则第一用户与第三用户共享第二用户的公共密钥。
一旦使用本文公开的方法和系统建立了自组织组,可能进一步有益于使用该组以将诸如其成员中的一个的生日等社交网络事件的通知分发给已建立信任元素的无线自组织网络的成员。自组织组的本质,以及对应地,组成员之间的信任本质可以用于确定哪些成员在附近,这可能更有益于了解对应的社交事件。通过这种方式,可以避免使用其他形式的位置识别服务以确定要通知的适当个体。
已经相对于自组织环境描述了本发明的这一事实不排除用户在网络基础设施和/或云资源可用时利用网络基础设施和/或云资源来支持各种功能。此外,时间戳可以与一个或者多个共享密钥相关联,该共享密钥可用于定义在调用对应的先前提供的密钥时使用的到期时间。
虽然已经示出和描述了本发明的优选实施例,但应理解,本发明不限于此。在不脱离如随附权利要求书定义的本发明的精神和范围的情况下,本领域的技术人员将进行许多修改、改变、变型、取代及等效物。
Claims (20)
1.一种用于管理自组织网络中的安全通信的系统,所述系统包括:
三个或者多于三个用户,所述三个或者多于三个用户包括第一用户、第二用户和第三用户,每个用户与至少一个通信装置相关联,并且具有与所述用户相关联的密钥集,所述密钥集用于管理所述用户的至少一个通信装置与所述三个或者多于三个用户中另一个用户的至少一个通信装置之间的安全通信;
其中,每个密钥集包括私有密钥和公共密钥,其中,所述公共密钥被与所述三个或者多于三个用户中所述用户已经认证的其他用户的通信装置共享,并且,所述私有密钥用于将使用来自相同密钥集的对应公共密钥加密的通信进行解密;以及
其中,当所述三个或者多于三个用户中的第二用户已被所述第一用户认证时,除了接收所述第二用户的相关联公共密钥之外,所述第一用户还接收定义共享权限等级的值,所述值定义所述第一用户相对于所述第二用户的权限,以提供与所述第三用户的对等密钥共享。
2.根据权利要求1所述的系统,其中,所述三个或者多于三个用户的相关联通信装置为对等通信装置。
3.根据权利要求1所述的系统,其中,所述自组织网络为自组织无线通信网络,并且所述三个或者多于三个用户的所述相关联通信装置为无线通信装置。
4.根据权利要求1所述的系统,其中,在初始时共享与特定用户相关联的密钥集中的公共密钥作为认证所述特定用户的一部分,接收到所述特定用户的所述公共密钥的所述通信装置的所述用户位于接近于所述特定用户,以便接收到所述特定用户的所述公共密钥的所述装置的所述用户视觉地验证所述特定用户的身份。
5.根据权利要求4所述的系统,其中,通过将由接收到所述特定用户的所述公共密钥的所述通信装置使用所接收的公共密钥而产生的标识图标与由所述特定用户的所述通信装置使用相同公共密钥而产生的标识图标进行比较,接收到所述特定用户的所述公共密钥的所述通信装置的所述用户视觉地确认所接收的公共密钥的完整性。
6.根据权利要求1所述的系统,其中,当所述三个或者多于三个用户中的特定用户具有多于一个相关联通信装置时,与所述特定用户相关联的所述多于一个通信装置中的每一个通信装置共享相同的密钥集。
7.根据权利要求6所述的系统,其中,当与所述特定用户相关联的所述多于一个通信装置彼此接近时,与所述特定用户相关联的所述多于一个通信装置经由安全直接通信来共享相同的私有密钥。
8.根据权利要求1所述的系统,其中,由所述第一用户与所述第三用户进行的对所述第二用户的所述公共密钥的对等密钥共享包括以下考虑:定义相对于所述第二用户的所述共享权限等级的值、以及在所述第一用户与所述第三用户之间的信任等级。
9.根据权利要求1所述的系统,其中,所述三个或者多于三个用户为自组织组的成员,并且所述第一用户为所述自组织组的组所有者。
10.根据权利要求9所述的系统,其中,所述自组织组用于分发社交网络事件。
11.一种用于管理自组织网络中的安全通信的方法,所述方法包括:
识别作为自组织网络的一部分而要被包括的多个用户,每个用户与至少一个通信装置相关联,并且具有与所述用户相关联的密钥集,所述密钥集用于管理所述用户的至少一个通信装置与所述多个用户中另一个用户的至少一个通信装置之间的安全通信;
认证所识别的多个用户,包括交换公共密钥和验证所述多个用户的身份,其中,认证进一步包括:交换定义共享权限等级的值;以及确定与所交换的共享等级权限相关联的信任等级是否使得第一用户能够提供与第三用户进行的对第二用户的公共密钥的对等密钥共享,如果是,则由所述第一用户与所述第三用户共享所述第二用户的所述公共密钥。
12.根据权利要求11所述的方法,其中,识别多个用户包括:识别适用于执行自主连接的装置。
13.根据权利要求11所述的方法,其中,当交换公共密钥时,正在交换所述公共密钥的所述用户位于彼此接近。
14.根据权利要求13所述的方法,其中,当在交换公共密钥之后验证所述多个用户的身份时,通过将由所述通信装置使用所接收的公共密钥而产生的标识图标与由与所接收的公共密钥相关联的所述用户的所述通信装置使用相同公共密钥而产生的标识图标进行比较,所述用户验证所接收的公共密钥的完整性。
15.根据权利要求11所述的方法,其中,当所述多个用户中的一个用户具有多于一个通信装置时,与相同用户相关联的所述多于一个通信装置中的每一个通信装置共享相同的密钥集。
16.根据权利要求15所述的方法,其中,当与所述相同用户相关联的所述多于一个通信装置彼此接近时,与所述相同用户相关联的所述多于一个通信装置中的每一个通信装置共享所述相同的密钥集。
17.根据权利要求11所述的方法,其中,当提供对等密钥共享时,所述第一用户对被提供给所述第三用户的所述第二用户的所述公共密钥进行签名。
18.根据权利要求11所述的方法,其中,作为所述自组织网络的一部分而被包括的所述多个用户中的一个用户是组所有者。
19.根据权利要求11所述的方法,其中,所述自组织组用于分发社交网络事件。
20.一种用于在提供安全通信的自组织网络中使用的通信装置,所述装置包括:
通信单元,所述通信单元包括接收器和发射器;
存储单元,所述存储单元用于存储一个或者多个密钥集,所述一个或者多个密钥集包括:所述装置的所述用户的公共密钥和私有密钥;形成所述自组织网络的其他用户中每一个的公共密钥;以及形成所述自组织网络的所述其他用户中一个或者多个的共享权限等级,所述共享权限等级定义所述通信装置的所述用户相对于相应的一个或者多个其他用户的权限,以用于提供与另一个用户的对等密钥共享;以及
控制器,所述控制器适用于:识别作为自组织网络的一部分而要被包括的多个用户;认证所识别的多个用户,包括交换公共密钥和验证所述多个用户的身份;以及,确定与所接收的共享等级权限相关联的信任等级是否使得所述通信装置的所述用户能够提供相对于相应的一个或者多个其他用户的公共密钥的对等密钥共享,以用于提供与另一个用户的对等密钥共享,如果是,则由所述用户与另一个用户共享所述一个或者多个其他用户的所述公共密钥。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/462,973 US9509670B2 (en) | 2014-08-19 | 2014-08-19 | System and method for managing secure communications in an Ad-Hoc network |
| US14/462,973 | 2014-08-19 | ||
| PCT/US2015/045695 WO2016028782A1 (en) | 2014-08-19 | 2015-08-18 | A system and method for managing secure communications in an ad-hoc network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106576101A true CN106576101A (zh) | 2017-04-19 |
| CN106576101B CN106576101B (zh) | 2019-10-18 |
Family
ID=54015230
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580043043.0A Active CN106576101B (zh) | 2014-08-19 | 2015-08-18 | 用于管理自组织网络中的安全通信的系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9509670B2 (zh) |
| CN (1) | CN106576101B (zh) |
| DE (1) | DE112015003792T5 (zh) |
| WO (1) | WO2016028782A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112311747A (zh) * | 2019-07-30 | 2021-02-02 | 华东科技股份有限公司 | 同侪装置联机方法 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102125562B1 (ko) * | 2014-06-18 | 2020-06-22 | 삼성전자주식회사 | 키 공유 방법 및 장치 |
| CN105840041B (zh) * | 2016-03-25 | 2017-06-30 | 乐视汽车(北京)有限公司 | 车库门共享方法、系统及设备 |
| US20170288866A1 (en) * | 2016-03-30 | 2017-10-05 | AVAST Software s.r.o. | Systems and methods of creating a distributed ring of trust |
| JP6746427B2 (ja) * | 2016-08-10 | 2020-08-26 | キヤノン株式会社 | 通信装置、通信方法、及びプログラム |
| US10375083B2 (en) * | 2017-01-25 | 2019-08-06 | International Business Machines Corporation | System, method and computer program product for location verification |
| EP3707925A1 (en) * | 2017-11-09 | 2020-09-16 | Electric Society SA | An ad-hoc network |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5835595A (en) * | 1996-09-04 | 1998-11-10 | At&T Corp | Method and apparatus for crytographically protecting data |
| CN1415148A (zh) * | 1999-10-27 | 2003-04-30 | 艾利森电话股份有限公司 | 在一个通信网中的方法和装置 |
| US20060046692A1 (en) * | 2004-08-26 | 2006-03-02 | Jelinek Lenka M | Techniques for establishing secure electronic communication between parties using wireless mobile devices |
| CN101061665A (zh) * | 2004-11-17 | 2007-10-24 | 三星电子株式会社 | 利用用户绑定在家用网络中传送内容的方法 |
| US20120324218A1 (en) * | 2011-06-17 | 2012-12-20 | Duren Michael J | Peer-to-Peer Trusted Network Using Shared Symmetric Keys |
| CN102946606A (zh) * | 2012-11-30 | 2013-02-27 | 清华大学 | 一种检测无线自组织网络攻击的方法 |
| CN103973451A (zh) * | 2014-05-05 | 2014-08-06 | 西南交通大学 | 一种用于分布式网络系统的跨信任域认证方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7222187B2 (en) * | 2001-07-31 | 2007-05-22 | Sun Microsystems, Inc. | Distributed trust mechanism for decentralized networks |
| JP5556207B2 (ja) | 2010-02-04 | 2014-07-23 | ソニー株式会社 | 無線通信装置、無線通信方法、およびプログラム |
| US10193933B2 (en) | 2012-09-17 | 2019-01-29 | Qualcomm Incorporated | System and method for post-discovery communication within a neighborhood-aware network |
-
2014
- 2014-08-19 US US14/462,973 patent/US9509670B2/en not_active Expired - Fee Related
-
2015
- 2015-08-18 CN CN201580043043.0A patent/CN106576101B/zh active Active
- 2015-08-18 DE DE112015003792.6T patent/DE112015003792T5/de active Pending
- 2015-08-18 WO PCT/US2015/045695 patent/WO2016028782A1/en active Application Filing
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5835595A (en) * | 1996-09-04 | 1998-11-10 | At&T Corp | Method and apparatus for crytographically protecting data |
| CN1415148A (zh) * | 1999-10-27 | 2003-04-30 | 艾利森电话股份有限公司 | 在一个通信网中的方法和装置 |
| US20060046692A1 (en) * | 2004-08-26 | 2006-03-02 | Jelinek Lenka M | Techniques for establishing secure electronic communication between parties using wireless mobile devices |
| CN101061665A (zh) * | 2004-11-17 | 2007-10-24 | 三星电子株式会社 | 利用用户绑定在家用网络中传送内容的方法 |
| US20120324218A1 (en) * | 2011-06-17 | 2012-12-20 | Duren Michael J | Peer-to-Peer Trusted Network Using Shared Symmetric Keys |
| CN102946606A (zh) * | 2012-11-30 | 2013-02-27 | 清华大学 | 一种检测无线自组织网络攻击的方法 |
| CN103973451A (zh) * | 2014-05-05 | 2014-08-06 | 西南交通大学 | 一种用于分布式网络系统的跨信任域认证方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112311747A (zh) * | 2019-07-30 | 2021-02-02 | 华东科技股份有限公司 | 同侪装置联机方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2016028782A1 (en) | 2016-02-25 |
| US9509670B2 (en) | 2016-11-29 |
| US20160057117A1 (en) | 2016-02-25 |
| CN106576101B (zh) | 2019-10-18 |
| DE112015003792T5 (de) | 2017-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106576101B (zh) | 用于管理自组织网络中的安全通信的系统和方法 | |
| CN101232378B (zh) | 一种无线多跳网络的认证接入方法 | |
| CN101222772B (zh) | 一种基于id的无线多跳网络认证接入方法 | |
| US7869601B2 (en) | Authentication method of ad hoc network and wireless communication terminal thereof | |
| CN102170636B (zh) | 用于计算共享加密密钥的方法和设备 | |
| CN108923918B (zh) | 用户设备和通信方法 | |
| US9503891B2 (en) | Authentication method of wireless mesh network | |
| CN105359554A (zh) | 基于邻近服务通信的安全发现 | |
| JP2003513513A (ja) | 通信ネットワークにおける配列と方式 | |
| WO2005101727A1 (ja) | 通信装置、通信システム及び認証方法 | |
| CN102421095B (zh) | 无线网状网的接入认证方法 | |
| US20210105337A1 (en) | Profile information sharing | |
| CN102111766A (zh) | 网络接入方法、装置及系统 | |
| CN100512312C (zh) | 一种三元结构的对等访问控制方法 | |
| CN107205208A (zh) | 鉴权的方法、终端和服务器 | |
| KR102094705B1 (ko) | 블록 체인을 기반으로 한 다중 노드 인증 방법 및 이를 위한 장치 | |
| CN100463462C (zh) | 一种三元结构的对等访问控制系统 | |
| US10531300B2 (en) | Terminal device, management device, storage medium adapted for communication between multiple terminal devices within a group | |
| CN102209319B (zh) | 提高mesh网络中的接入控制器控制效率的方法及接入控制器 | |
| CN112055357A (zh) | 基于区块链的可信安全高性能智能网联动态组网协作方法 | |
| CN106535089A (zh) | 机器对机器虚拟私有网络 | |
| EP2237524B1 (en) | Local area network | |
| US20090170511A1 (en) | Group network forming method and group network system | |
| TW201006182A (en) | Mesh network configured to autonomously commission a network and manage the network topology | |
| KR20090002328A (ko) | 무선 센서 네트워크에서의 새로운 장치 참여 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |