CN107079006A - 在两个设备之间建立信任 - Google Patents
在两个设备之间建立信任 Download PDFInfo
- Publication number
- CN107079006A CN107079006A CN201580050391.0A CN201580050391A CN107079006A CN 107079006 A CN107079006 A CN 107079006A CN 201580050391 A CN201580050391 A CN 201580050391A CN 107079006 A CN107079006 A CN 107079006A
- Authority
- CN
- China
- Prior art keywords
- equipment
- trusted
- computing device
- trusted entities
- public key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3265—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Abstract
本文中描述的技术利用域内的受信任实体来使得设备能够建立与彼此的信任,因此它们可以安全地发现彼此和连接到彼此。在本文中讨论的各种示例中,一种设备被配置为,向所述受信任实体提供信任信息和/或从所述受信任实体接收信任信息。所述信任信息可以例如包括加密密钥对的公钥、已由所述受信任实体对其进行签名的证明真实性的证书和/或用于计算形成散列链的一系列结果的散列函数和散列种子。所述设备可以使用所述信任信息来安全并且自动地(例如,不具有任何用户参与或者具有有限的用户参与)发现另一个设备和连接到所述另一个设备。此外,所述设备可以使用所述信任信息来动态地变更被用于与所述另一个设备通信的MAC地址。
Description
背景技术
通常,计算设备广播静态介质访问控制(MAC)地址,该静态MAC地址允许其它设备发现该设备和经由被广播的静态MAC地址连接到该设备。MAC地址包括被指派给网络接口的唯一标识符,以用于在物理网段上通信。例如,MAC地址被用作以太网和Wi-Fi的网络地址。
然而,通过广播其静态MAC地址,计算设备变得易受该计算设备不想与之连接的攻击或者恶意实体(例如,设备)的伤害。攻击或者恶意实体可以利用静态MAC地址来伪造连接、消费来自该设备的数据以及在各种实例中甚至掌控该设备。为了对抗这些攻击或者恶意实体,可以将计算设备与随机MAC地址和/或静态通用MAC地址相关联。例如,可以初始使用随机MAC地址实现对设备的配对和发现,并且在连接被建立之后,可以通过静态通用MAC地址实现数据通信。尽管使用随机MAC地址帮助解决了攻击或者恶意实体伪造与计算设备的连接的问题,但使用随机MAC地址也妨碍两个计算设备之间的高效的(例如,自动的)发现。此外,在两个设备之间建立连接之后,攻击或者恶意实体可以暴露被用于通信的静态通用MAC地址。
发明内容
本申请描述了使得相同的域的部分的两个设备能够安全和/或自动地建立与彼此的信任和与彼此连接。所述两个设备通过与受信任实体交互利用该受信任实体来获得用于安全和/或自动地建立与彼此的信任的信任信息。受信任实体可以担当对所述域(例如,企业域)进行管理以及维护和共享信任信息的任务。例如,信任信息可以包括加密密钥对的公钥、已由受信任实体对其进行签名的证明真实性的证书和/或用于计算形成散列链的一系列结果的散列函数和散列种子(hash seed)。设备可以使用信任信息来发现另一个设备、连接到该另一个设备和动态地变更用于与该另一个设备通信的MAC地址。
提供本概要以便以简化形式介绍下面在详细说明中进一步描述的概念的选择。本概要不旨在标识所要求保护的主题的关键特征或者必要特征,其也不旨在被用作在确定所要求保护的主题的范围时的辅助。例如,术语“技术”可以指如被上面的上下文和贯穿本文档所准许的(一个或者多个)系统、(一个或者多个)方法、计算机可读指令、算法、部件、模块和/或(一个或者多个)技术。
附图说明
参考附图呈现了详细说明。在附图中,标号的最左(一个或者多个)数字标识该标号在其中第一次出现的图。在不同的图中使用相同的标号指示相似或者相同的项。
图1图示了计算设备与受信任实体交互以建立与被加入相同的域或者是相同的域的部分的另一个计算设备的信任的示例环境。
图2图示了管理、存储和提供可被设备用于建立与彼此的信任的信任信息的示例受信任实体设备的更详细视图。
图3图示了被受信任实体设备互相信任的两个计算设备能够加入域以使得它们可以使用公钥密码术建立与彼此的信任和连接的示例过程。
图4图示了被受信任实体设备相互信任的两个计算设备能够使用由受信任实体设备提前提供的公钥建立与彼此的信任和连接的示例过程。图4的示例过程是与图3的示例过程不同的,这特别在于,受信任实体设备提前向设备提供公钥的集合,以使得设备不必在每次该设备想要连接到另一个设备时联系受信任实体设备以检索另一个设备的公钥。
图5图示了被受信任实体设备相互信任的两个计算设备能够使用证书建立与彼此的信任和连接的示例过程。
图6图示了被受信任实体设备相互信任的两个计算设备能够使用由受信任实体设备提前提供的证书建立与彼此的信任和连接的示例过程。图6的示例过程是与图5的示例过程不同的,这特别在于,受信任实体设备提前向设备提供证书的集合,以使得设备自身不必向另一个设备发送它自己的证书。
图7图示了使用散列函数来确定要用于通信的MAC地址的示例过程。
图8图示了使用散列函数来动态地变更被设备用于通信的MAC地址的示例过程。
具体实施方式
本文中描述的技术利用域内的受信任实体来使得加入域的设备能够建立与彼此的信任,因此它们可以安全地发现彼此和连接到彼此。如果设备已将彼此验证为认证的设备,则可以在设备之间建立信任。在本文中讨论的各种示例中,设备被配置为,向受信任实体提供信任信息和/或从受信任实体接收信任信息。信任信息可以例如包括加密密钥对的公钥、已由受信任实体对其进行签名的证明真实性的证书和/或用于计算形成散列链的一系列结果的散列函数和散列种子。设备可以使用信任信息来安全和自动(例如,不具有任何用户参与或者具有有限的用户参与)地发现另一个设备和连接到另一个设备。此外,设备可以使用信任信息来动态地变更用于与另一个设备通信的MAC地址。
在各种实现方式中,受信任实体可以是与域的操作相关联的。相应地,受信任实体可以维护和管理被批准加入域的设备(例如,已被注册到诸如是操作在其中部署受信任实体的域的公司的雇员之类的用户的设备)的列表。通过利用受信任实体,本文中描述的技术实现限制了向攻击和恶意实体的暴露,并且抵御了利用对设备的被暴露或者易受伤害的MAC地址的知识进行的攻击(例如,分布式拒绝服务(DDoS))的鲁棒的模型。
图1图示了计算设备102与受信任实体104交互以建立与被加入相同的域或者是相同的域的部分的另一个计算设备106的信任的示例环境100。受信任实体102维护受信任设备列表108。受信任设备列表108中所列出的设备是在域内被信任并且因此被准许使用本文中讨论的安全和/或自动连接(例如,配对、绑定等)技术的设备。例如,域可以是包括(一个或者多个)网络110(例如,安全网络)的企业域(例如,工作场所域),并且受信任实体104可以包括配置对于域来说是已知的并且因此在域内被信任的受信任设备列表108的集中式服务器和集中式数据库。术语“集中式”在本文中用于指受信任实体104的中介参与,其辅助被包括在受信任设备列表108中的两个设备出于发现、连接和/或通信的目的而建立与彼此的连接。
例如,受信任设备列表108可以是被官方地分布和注册到公司的单个雇员的设备(例如,膝上型计算机、台式计算机、智能电话、智能手表等)和/或可能未被注册到单个雇员但在物理上位于工作场所的各处以用于被雇员的组使用的设备(例如,会议室呈现设备、视频远程电信会议设备、网络设备、恒温控制设备、智能家用电器设备等)。受信任设备列表108可以由具有更新受信任设备列表108的官方能力的公司的行政雇员(例如,在新雇员被公司聘用时向列表添加新设备和/或在雇员离开公司时从列表移除设备的IT协调员)配置。相应地,受信任设备列表108包括被批准和准许加入由受信任实体104操作的域的设备。
受信任实体104被配置为管理和存储信任信息112。如在本文中进一步讨论的,信任信息112可以包括但不限于密码术密钥、证书、散列函数、散列种子、散列链版本号等。在一些示例中,受信任设备列表108中的计算设备102生成信任信息112(例如,加密密钥对),并且将信任信息112的至少一部分(例如,公钥)提供给受信任实体104。因此,受信任实体104从计算设备102接收信任信息112,存储所接收的信任信息112,并且随后将由计算设备102生成的所存储的信任信息112提供给受信任设备列表108上的其它计算设备,因此可以在一对设备(例如,计算设备102和计算设备106)之间建立信任。在一些示例中,受信任实体104自身代表计算设备102生成信任信息(例如,证书、散列函数等),存储所生成的信任信息112,并且随后将所存储的信任信息112提供给受信任设备列表108上的其它计算设备,因此可以在一对设备之间建立信任。因此,包括在域的受信任设备列表108中的设备可以与受信任实体104交互(例如,提供信任信息112、接收信任信息112等),以建立与其它设备的信任和连接到其它设备。
因此,图1图示了,基于计算设备102与受信任实体104之间的已知的信任(如由114引用的)并且基于计算设备106与受信任实体104之间的已知的信任(如由116引用的),计算设备102和计算设备106能够通过利用与受信任实体104的相互信任(如由118引用的)并且在不必使用易受被攻击和恶意实体利用的伤害的常规MAC地址广播方法(如由120引用的,“X”代表划掉)的情况下安全地发现和连接到彼此。计算设备102和计算设备106可以使用(一个或者多个)网络110或者其它连接(例如,蓝牙连接)进行连接和通信。
尽管就企业域而言阐述了本文中提供的示例中的一些示例,但该技术也可以在非企业域中被实现。例如,该技术可以在任何具有被配置为具有受信任设备列表的受信任实体或者受信任第三方的域中被实现,所述受信任实体或者受信任第三方是被受信任设备列表上尝试连接到彼此的一对设备相互信任的。
被配置为加入与受信任实体104相关联的域或者是该域的一部分的计算设备(例如,计算设备102)可以包括多种设备中的任一种设备,其包括便携式设备或者固定式设备。例如,计算设备102可以包括智能电话、移动电话、个人数字助理(PDA)、电子书设备、可穿戴设备(例如,智能手表、电子眼镜等)、便携式计算机、台式计算机、平板型计算机、便携式计算机、游戏控制台、个人媒体播放器设备、工作场合设备(例如,会议室呈现设备、视频远程电信会议设备等)、恒温控制设备、智能家用电器设备、图像捕获设备、服务器计算机设备或者任何其它设备。
因此,计算设备102可以包括一个或多个处理器122和存储器124。(一个或多个)处理器122可以是单一的处理单元或者一些单元,所述一些单元中的每个单元可以包括多个不同的处理单元。(一个或多个)处理器122可以包括微处理器、微计算机、微控制器、数字信号处理器、中央处理单元(CPU)、图形处理单元(GPU)等。替换地或者另外,本文中描述的技术中的一些技术或者全部技术可以至少部分上被一个或多个硬件逻辑部件执行。例如而不限于,可以被使用的硬件逻辑部件的图示性类型包括现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、状态机、复杂可编程逻辑设备(CPLD)、其它逻辑电路、芯片上系统(SoC)和/或任何其它基于指令执行操作的设备。除了其它能力之外,(一个或多个)处理器122可以被配置为取出并执行存储在存储器124中的计算机可读指令。
存储器124可以包括计算机可读介质中的一项或者其组合。如本文中使用的,“计算机可读介质”包括计算机存储介质和通信介质。
计算机存储介质包括用任何用于存储诸如是计算机可读指令、数据结构、程序模块或者其它数据之类的信息的方法或者技术实现的易失性和非易失性、可移除和非可移除介质。计算机存储介质包括但不限于相变存储器(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其它类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程ROM(EEPROM)、闪存或者其它存储器技术、压缩盘ROM(CD-ROM)、数字多功能光盘(DVD)或者其它光学存储装置、盒式磁带、磁带、磁盘存储装置或者其它磁性存储设备、或者任何其它可以用于存储信息以用于被计算设备访问的介质。
相反,通信介质将计算机可读指令、数据结构、程序模块或者其它数据包括在诸如是载波之类的经调制数据信号中。如本文中定义的,计算机存储介质不包括通信介质。
存储器124可以包括操作系统126,操作系统126被配置为,为了其它部件和其它设备的利益,管理位于计算设备102内和耦合到计算设备102的硬件和服务。例如,计算设备102的其它部件可以包括诸如是浏览器或者应用(例如,被配置在计算设备102上的“应用(app)”)的(一个或者多个)用户模块。如本文中使用的,术语“模块”旨在出于讨论的目的表示对可执行指令的示例划分,而不旨在表示任何类型的要求或者所要求的方法、方式或者组织。相应地,尽管讨论了各种“模块”,但它们的功能和/或类似的功能可以被不同地安排(例如,被组合成更小数量的模块、被拆分成更大数量的模块等)。进一步地,尽管特定的功能和模块在本文中可以被描述为被可在处理器上执行的软件和/或固件实现,但在其它实施例中,所述模块中的任一个模块或者全部模块可以整体上或者部分上被用于执行所描述的功能的硬件(例如,专用处理单元等)实现。
计算设备102可以还包括网络接口128(例如,网络接口控制器或者NIC)。在各种示例中,网络接口128包括信任建立模块130。信任建立模块130被配置为,与受信任实体104通信和交换信息(例如,信任信息112),如在本文中进一步讨论的。信任建立模块130还被配置为,用信任信息112和MAC地址132发现另一个计算设备(例如,计算设备106)和/或建立与该另一个计算设备的连接。MAC地址132可以在开放系统互连(OSI)模型的介质访问控制协议子层之中或者通过该子层使用。可以将MAC地址132存储在网络接口128的硬件(例如,只读存储器或者某个其它固件机制)中。在各种示例中,信任信息112将MAC地址132表示为允许计算设备106与计算设备102通信的网络点。换句话说,可以使用信任信息112来计算被计算设备102用于与计算设备106通信的MAC地址132,并且因此,不需要任何易受被攻击或者恶意实体利用的伤害的广播查询。
尽管就被包括在网络接口128内的信任建立模块130而言阐述了本文中提供的示例中的一些示例,但信任建立模块130还可以在计算设备的其它部件(例如,存储器124上的模块和/或操作系统126)中被实现。
图2图示了可以是受信任实体104的一部分或者被受信任实体104操作的示例受信任实体设备202的详细视图200。受信任实体设备202可以包括多种设备中的任一种设备,所述多种设备包括便携式设备或者固定式设备。例如,受信任实体设备202可以包括在网络服务(例如,云服务、内容提供商、服务提供商、服务器群等)内操作的服务器或者另一个计算设备。相应地,受信任实体设备202被配置为,经由诸如是互联网(例如,Wi-Fi连接)或者其它各种通信技术之类的(一个或者多个)网络110与受信任设备列表108上的设备(例如,计算设备102和计算设备106)通信。
受信任实体设备202包括一个或多个处理器204和存储器206。在上面就图1的(一个或多个)处理器122和存储器124讨论了(一个或多个)处理器204和存储器206的示例类型。存储器206包括信任管理模块208。信任管理模块208被配置为,与受信任设备列表108中的设备交互,以使得两个设备可以建立与彼此的信任和连接。为此,信任管理模块208被配置为,验证设备被批准加入域(例如,设备是经官方注册的)。例如,信任管理模块208可以访问包括受信任设备的身份210的数据库,以验证设备被信任并且因此被批准加入域。信任管理模块208还被配置为,从已加入域的设备接收信任信息112,并且在一些实例中,代表所述设备生成信任信息112,并且信任信息112是可被设备用于建立与彼此的信任的。此外,信任管理模块208被配置为,存储信任信息112,并且将信任信息112提供给已加入域的其它设备,以使得信任可以被建立。
在本文中进一步讨论(例如,就图3和图4而言)的各种示例中,信任信息112包括受信任设备的公钥。因此,信任管理模块208可以从受信任设备接收公钥,并且将公钥存储在公钥数据库212中。
在本文中进一步讨论(例如,就图5和图6而言)的各种示例中,信任信息112包括将被生成并且发给受信任设备的证书。因此,信任管理模块208可以生成证书,和/或将证书存储在证书数据库214中。
在本文中进一步讨论(例如,就图7和图8而言)的各种示例中,信任信息112包括将被发给受信任设备和/或与受信任设备共享的散列函数、散列种子和散列链版本号。因此,信任管理模块208可以生成散列函数和散列种子,和/或将散列函数、散列种子和散列链版本号存储在散列函数数据库216中。
在另外的示例中,信任管理模块208可以还创建设备关联,并且将基于所述关联的设备组存储在设备组数据库218中。例如,关联和组可以被创建为使得更可能在定期基础上连接和通信的域的设备可以是能够自动和安全地完成这些操作的。
图3-8单个地图示了用于使用本文中描述的技术的示例过程。为易于图示,将示例过程描述为在图1和/或图2的环境中执行。例如,示例过程的翻个操作中的一个或多个操作可以被计算设备102、被受信任实体设备202或者被计算设备102正在与之建立连接的计算设备106执行。在图3-7的示例过程中,在执行操作的相应设备(例如,如在图3-7的顶部所指示的)下面以列状的形式图示了被相应设备执行的相应操作。然而,过程也可以在其它环境中和通过其它设备执行。
作为逻辑流图图示了示例过程,所述逻辑流图的每个操作表示可以用硬件、软件或者其组合来实现的操作的序列。在软件的上下文中,操作表示在被一个或多个处理器执行时将设备配置为执行所详述的操作的、被存储在一个或多个计算机可读存储介质上的计算机可执行指令。概括地说,计算机可执行指令包括执行特定的功能的例程、程序、对象、组件、数据结构等。对操作进行描述的次序不旨在理解为限制,并且可以按照任何次序和/或并行地组合任何数量的所描述的操作以实现过程。进一步地,可以省略单个操作中的任一个操作。
图3图示了被受信任实体设备202相互信任的两个计算设备(例如,计算设备102和计算设备106)能够加入域以使得它们可以建立与彼此的信任和连接的示例过程300。示例过程300利用公钥密码术来建立信任和/或使设备能够安全和自动地进行连接。两个设备的“自动”连接可以在(i)不要求来自设备的用户的输入或者(ii)具有来自设备的用户的有限的输入(例如,“有限的”量的输入可以指仅要求用户选择或者识别该用户想要与之建立连接的设备)的情况下发生。
在操作302(A)处,第一计算设备102生成作为信任信息112的加密密钥对。在各种示例中,加密密钥对包括私钥(例如,“e_1”)和公钥(例如,“P_1”)。第一计算设备102保留私钥,并且使用私钥来对可以被具有公钥的其它设备(例如,计算设备106)解密的信息进行签名(例如,加密),因此向其它设备证明信息是由第一计算设备102提供的。相应地,公钥被配置为被提供给其它设备(例如,如在本文中进一步讨论的,经由受信任实体设备202被提供给计算设备106)。在对应的操作302(B)中,第二计算设备106生成作为其自己的信任信息112的加密密钥对(例如,“e_2”、“P_2”)。
在操作304(A)处,第一计算设备102向受信任实体设备202发送或者提供公钥。例如,第一计算设备102可以与加入域和或对域进行认证(例如,雇员到达工作场地)相关联地生成加密密钥对和/或向受信任实体设备202提供公钥。在对应的操作304(B)中,第二计算设备106向受信任实体设备202发送或者提供它自己的公钥。
在操作306处,受信任实体设备202接收来自第一计算设备102的公钥和接收来自第二计算设备106的公钥,并且将公钥存储在例如公钥数据库212中。
在操作308处,第一计算设备102向受信任实体设备202发送对于连接到第二计算设备106的请求。例如,可以与第一计算设备102发现第二计算设备106并且想要例如在不必广播它的MAC地址的情况下连接到第二计算设备106相关联地发送该请求。第一计算设备102可以发送该请求以确定是否受信任设备列表108包括第二计算设备106。如果是,则第一计算设备102可以变得知道第一计算设备102和第二计算设备106两者都具有与受信任实体设备202的相互信任,并且因此,可以利用相互信任来建立两个设备之间的信任,以使得两个设备可以安全并且自动地发现彼此和进行连接。
在操作310处,受信任实体设备202接收来自第一计算设备102的请求,并且验证第一计算设备102是受信任设备列表108上的受信任设备(例如,经由身份数据库210中所存储的设备ID)。
在操作312处,受信任实体设备202响应于该请求向第一计算设备102返回第二计算设备106的公钥(例如,“P_2”)。
在操作314处,第一计算设备102从受信任实体设备202接收第二计算设备106的公钥。在一些实例中,第一计算设备102可以实现用于验证公钥是从受信任实体设备202而不是从另一个设备接收的过程。
在操作316处,受信任实体设备202基于识别第二计算设备106的请求向第二计算设备106提供第一计算设备102的公钥(例如,“P_1”)。例如,对第一计算设备102的公钥的提供可以充当或者伴随对第一计算设备102想要建立与第二计算设备106的信任和连接到第二计算设备106的指示。
在操作318处,第二计算设备106从受信任实体设备202接收第一计算设备102的公钥。在一些实例中,第二计算设备106可以实现用于验证公钥是从受信任实体设备202而非从另一个设备接收的过程。
在操作320处,第一计算设备102向第二计算设备106发送对于经由MAC地址132进行连接的请求。可以利用第一计算设备102从受信任实体设备202接收(例如,操作314)的第二设备的公钥(例如,“P_2”)对该请求和/或MAC地址132进行加密。此外,可以使用第一计算设备102的、并且被计算设备102保留的私钥(例如,“e_1”)对该请求和/或MAC地址132进行签名。相应地,MAC地址132不被广播,并且因此不被暴露以用于被攻击或者恶意实体利用。
在操作322处,第二计算设备106从第一计算设备102接收请求。
在操作324处,第二计算设备106可以使用从受信任实体设备202接收(例如,操作318)的第一计算设备102的公钥(例如,“P_1”)验证该请求和/或MAC地址的签名。此外,第二计算设备106可以使用它自己的私钥(例如,“e_2”)对该请求和/或MAC地址进行解密。相应地,已使用经由受信任实体设备202提供的信任信息(例如,公钥)在两个设备之间建立信任。
在对应的操作326(A)和326(B)处,第一计算设备102和第二计算设备106经由MAC地址132进行连接。图3中所图示的操作的次序可以与所示的次序不同。例如,第二计算设备106可以在第一计算设备102接收第二计算设备106的公钥(例如,操作314)之前接收第一计算设备102的公钥(例如,操作318)。
可以每次计算设备102和计算设备106想要进行连接时执行图3的示例过程300。
图4图示了被受信任实体设备202相互信任的两个计算设备(例如,计算设备102和计算设备106)能够使用由受信任实体设备202提前提供的公钥建立信任和连接到彼此的另一个示例过程400。如本文中讨论的,示例过程400是与图3的示例过程300不同的,这在于,受信任实体设备202提前向设备提供公钥的集合,以使得设备不必在每次该设备想要连接到另一个设备时联系受信任实体设备202以检索另一个设备的公钥。换句话说,设备可以能够例如持久地存储分别与其它设备的集合相关联的公钥的集合作为信任信息112,以使得设备不必在每次它想要进行连接时继续回到受信任实体设备202以检索公钥。相反,在设备想要连接到另一个设备时,该另一个设备的公钥是已在本地被存储的并且是可容易地提供使用的。
在一些示例中,对公钥的集合的提前提供可以是基于例如如被存储在设备组数据库218中的已定义的设备组的。组可以由有资格的人员(例如,IT协调员、项目经理等)和/或根据已定义的策略来定义和创建。在至少一个示例中,被提供或者推送给设备的公钥的集合可以是分别与其它设备的集合相关联的,所述其它设备的集合是被相同的用户拥有或者控制或者与相同的用户帐户相关联的。例如,公司的单个雇员可以具有他或者她用于工作相关的任务的多个设备(例如,智能电话、平板型设备、家庭办公室处的膝上型计算机和台式计算机),所述多个设备中的每个设备是能够加入(例如,登录到)由公司操作的企业域或者是该域的一部分的受信任设备列表108中的设备。在一些实例中,企业域可以由用于为公司提供服务(例如,被配置为用于被公司使用)的外部实体作宿主或者操作。在另一个示例中,被提供给设备的公钥的集合可以是分别与属于特定团队的或者特定工作项目组的各种雇员的其它设备的集合相关联的。在又另一个示例中,被提供给设备的公钥的集合可以是分别与通常位于所述设备的预定邻域内的其它设备(例如,在雇员通常位于的特定楼层上或者特定工作建筑物内建立的每个工作场所设备)的集合相关联的。
在图4中,操作302(A)、302(B)、304(A)、304(B)和306是与上面就图3讨论的那些操作相同或者相似的。
然而,在操作402处,在计算设备102和计算设备106已加入域、已向域进行认证和/或已提供它们的公钥之后,受信任实体设备202标识要提供给第一计算设备102和第二计算设备106中的每个计算设备的公钥的集合。在一些示例中,所标识的公钥的集合可以对于第一计算设备102和第二计算设备106是相同的,而在其它示例中,所标识的公钥的集合可以对于第一计算设备102和第二计算设备106是不同的。如本文中使用的,“集合”可以包括一个或多个(例如,一个公钥、两个公钥、五个公钥、十个公钥等)。
在操作404处,受信任实体设备202向相应设备(例如是第一计算设备102和第二计算设备106)发送公钥的集合。如所讨论的,在一个特定的示例中,被受信任实体设备202提供的公钥包括与单个用户相关联的(被单个用户拥有的、注册到单个用户的、被单个用户控制的等)设备的集合的公钥。由受信任实体设备202发送公钥的集合可以被称为“推送”信任信息112。换句话说,受信任实体设备202可以在接收对于公钥的特定请求和/或对于连接到另一个特定设备的特定请求之前和/或独立于接收对于公钥的特定请求和/或对于连接到另一个特定设备的特定请求,自动地向计算设备推送公钥的集合。
在操作406(A)处,第一计算设备102接收由受信任实体设备202提供的公钥的集合。在对应的操作406(B)处,第二计算设备106接收由受信任实体设备202提供的公钥的集合。
既然第一计算设备102具有例如在本地被存储的第二计算设备106的公钥(例如,“P_2”),那么它可以以与在上面就图3讨论的方式相同或者相似的方式实现操作320。例如,第一计算设备102向第二计算设备106发送对于经由MAC地址132进行连接的请求。可以利用第一计算设备102从受信任实体设备202接收(例如,操作406(A))的第二计算设备106的公钥对该请求和/或MAC地址132进行加密。此外,可以使用第一计算设备102的私钥(例如,“e_1”)对该请求和/或MAC地址进行签名。相应地,MAC地址132不被广播,并且因此不被暴露以用于被攻击或者恶意实体利用。
此外,第二计算设备106可以以与在上面就图3讨论的方式相同或者相似的方式实现操作322和324。例如,第二计算设备106可以使用从受信任实体设备202接收(例如,操作406(B))的第一计算设备102的公钥(例如,“P_1”)验证该请求和/或MAC地址的签名。此外,第二计算设备106可以使用它自己的私钥(例如,“e_2”)对该请求和/或MAC地址进行解密。相应地,已使用经由受信任实体设备202提供的信任信息(例如,公钥)在两个设备之间建立信任。
因此,第一计算设备102和第二计算设备106可以分别实现对应的操作326(A)和326(B)(例如,与在上面就图3讨论的那些操作相似或者相同的),并且经由MAC地址132进行连接。图4中所图示的操作的次序可以与所示的次序不同。
在一个示例实现方式中,之前已接收和存储公钥并且属于一个用户的两个设备(例如,智能电话和膝上设备)可以经由操作320、322、324、326(A)和326(B)使用短距连接(例如,当用户正在从家里办公时的蓝牙连接)建立信任和/或可以经由操作320、322、324、326(A)和326(B)使用短距连接进行连接,而不必连接到是域的部分的网络和/或不必联系受信任实体设备202以检索公钥。
在一些实例中,在新设备随着时间加入域并且被注册到受信任实体设备202(例如,被添加到受信任设备列表108)时,受信任实体设备202可以将新设备添加到合适的设备组,并且将它们的公钥推送或者分布给相同组的部分的其它受信任设备,以使得该组中的其它受信任设备可以被更新为具有与加入域的新设备(例如,属于相同用户的设备)相关的公钥信息。在一个示例中,设备的组可以包括域内的被受信任实体设备202信任的全部设备。在另一个示例中,可以将组的大小限于阈值大小(例如,五个设备、十个设备、二十个设备、五十个设备等)以帮助确保假如设备被损害时的安全性。即,相比于如果被损害的设备包含五十个公钥的情况,如果被损害的设备包含五个公钥,则对于受信任实体设备202来说,解决域内的问题(例如,撤销/取消被损害的密钥、接收和分布新的未被损害的密钥等)可以是更高效的。在又另一个示例中,可以将组的大小限于基于对设备处的资源消耗(例如,与在本地存储一百个公钥相比的用于在本地存储五个公钥的存储资源)的考虑的阈值大小。
图5图示了被受信任实体设备202相互信任的两个计算设备(例如,计算设备102和计算设备106)能够建立信任并且连接到彼此的又另一个示例过程500。示例过程500使用证书来建立信任。证书可以被称为用于通过链对真实性进行验证的信任的令牌。例如,证书可以由受信任实体设备202对其进行签名并且向第一计算设备102发出,并且证书可以被第一计算设备102用于指示它是被受信任实体设备202信任的。因此,第二计算设备106可以基于证书确定第一计算设备102值得被信任。换句话说,间接通过证明设备的真实性的链建立信任。
在操作502(A)处,第一计算设备102加入与受信任实体设备202相关联的(例如,被其操作的)域。在对应的操作502(B)中,第二计算设备106也加入域。
在操作504处,受信任计算设备202例如经由访问设备身份数据库210识别设备并且验证它们是被包括在受信任设备列表108上的受信任设备。
在操作506处,受信任实体设备202向第一计算设备102发出第一证书。如上面讨论的,受信任实体设备202可以对第一证书进行签名,因此提供对第一计算设备102是被受信任实体设备202信任的指示。
在操作508处,第一计算设备102从受信任实体设备202接收第一证书。
在操作510处,受信任实体设备202向第二计算设备106发出第二证书。再次地,受信任实体设备202可以对第二证书进行签名,因此提供对第二计算设备106是被受信任实体设备202信任的指示。
在操作512处,第二计算设备106从受信任实体设备202接收第二证书。
在操作514处,第一计算设备102向第二计算设备106发送对于建立信任的请求。对于建立信任的请求可以包括第一证书或者以某种方式与第一证书相关联。
在操作516处,第二计算设备106从第一计算设备102接收对于建立信任的请求。
在操作518处,第二计算设备106使用第一证书验证第一计算设备102是受信任计算设备。如上面讨论的,第一证书由受信任实体设备202向第一计算设备102发出,并且在第二计算设备106处从第一计算设备102被接收。因此,第一证书用于经由信任链证明第一计算设备102的真实性。
在操作520处,第二计算设备106向第一计算设备102发送第二证书。
在操作522处,第一计算设备102从第二计算设备106接收第二证书。
在操作524处,第一计算设备102使用被发出的第二证书验证第二计算设备106是受信任计算设备。
在对应的操作526(A)和526(B)处,第一计算设备102和第二计算设备106基于经由被交换的证书建立的信任建立连接。
在各种示例中,证书可以取代例如如上面就图3或者图4讨论的公钥密码术被用于建立信任。在其它示例中,可以除了就图5描述的证书之外使用图3或者图4的公钥密码术。例如,可以利用第一计算设备102之前已从受信任实体设备202接收的第二计算设备106的公钥(例如,“P_2”)对从第一计算设备102发送到第二计算设备106的对于建立信任的请求(例如,操作514)进行加密。此外,可以使用第一计算设备102的私钥(例如,“e_1”)对该请求进行签名。
图5中所图示的操作的次序可以与所示的次序不同。例如,第二计算设备106可以在第一计算设备102接收第一证书(例如,操作508)之前接收第二证书(例如,操作512)。
图6图示了被受信任实体设备202相互信任的两个计算设备(例如,计算设备102和计算设备106)能够使用由受信任实体设备102提前提供的证书建立信任和连接到彼此的另一个示例过程600。示例过程600是与图5的示例过程500不同的,这在于,受信任实体设备202提前向设备提供证书的集合,以使得设备自身不必提供由受信任实体设备202发出的其证书。换句话说,设备可能能够持久地存储分别向其它设备的集合发出、或者是与其它设备的集合相关联的证书的集合,例如作为信任信息112。
在一些示例中,对证书的集合的提前提供可以是基于例如如存储在设备组数据库218中和如在上面就图4讨论的已定义的设备组的。
在图6中,操作502(A)、502(B)和504是与上面就图5讨论的那些操作相同或者相似的。
然而,在操作602处,在计算设备102和计算设备106已加入域之后,受信任实体设备202标识要向第一计算设备102和第二计算设备106中的每个计算设备提供的证书的集合。在一些示例中,所标识的证书的集合可以对于第一计算设备102和第二计算设备106是相同的,而在其它示例中,所标识的证书的集合可以对于第一计算设备102和第二计算设备106是不同的。
在操作604处,受信任实体设备202向相应设备(例如是第一计算设备102和第二计算设备106)发送证书的集合。如已讨论的,在一个特定的示例中,由受信任实体设备202提供的证书包括针对与单个用户相关联(例如,被单个用户拥有、被注册到单个用户、被单个用户控制等)的设备的集合的证书。
在操作606(A)处,第一计算设备102接收由受信任实体设备202提供的证书的集合。在对应的操作606(B)中,第二计算设备106接收由受信任实体设备202提供的证书的集合。
既然第一计算设备102具有由受信任实体设备202向和/或代表第二计算设备106发出的证书,并且既然第二计算设备106具有由受信任实体设备202向和/或代表第一计算设备102发出的证书,则可以以与在上面就图5讨论的方式相同或者相似的方式实现操作526(A)和526(B)。例如,可以基于经由从受信任实体设备202提前接收的证书建立的信任建立连接。因此,设备不需要向彼此发送它们的证书,而是,设备可以基于从受信任实体设备202提前接收的信息,安全并且自动地进行连接。图6中所图示的操作的次序可以与所示的次序不同。
在至少一个示例中,由受信任实体设备202发出的证书可以是用于证明公钥的拥有权的公钥证书(例如,也被称为数字证书或者身份证书)。证书可以包括关于公钥的信息、关于公钥的拥有者的身份的信息和已验证证书的内容是正确的实体的数字签名。如果签名是有效的,并且对证书进行审查或者验证的设备信任签名者,则设备可以建立与公钥的拥有者的信任,并且可以使用公钥来与拥有者(例如,另一个设备)通信。
通过使用图5和/或图6中所描述的证书,可以在使用MAC地址来进行连接之前(例如,在与对设备共享MAC地址之前)在两个设备之间建立信任。此外,受信任实体设备202可以在设备不再被包括在受信任设备列表108上时撤销证书,并且因此,该设备将不再被其它设备信任。可以例如在雇员离开公司或者被公司解聘时从受信任设备列表移除设备。
如在上面讨论的,可以初始使用随机MAC地址实现对设备的配对和发现,并且在连接被建立之后,可以通过静态通用MAC地址实现数据通信。然而,攻击和恶意实体可能仍然能够首先攻击并且损害一个设备以确定正被其所配对或者结伴的设备使用的静态通用MAC地址,并且因此攻击和恶意实体可以在静态通用MAC地址经由首先的攻击被暴露之后启动对所配对或者结伴的设备的第二攻击。
图7图示了使用散列函数来确定或者计算要用于通信的MAC地址的示例过程700。可以使用散列函数来连续地变更MAC地址,因此允许两个设备安全地进行连接和通信,而同时减少或者消除向攻击或者恶意实体的暴露(例如,降低恶意攻击的可能性)。换句话说,设备可以使用散列函数来动态地计算随机MAC地址。在各种示例中,可以根据如在上面就图3-6中的任一项描述的在两个设备之间建立信任来实现过程700。
在各种示例中,散列函数是输入数据并且输出结果(例如,输出数据、输出值等)的单向操作。然而,给定结果和散列函数,则不可能知道或者计算被输入到散列函数中的数据。相应地,可以将数据输入到散列函数中以输出第一结果。可以然后将第一结果输入到散列函数以输出第二结果。可以然后将第二结果输入到散列函数以输出第三结果,等等。该过程可以被重复数百次、数千次或者甚至数百万次以创建散列链或者所计算的结果的链。如在本文中就图7描述的,可以使用散列链来动态地管理和变更正被设备使用的MAC地址。
在图7中,操作502(A)、502(B)和504是与在上面就图5讨论的那些操作相同或者相似的。
在702处,受信任实体设备202生成并向第一计算设备102发出第一散列函数和第一种子(例如,“H_1”)。第一种子可以是初始被输入到第一散列函数用以生成散列链的数据。
在704处,第一计算设备102接收第一散列函数和针对第一散列函数的第一种子。随后,第一计算设备102和/或受信任实体设备202可以使用第一散列函数和第一种子生成第一散列链和/或在彼此之间共享第一散列链。
在706处,受信任实体设备202生成并向第二计算设备106发出第二散列函数和第二种子(例如,“H_2”)。
在708处,第二计算设备106接收第二散列函数和针对第二散列函数的第二种子。随后,第二计算设备106和/或受信任实体设备202可以使用第二散列函数和第二种子生成第二散列链和/或与彼此共享第二散列链。
在710处,第一计算设备102向受信任实体设备202发送对于连接到第二计算设备106的请求。
在712处,受信任实体设备202接收对于进行连接的请求。
在714(A)和/或714(B)处,受信任实体设备202和/或第二计算设备106确定可以用于共享正被第二计算设备106使用的当前的MAC地址的第二散列链的版本号。版本号可以指散列链中的结果(例如,诸如是第一计算出的结果、第二计算出的结果、第三计算出的结果等的散列链内的位置)。版本号或者结果可以表示正被第二计算设备106使用的MAC地址或者与正被第二计算设备106使用的MAC地址相关联。
在716处,受信任实体设备202向第一计算设备102返回第二散列函数、第二种子和所确定的第二散列链的版本号。
在718处,第一计算设备102接收第二散列函数、第二种子和所确定的第二散列链的版本号。
在720处,第一计算设备102使用第二散列函数、第二种子和所确定的第二散列链的版本号,确定MAC地址。例如,如果版本号指示第二计算设备106当前正在使用与第二散列链的第三版本(例如,第三计算出的结果)相关联的MAC地址,则第一计算设备102被配置为:将第二种子数据输入到第二散列函数中以计算第一结果(例如,第一版本),将计算出的第一结果输入到第二散列函数中以计算第二结果(例如,第二版本),并且将计算出的第二结果输入到第二散列函数中以计算第三结果。计算出的第三结果与第三版本相对应,并且可以被用于确定正被第二计算设备106用于进行通信的MAC地址。
在对应的操作722(A)和722(B)处,第一计算设备102和第二计算设备106使用所确定的第二计算设备106的MAC地址建立连接。额外地,可以执行类似的操作以确定可以被提供给第二计算设备106并且被第二计算设备106用于确定被第一计算设备102使用的当前的MAC地址的第一散列链的版本号。
因此,根据图7,想要连接到另一个设备的设备可以从受信任实体设备202请求可用于计算正被另一个设备使用的动态地变更的和随机化的MAC地址的散列函数、散列种子和版本号。
在各种示例中,可以根据图3-6中的任一项实现图7的示例过程700。例如,设备可以使用公钥密码术和/或证书来验证另一个设备和/或保护被发送给另一个设备的连接请求。相应地,图5的示例场景允许在域内被信任的两个设备通过随机MAC地址维持连接。此外,设备可以在任何时间从散列链的一个版本移动到散列链的另一个版本,因此防止或者停止可能已泄露当前的随机MAC地址的损害。可以在设备不必再次完成发现和/或配对的情况下实现所述移动。此外,如果对设备的信任被受信任实体设备202撤销,则散列种子可以被变更,并且该设备可能不再具有用于连接到其它受信任设备的必要信息。
图8图示了使用散列函数来动态地变更被设备使用的MAC地址的示例过程800。例如,可以使用散列函数生成散列链,并且可以使用散列链内的不同版本(例如,计算出的结果)来实现基于从散列链的一个版本向下一个版本的移动而动态地变更的“轮询”MAC地址,因此使受信任设备能够与彼此通信,而同时保护设备免受不能访问散列函数或者散列链的攻击和恶意实体的伤害。
在802处,设备(例如,第一计算设备102)使用第一MAC地址来连接到另一个设备(例如,第二计算设备106)。
在804处,设备确定是时候变更到与第一MAC地址不同的新MAC地址(例如,移动到散列链中的下一个版本)了。在一个示例中,可以由散列函数自动地确定用于确定要变更的时间的定时协议(例如,定期的定时、对于攻击和恶意实体来说不可预测的可变定时等)。在另一个示例中,设备可以基于特定的事件或者触发(例如,对当前被使用的MAC地址已被损害的指示)确定是时候进行变更了。设备可以然后向受信任实体设备202报告其要变更MAC地址的意图,以使得受信任实体设备202可以向其它受信任设备传播指令(例如,用于从一个版本号移动到下一个版本号)。或者,设备可以直接向所配对的设备报告其要变更MAC地址的意图。
在806处,设备使用新的MAC地址来连接到(一个或者多个)其它设备。
相应地,通过实现图7和图8的示例过程,甚至被损害的设备也可以通过基于散列链动态地变更MAC地址来限制攻击的限度。因此,不知道用于计算新的或者经更新的MAC地址的散列函数和散列种子的设备不能连接到设备。
示例条款
示例A:一种设备,包括:处理系统,其包括:一个或多个处理器;以及耦合到一个或多个处理器的存储器,处理系统被配置为:向受信任实体设备发送与所述设备相关联的第一公钥,受信任实体设备维护在域内被信任的设备列表,设备列表包括所述设备;从受信任实体设备接收第二公钥,第二公钥是与包括在设备列表中的另一个设备相关联的;向所述另一个设备发送对经由介质访问控制(MAC)地址进行连接的请求,利用第二公钥对对于进行连接的请求进行加密,并且利用与所述设备相关联的私钥对对于进行连接的请求进行签名;以及,响应于所述另一个设备使用第一公钥来对对于经由MAC地址进行连接的请求进行验证,建立与所述另一个设备的连接,第一公钥已被受信任实体设备提供给所述另一个设备。
示例B,示例A的设备,其中,从受信任实体设备接收第二公钥和使用第二公钥对对于进行连接的请求进行加密使得所述设备和所述另一个设备能够安全地经由MAC地址进行连接,而设备不必广播MAC地址。
示例C,示例A或者示例B的设备,其中,处理系统被进一步配置为,向受信任实体设备并且在接收第二公钥之前发送对于连接到所述另一个设备的具体的请求。
示例D,示例A或者示例B的设备,其中,第二公钥被接收作为分别与受信任的设备列表上的设备集合相关联的公钥的集合的部分,所述设备和所述设备集合被包括在针对自动配对已被批准的已定义的设备组中。
示例E,示例D的设备,其中,所述设备和所述设备集合是与相同的用户帐户相关联的。
示例F,示例D或者示例E的设备,其中,响应于所述设备加入域,并且独立于所述设备向受信任实体设备发送对于连接到所述另一个设备的具体的请求,在所述设备处并且从受信任实体设备接收公钥的集合。
示例G,示例A到示例F中的任一项的设备,其中,处理系统被进一步配置为,生成包括第一公钥和私钥的密钥对。
示例H,示例A到示例G中的任一项的设备,其中,域包括企业域,并且所述设备列表包括已被注册到由企业域提供服务的公司的雇员的设备。
尽管在上面就设备描述了示例A到示例H,但应当理解,在本文档的上下文中,也可以经由系统、计算机存储介质和/或方法来实现示例A到示例H的内容。
示例I,一种设备,包括:处理系统,其包括:一个或多个处理器;以及耦合到一个或多个处理器的存储器,处理系统被配置为:从受信任实体设备接收证书,受信任实体设备维护在域内被信任的设备列表,并且设备列表包括所述设备;以及,至少部分上基于证书建立经由介质访问控制(MAC)地址的与另一个设备的连接。
示例J,示例I的设备,其中,从受信任实体设备接收证书使所述设备和所述另一个设备能够安全地经由MAC地址进行连接,而所述设备不必广播MAC地址。
示例K,示例J或者示例I的设备,其中,证书指示所述设备被受信任实体设备信任,并且处理系统被进一步配置为,导致所述设备在建立连接之前向所述另一个设备发送证书,以使所述另一个设备能够验证所述设备被受信任实体设备信任。
示例L,示例K的设备,其中,响应于所述设备加入域,并且独立于所述设备向受信任实体设备发送对于连接到所述另一个设备的具体的请求,在所述设备处并且从受信任实体设备接收证书。
示例M,示例J或者示例I的设备,其中,证书指示所述另一个设备被受信任实体设备信任,并且,证书被接收作为分别与受信任设备列表上的设备集合相关联的证书的集合的部分,所述设备和所述设备集合被包括在已被批准用于自动配对的已定义的设备组中。
示例N,示例M的设备,其中,响应于所述设备加入域,并且独立于所述设备向受信任实体设备发送对于连接到所述另一个设备的具体的请求,在所述设备处并且从受信任实体设备接收证书。
示例O,示例M的设备,其中,所述设备和所述设备集合是与相同的用户帐户相关联的。
示例P,示例I到示例O中的任一项的设备,其中,域包括企业域,并且所述设备列表包括已被注册到由企业域提供服务的公司的雇员的设备。
尽管在上面就设备描述了示例I到示例P,但应当理解,在本文档的上下文中,也可以经由系统、计算机存储介质和/或方法来实现示例I到示例P的内容。
示例Q,一种设备,包括:处理系统,其包括:一个或多个处理器;以及耦合到一个或多个处理器的存储器,处理系统被配置为:向第一设备发出散列函数和散列种子,散列种子和散列函数是可用于生成包括多个版本的散列链的;从第二设备接收对于连接到第一设备的请求;确定正在被第一设备用于确定介质访问控制(MAC)地址的散列链的多个版本中的当前版本;以及,向第二设备发送散列函数、散列种子和当前版本,因此使得第二设备能够确定MAC地址,并且经由MAC地址连接到第一设备。
示例R,示例Q的设备,其中,处理系统被进一步配置为:从第一设备接收对第一设备正在从使用所述MAC地址变更为使用与散列链的多个版本中的新版本相关联的新MAC地址的指示;以及,将指示提供给第二设备。
示例S,示例R的方法,其中,至少部分上基于与散列函数相关联并且可用于确定要变更MAC地址的时间的定时协议接收指示。
示例T,示例R的设备,其中,至少部分上基于对MAC地址已被损害的确定接收指示。
尽管在上面就设备描述了示例Q到示例T,但应当理解,在本文档的上下文中,也可以经由系统、计算机存储介质、安全设备和/或方法来实现示例Q到示例T的内容。
示例U,一种系统,包括:用于向受信任实体设备发送与设备相关联的第一公钥的单元,受信任实体设备维护在域内被信任的设备列表,设备列表包括所述设备;用于从受信任实体设备接收第二公钥的单元,第二公钥是与包括在设备列表中的另一个设备相关联的;用于向所述另一个设备发送对经由介质访问控制(MAC)地址进行连接的请求的单元,利用第二公钥对对于进行连接的请求进行加密,并且利用与所述设备相关联的私钥对对于进行连接的请求进行签名;以及,用于响应于所述另一个设备使用第一公钥来对对于经由MAC地址进行连接的请求进行验证建立与所述另一个设备的连接的单元,第一公钥已被受信任实体设备提供给所述另一个设备。
示例V,示例U的系统,其中,从受信任实体设备接收第二公钥和使用第二公钥对对于进行连接的请求进行加密使得所述设备和所述另一个设备能够安全地经由MAC地址进行连接,而设备不必广播MAC地址。
示例W,示例U或者示例V的系统,其中,进一步包括:用于向受信任实体设备并且在接收第二公钥之前发送对于连接到所述另一个设备的具体的请求的单元。
示例X,示例U或者示例V的系统,其中,第二公钥被接收作为分别与受信任的设备列表上的设备集合相关联的公钥的集合的部分,所述设备和所述设备集合被包括在已被批准用于自动配对的已定义的设备组中。
示例Y,示例X的系统,其中,所述设备和所述设备集合是与相同的用户帐户相关联的。
示例Z,示例X或者示例Y的系统,其中,响应于所述设备加入域,并且独立于所述设备向受信任实体设备发送对于连接到所述另一个设备的具体的请求,在所述设备处并且从受信任实体设备接收公钥的集合。
示例AA,示例U直到示例A中的任一项的系统,其中,进一步包括:用于生成包括第一公钥和私钥的密钥对的单元。
示例BB,示例U到示例AA中的任一项的系统,其中,域包括企业域,并且所述设备列表包括已被注册到由企业域提供服务的公司的雇员的设备。
示例CC,一种系统,包括:用于从受信任实体设备接收证书的单元,受信任实体设备维护在域内被信任的设备列表,并且设备列表包括所述设备;以及,用于至少部分上基于证书建立经由介质访问控制(MAC)地址的与另一个设备的连接的单元。
示例DD,示例CC的系统,其中,从受信任实体设备接收证书使所述设备和所述另一个设备能够安全地经由MAC地址进行连接,而所述设备不必广播MAC地址。
示例EE,示例CC或者示例DD的系统,其中,证书指示所述设备被受信任实体设备信任,所述系统进一步包括:用于在建立连接之前向所述另一个设备发送证书以使所述另一个设备能够验证所述设备被受信任实体设备信任的单元。
示例FF,示例EE的系统,其中,响应于所述设备加入域,并且独立于所述设备向受信任实体设备发送对于连接到所述另一个设备的具体的请求,在所述设备处并且从受信任实体设备接收证书。
示例GG,示例CC或者示例DD的系统,其中,证书指示所述另一个设备被受信任实体设备信任,并且,证书被接收作为分别与受信任设备列表上的设备集合相关联的证书的集合的部分,所述设备和所述设备集合被包括在已被批准用于自动配对的已定义的设备组中。
示例HH,示例GG的系统,其中,响应于所述设备加入域,并且独立于所述设备向受信任实体设备发送对于连接到所述另一个设备的具体的请求,在所述设备处并且从受信任实体设备接收证书。
示例II,示例GG的系统,其中,所述设备和所述设备集合是与相同的用户帐户相关联的。
示例JJ,示例CC到示例II中的任一项的系统,其中,域包括企业域,并且所述设备列表包括已被注册到由企业域提供服务的公司的雇员的设备。
示例KK,一种系统,包括:用于向第一设备发出散列函数和散列种子的单元,散列种子和散列函数是可用于生成包括多个版本的散列链的;用于从第二设备接收对于连接到第一设备的请求的单元;用于确定正在被第一设备用于确定介质访问控制(MAC)地址的散列链的多个版本中的当前版本的单元;以及,用于向第二设备发送散列函数、散列种子和当前版本因此使第二设备能够确定MAC地址并且经由MAC地址连接到第一设备的单元。
示例LL,示例KK的系统,进一步包括:用于从第一设备接收对第一设备正在从使用所述MAC地址变更为使用与散列链的多个版本中的新版本相关联的新MAC地址的指示的单元;以及,用于将指示提供给第二设备的单元。
示例MM,示例LL的系统,其中,至少部分上基于与散列函数相关联并且可用于确定要变更MAC地址的时间的定时协议接收指示。
示例NN,示例LL的系统,其中,至少部分上基于对MAC地址已被损害的确定接收指示。
结论
尽管本公开内容可以使用专用于结构化特征和/或方法学操作的语言,但本公开内容不限于本文中描述的具体的特征或者操作。相反,作为实现本公开内容的说明性的形式公开了具体的特征和操作。
Claims (15)
1.一种设备,包括:
处理系统,包括:
一个或多个处理器;以及
存储器,其耦合到所述一个或多个处理器,所述处理系统被配置为:
向受信任实体设备发送与所述设备相关联的第一公钥,所述受信任实体设备维护在域内被信任的设备列表,所述设备列表包括所述设备;
从所述受信任实体设备接收第二公钥,所述第二公钥与被包括在所述设备列表中的另一个设备相关联;
向所述另一个设备发送对经由介质访问控制(MAC)地址进行连接的请求,利用所述第二公钥对对于进行连接的请求进行加密,并且利用与所述设备相关联的私钥对对于进行连接的请求进行签名;以及
响应于所述另一个设备使用所述第一公钥来对对于经由所述MAC地址进行连接的请求进行验证,建立与所述另一个设备的连接,所述第一公钥已被所述受信任实体设备提供给所述另一个设备。
2.根据权利要求1所述的设备,其中:
从所述受信任实体设备接收所述第二公钥和使用所述第二公钥对对于进行连接的请求进行加密使得所述设备和所述另一个设备能够安全地经由所述MAC地址进行连接,而所述设备不必广播所述MAC地址;以及
所述处理系统被进一步配置为,向所述受信任实体设备并且在接收所述第二公钥之前发送对于连接到所述另一个设备的具体的请求。
3.根据权利要求1所述的设备,其中,所述第二公钥被接收作为分别与受信任的设备列表上的设备集合相关联的公钥的集合的部分,所述设备和所述设备集合被包括在被批准用于自动配对的已定义的设备组中。
4.根据权利要求3所述的设备,其中,所述设备和所述设备集合是与相同的用户帐户相关联的,并且其中,响应于所述设备加入所述域,并且独立于所述设备向所述受信任实体设备发送对于连接到所述另一个设备的具体的请求,在所述设备处并且从所述受信任实体设备接收公钥的集合。
5.根据权利要求1到权利要求4中的任一项所述的设备,其中,所述处理系统被进一步配置为,生成包括所述第一公钥和所述私钥的密钥对。
6.根据权利要求1到权利要求4中的任一项所述的设备,其中,所述域包括企业域,并且所述设备列表包括已被注册到由所述企业域提供服务的公司的雇员的设备。
7.一种设备,包括:
处理系统,包括:
一个或多个处理器;以及
存储器,其耦合到所述一个或多个处理器,所述处理系统被配置为:
从受信任实体设备接收证书,所述受信任实体设备维护在域内被信任的设备列表,并且所述设备列表包括所述设备;以及
至少部分上基于所述证书,建立经由介质访问控制(MAC)地址的与另一个设备的连接。
8.根据权利要求7所述的设备,其中,从所述受信任实体设备接收所述证书使得所述设备和所述另一个设备能够安全地经由所述MAC地址进行连接,而所述设备不必广播所述MAC地址。
9.根据权利要求7或者权利要求8所述的设备,其中,所述证书指示所述设备被所述受信任实体设备信任,并且所述处理系统被进一步配置为,导致所述设备在建立所述连接之前向所述另一个设备发送所述证书,以使得所述另一个设备能够验证所述设备被所述受信任实体设备信任。
10.根据权利要求9所述的设备,其中,响应于所述设备加入所述域,并且独立于所述设备向所述受信任实体设备发送对于连接到所述另一个设备的具体的请求,在所述设备处并且从所述受信任实体设备接收所述证书。
11.根据权利要求7所述的设备,其中,所述证书指示所述另一个设备被所述受信任实体设备信任,并且,所述证书被接收作为分别与受信任设备列表上的设备集合相关联的证书的集合的部分,所述设备和所述设备集合被包括在被批准用于自动配对的已定义的设备组中。
12.一种设备,包括:
处理系统,包括:
一个或多个处理器;以及
存储器,其耦合到所述一个或多个处理器,所述处理系统被配置为:
向第一设备发出散列函数和散列种子,所述散列种子和所述散列函数可用于生成包括多个版本的散列链;
从第二设备接收对于连接到所述第一设备的请求;
确定正在被所述第一设备用于确定介质访问控制(MAC)地址的所述散列链的所述多个版本中的当前版本;以及
向所述第二设备发送所述散列函数、所述散列种子和所述当前版本,因此使得所述第二设备能够确定所述MAC地址,并且经由所述MAC地址连接到所述第一设备。
13.根据权利要求12所述的设备,其中,所述处理系统被进一步配置为:
从所述第一设备接收对所述第一设备正在从使用所述MAC地址变更为使用与所述散列链的所述多个版本中的新版本相关联的新MAC地址的指示;以及
将所述指示提供给所述第二设备。
14.根据权利要求13所述的设备,其中,至少部分上基于与所述散列函数相关联并且可用于确定要变更所述MAC地址的时间的定时协议接收所述指示。
15.根据权利要求13所述的设备,其中,至少部分上基于对所述MAC地址已被损害的确定而接收所述指示。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010556305.6A CN111726356B (zh) | 2014-09-17 | 2015-09-16 | 用于建立设备连接的方法和设备 |
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201462051833P | 2014-09-17 | 2014-09-17 | |
| US62/051833 | 2014-09-17 | ||
| US14/640,538 US9716716B2 (en) | 2014-09-17 | 2015-03-06 | Establishing trust between two devices |
| US14/640538 | 2015-03-06 | ||
| PCT/US2015/050309 WO2016044356A1 (en) | 2014-09-17 | 2015-09-16 | Establishing trust between two devices |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010556305.6A Division CN111726356B (zh) | 2014-09-17 | 2015-09-16 | 用于建立设备连接的方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107079006A true CN107079006A (zh) | 2017-08-18 |
| CN107079006B CN107079006B (zh) | 2020-07-03 |
Family
ID=55455971
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010556305.6A Active CN111726356B (zh) | 2014-09-17 | 2015-09-16 | 用于建立设备连接的方法和设备 |
| CN201580050391.0A Active CN107079006B (zh) | 2014-09-17 | 2015-09-16 | 用于建立设备连接的方法和设备 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010556305.6A Active CN111726356B (zh) | 2014-09-17 | 2015-09-16 | 用于建立设备连接的方法和设备 |
Country Status (11)
| Country | Link |
|---|---|
| US (4) | US9716716B2 (zh) |
| EP (2) | EP3195557B1 (zh) |
| JP (1) | JP2017533630A (zh) |
| KR (2) | KR102504051B1 (zh) |
| CN (2) | CN111726356B (zh) |
| AU (1) | AU2015317918A1 (zh) |
| BR (1) | BR112017003695A2 (zh) |
| CA (1) | CA2959809A1 (zh) |
| MX (1) | MX2017003533A (zh) |
| RU (1) | RU2017108756A (zh) |
| WO (1) | WO2016044356A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113329204A (zh) * | 2021-08-03 | 2021-08-31 | 北京电信易通信息技术股份有限公司 | 一种基于终端信任管理的数据安全传输方法及系统 |
Families Citing this family (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10560440B2 (en) | 2015-03-12 | 2020-02-11 | Fornetix Llc | Server-client PKI for applied key management system and process |
| US10630686B2 (en) | 2015-03-12 | 2020-04-21 | Fornetix Llc | Systems and methods for organizing devices in a policy hierarchy |
| US10965459B2 (en) | 2015-03-13 | 2021-03-30 | Fornetix Llc | Server-client key escrow for applied key management system and process |
| US11444766B2 (en) * | 2015-07-06 | 2022-09-13 | Apple Inc. | Combined authorization process |
| US10341384B2 (en) * | 2015-07-12 | 2019-07-02 | Avago Technologies International Sales Pte. Limited | Network function virtualization security and trust system |
| US9883382B2 (en) * | 2015-10-02 | 2018-01-30 | Cisco Technology, Inc. | Dynamically hashed MAC address for transmission in a network |
| KR101678795B1 (ko) * | 2015-11-30 | 2016-11-22 | 전삼구 | 블록체인 인증을 이용하는 IoT 기반 사물 관리 시스템 및 방법 |
| US10225247B2 (en) * | 2015-12-14 | 2019-03-05 | Intel Corporation | Bidirectional cryptographic IO for data streams |
| US10917239B2 (en) | 2016-02-26 | 2021-02-09 | Fornetix Llc | Policy-enabled encryption keys having ephemeral policies |
| US10880281B2 (en) | 2016-02-26 | 2020-12-29 | Fornetix Llc | Structure of policies for evaluating key attributes of encryption keys |
| US11063980B2 (en) | 2016-02-26 | 2021-07-13 | Fornetix Llc | System and method for associating encryption key management policy with device activity |
| US10860086B2 (en) | 2016-02-26 | 2020-12-08 | Fornetix Llc | Policy-enabled encryption keys having complex logical operations |
| US10931653B2 (en) | 2016-02-26 | 2021-02-23 | Fornetix Llc | System and method for hierarchy manipulation in an encryption key management system |
| CN107040922B (zh) * | 2016-05-05 | 2019-11-26 | 腾讯科技(深圳)有限公司 | 无线网络连接方法、装置及系统 |
| CN109314714B (zh) * | 2016-06-28 | 2022-03-15 | 罗伯特·博世有限公司 | 将票证认证委托给物联网和服务中星形网络的系统和方法 |
| US10127160B2 (en) * | 2016-09-20 | 2018-11-13 | Alexander Gounares | Methods and systems for binary scrambling |
| CN106792700A (zh) * | 2016-12-23 | 2017-05-31 | 北京握奇数据系统有限公司 | 一种可穿戴设备的安全通信环境的建立方法及系统 |
| KR101900861B1 (ko) * | 2017-01-26 | 2018-09-20 | 주식회사 엔에스에이치씨 | 웨어러블 디바이스를 이용한 타원 곡선 전자 서명 알고리즘의 분산 키 관리 시스템 및 방법 |
| KR102453145B1 (ko) | 2017-03-16 | 2022-10-14 | 삼성전자주식회사 | 전자장치 및 그를 이용한 트랜잭션 수행 방법 |
| CN107172027A (zh) * | 2017-05-05 | 2017-09-15 | 北京凤凰理理它信息技术有限公司 | 证书管理方法、存储设备、存储介质和装置 |
| US11138546B2 (en) * | 2017-06-14 | 2021-10-05 | International Business Machines Corporation | Tracking objects using a trusted ledger |
| US10819696B2 (en) * | 2017-07-13 | 2020-10-27 | Microsoft Technology Licensing, Llc | Key attestation statement generation providing device anonymity |
| US11128610B2 (en) * | 2017-09-29 | 2021-09-21 | Apple Inc. | Secure multiway calling |
| WO2019118447A1 (en) * | 2017-12-11 | 2019-06-20 | Celo Labs Inc. | Decentralized database associating public keys and communications addresses |
| CN108282333B (zh) * | 2018-03-02 | 2020-09-01 | 重庆邮电大学 | 工业云环境下多边缘节点协作模式下数据安全共享方法 |
| CN108667893B (zh) * | 2018-03-07 | 2021-01-05 | 创新先进技术有限公司 | 数据推荐方法、装置和电子设备 |
| JP6408180B1 (ja) * | 2018-03-20 | 2018-10-17 | ヤフー株式会社 | 端末制御プログラム、端末装置および端末制御方法 |
| WO2019183810A1 (zh) * | 2018-03-27 | 2019-10-03 | 华为技术有限公司 | 在局域网内共享数据的方法及电子设备 |
| US11611541B2 (en) * | 2018-08-07 | 2023-03-21 | Citrix Systems, Inc. | Secure method to replicate on-premise secrets in a cloud environment |
| US10608692B1 (en) * | 2018-11-20 | 2020-03-31 | Amazon Technologies, Inc. | Dual receivers for advertisement scans |
| CN109861980B (zh) * | 2018-12-29 | 2020-08-04 | 阿里巴巴集团控股有限公司 | 一种建立可信计算集群的方法、装置、存储介质及计算设备 |
| US11696133B2 (en) * | 2019-02-21 | 2023-07-04 | Blackberry Limited | Method and system for provisioning device specific WLAN credentials |
| US11356851B2 (en) | 2019-12-03 | 2022-06-07 | Harris Global Communications, Inc. | Communications system having multiple carriers with selectively transmitted real information and fake information and associated methods |
| FR3105682B1 (fr) * | 2019-12-20 | 2022-05-13 | E Scopics | Procede et systeme de gestion d’echange de donnees dans le cadre d’un examen medical |
| EP4179691A1 (en) * | 2020-07-08 | 2023-05-17 | Cervais Inc. | Peer-to-peer secure communication system, apparatus, and method |
| US11095730B1 (en) * | 2020-09-14 | 2021-08-17 | Dell Products Llp | Automated device discovery system |
| US11502988B2 (en) | 2021-01-21 | 2022-11-15 | Cisco Technology, Inc. | Stable MAC address change process |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101171782A (zh) * | 2005-04-20 | 2008-04-30 | 微软公司 | 对等认证和授权 |
| US20120204032A1 (en) * | 2006-05-09 | 2012-08-09 | Syncup Corporation | Encryption key exchange system and method |
| CN103391541A (zh) * | 2013-05-10 | 2013-11-13 | 华为终端有限公司 | 无线设备的配置方法及装置、系统 |
| US20130318343A1 (en) * | 2012-05-22 | 2013-11-28 | Cisco Technology, Inc. | System and method for enabling unconfigured devices to join an autonomic network in a secure manner |
| US20140082353A1 (en) * | 2011-04-28 | 2014-03-20 | Netapp, Inc. | Scalable groups of authenticated entities |
| CN103886263A (zh) * | 2014-03-19 | 2014-06-25 | 宇龙计算机通信科技(深圳)有限公司 | 一种对移动终端中的数据进行保护的方法及系统 |
| US20140229735A1 (en) * | 2011-08-12 | 2014-08-14 | Tridonic Gmbh & Co Kg | Managing device ownership and commissioning in public-key encrypted wireless networks |
Family Cites Families (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5978475A (en) * | 1997-07-18 | 1999-11-02 | Counterpane Internet Security, Inc. | Event auditing system |
| US6304974B1 (en) * | 1998-11-06 | 2001-10-16 | Oracle Corporation | Method and apparatus for managing trusted certificates |
| US6772331B1 (en) | 1999-05-21 | 2004-08-03 | International Business Machines Corporation | Method and apparatus for exclusively pairing wireless devices |
| JP2000349747A (ja) | 1999-06-02 | 2000-12-15 | Hitachi Ltd | 公開鍵管理方法 |
| AU6620000A (en) * | 1999-08-06 | 2001-03-05 | Frank W Sudia | Blocked tree authorization and status systems |
| WO2005043281A2 (en) * | 2003-11-04 | 2005-05-12 | Ntt Communications Corporation | Method, apparatus and program for establishing encrypted communication channel between apparatuses |
| GB2359955B (en) * | 2000-03-01 | 2003-07-23 | 3Com Corp | Network unit including address hashing |
| US6829651B1 (en) | 2000-04-11 | 2004-12-07 | International Business Machines Corporation | Local MAC address learning in layer 2 frame forwarding |
| US7096354B2 (en) | 2000-08-04 | 2006-08-22 | First Data Corporation | Central key authority database in an ABDS system |
| US7181017B1 (en) * | 2001-03-23 | 2007-02-20 | David Felsher | System and method for secure three-party communications |
| EP1343286A1 (en) * | 2002-03-04 | 2003-09-10 | BRITISH TELECOMMUNICATIONS public limited company | Lightweight authentication of information |
| US20070055867A1 (en) | 2003-03-14 | 2007-03-08 | Rajesh Kanungo | System and method for secure provisioning of encryption keys |
| US8843413B2 (en) | 2004-02-13 | 2014-09-23 | Microsoft Corporation | Binding content to a domain |
| US7636941B2 (en) | 2004-03-10 | 2009-12-22 | Microsoft Corporation | Cross-domain authentication |
| US7840682B2 (en) * | 2005-06-03 | 2010-11-23 | QNX Software Systems, GmbH & Co. KG | Distributed kernel operating system |
| RU2447498C2 (ru) | 2006-05-02 | 2012-04-10 | Конинклейке Филипс Электроникс Н.В. | Улучшенный доступ к домену |
| CA2571891C (en) | 2006-12-21 | 2015-11-24 | Bce Inc. | Device authentication and secure channel management for peer-to-peer initiated communications |
| JP2010538563A (ja) * | 2007-09-07 | 2010-12-09 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | セキュアネットワークを確立するためのネットワーク及び方法 |
| US8239549B2 (en) * | 2007-09-12 | 2012-08-07 | Microsoft Corporation | Dynamic host configuration protocol |
| US7779136B2 (en) * | 2007-11-01 | 2010-08-17 | Telefonaktiebolaget L M Ericsson (Publ) | Secure neighbor discovery between hosts connected through a proxy |
| US8429403B2 (en) | 2008-08-12 | 2013-04-23 | Juniper Networks, Inc. | Systems and methods for provisioning network devices |
| CN102474724A (zh) * | 2009-07-15 | 2012-05-23 | 皇家飞利浦电子股份有限公司 | 用于在无线网中安全地广播敏感数据的方法 |
| US8752161B1 (en) * | 2009-07-22 | 2014-06-10 | Cisco Technology, Inc. | Securing and authenticating multiple devices behind a NAT device |
| US8417966B1 (en) * | 2010-05-28 | 2013-04-09 | Adobe Systems Incorporated | System and method for measuring and reporting consumption of rights-protected media content |
| US20120144197A1 (en) * | 2010-12-02 | 2012-06-07 | Jong-Moon Chung | Point-to-point communication method in a wireless sensor network and methods of driving coordinators and communication devices in the wireless sensor network |
| US8990891B1 (en) * | 2011-04-19 | 2015-03-24 | Pulse Secure, Llc | Provisioning layer two network access for mobile devices |
| EP2700256B1 (en) * | 2011-05-20 | 2017-11-29 | BlackBerry Limited | Verifying passwords on a mobile device |
| US9202042B2 (en) | 2011-06-14 | 2015-12-01 | Lantiq Beteiligungs-GmbH & Co.KG | Automatic device pairing |
| US9015469B2 (en) * | 2011-07-28 | 2015-04-21 | Cloudflare, Inc. | Supporting secure sessions in a cloud-based proxy service |
| EP2790350A4 (en) * | 2011-12-09 | 2015-11-04 | Alaxala Networks Corp | CERTIFICATE DISTRIBUTION DEVICE AND METHOD THEREFOR, AND COMPUTER PROGRAM |
| US9026789B2 (en) * | 2011-12-23 | 2015-05-05 | Blackberry Limited | Trusted certificate authority to create certificates based on capabilities of processes |
| US8832783B2 (en) | 2012-09-28 | 2014-09-09 | Intel Corporation | System and method for performing secure communications |
| US8874916B2 (en) * | 2012-09-28 | 2014-10-28 | Intel Corporation | Introduction of discrete roots of trust |
| US8954735B2 (en) * | 2012-09-28 | 2015-02-10 | Intel Corporation | Device, method, and system for secure trust anchor provisioning and protection using tamper-resistant hardware |
| US8594632B1 (en) | 2012-12-11 | 2013-11-26 | Intel Corporation | Device to-device (D2D) discovery without authenticating through cloud |
| US8850543B2 (en) | 2012-12-23 | 2014-09-30 | Mcafee, Inc. | Hardware-based device authentication |
| US9325697B2 (en) * | 2013-01-31 | 2016-04-26 | Hewlett Packard Enterprise Development Lp | Provisioning and managing certificates for accessing secure services in network |
| US20140281497A1 (en) * | 2013-03-13 | 2014-09-18 | General Instrument Corporation | Online personalization update system for externally acquired keys |
| US9237021B2 (en) * | 2013-03-15 | 2016-01-12 | Hewlett Packard Enterprise Development Lp | Certificate grant list at network device |
| US9367676B2 (en) * | 2013-03-22 | 2016-06-14 | Nok Nok Labs, Inc. | System and method for confirming location using supplemental sensor and/or location data |
| US11127001B2 (en) * | 2013-05-09 | 2021-09-21 | Wayne Fueling Systems Llc | Systems and methods for secure communication |
| CN104168269B (zh) * | 2014-07-24 | 2016-05-04 | 深圳市腾讯计算机系统有限公司 | 安全连接建立方法、装置及系统 |
-
2015
- 2015-03-06 US US14/640,538 patent/US9716716B2/en active Active
- 2015-09-16 EP EP15771838.8A patent/EP3195557B1/en active Active
- 2015-09-16 RU RU2017108756A patent/RU2017108756A/ru not_active Application Discontinuation
- 2015-09-16 WO PCT/US2015/050309 patent/WO2016044356A1/en active Application Filing
- 2015-09-16 JP JP2017515219A patent/JP2017533630A/ja active Pending
- 2015-09-16 CN CN202010556305.6A patent/CN111726356B/zh active Active
- 2015-09-16 KR KR1020227006613A patent/KR102504051B1/ko active IP Right Grant
- 2015-09-16 CN CN201580050391.0A patent/CN107079006B/zh active Active
- 2015-09-16 BR BR112017003695A patent/BR112017003695A2/pt not_active Application Discontinuation
- 2015-09-16 EP EP21165552.7A patent/EP3860086A1/en active Pending
- 2015-09-16 MX MX2017003533A patent/MX2017003533A/es unknown
- 2015-09-16 AU AU2015317918A patent/AU2015317918A1/en not_active Abandoned
- 2015-09-16 KR KR1020177007308A patent/KR102369647B1/ko active IP Right Grant
- 2015-09-16 CA CA2959809A patent/CA2959809A1/en not_active Abandoned
-
2017
- 2017-06-21 US US15/629,468 patent/US10581848B2/en active Active
- 2017-06-21 US US15/629,508 patent/US10362031B2/en active Active
-
2019
- 2019-07-16 US US16/512,921 patent/US11032279B2/en active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101171782A (zh) * | 2005-04-20 | 2008-04-30 | 微软公司 | 对等认证和授权 |
| US20120204032A1 (en) * | 2006-05-09 | 2012-08-09 | Syncup Corporation | Encryption key exchange system and method |
| US20140082353A1 (en) * | 2011-04-28 | 2014-03-20 | Netapp, Inc. | Scalable groups of authenticated entities |
| US20140229735A1 (en) * | 2011-08-12 | 2014-08-14 | Tridonic Gmbh & Co Kg | Managing device ownership and commissioning in public-key encrypted wireless networks |
| US20130318343A1 (en) * | 2012-05-22 | 2013-11-28 | Cisco Technology, Inc. | System and method for enabling unconfigured devices to join an autonomic network in a secure manner |
| CN103391541A (zh) * | 2013-05-10 | 2013-11-13 | 华为终端有限公司 | 无线设备的配置方法及装置、系统 |
| CN103886263A (zh) * | 2014-03-19 | 2014-06-25 | 宇龙计算机通信科技(深圳)有限公司 | 一种对移动终端中的数据进行保护的方法及系统 |
Non-Patent Citations (3)
| Title |
|---|
| KEMAL BICAKCI 等: ""Pushing the Limits of Address Based Authentication: How to Avoid MAC Address Spoofing in Wireless LANs"", 《PROCEEDINGS OF WORLD ACADEMY OF SCIENCE ENGINEERING & TECHNOLOGY》 * |
| SUNGHYUCK HONG 等: ""Secure Authentication in Virtual Community by Using Media Access Control address (MAC)"", 《INTERNATIONAL CONFERENCE ON SECURITY & MANAGEMENT》 * |
| XIONG PENG 等: ""The Trustworthiness Based on Hash Chain in Wireless Sensor Network"", 《2008 IEEE/IFIP INTERNATIONAL CONFERENCE ON EMBEDDED AND UBIQUITOUS COMPUTING》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113329204A (zh) * | 2021-08-03 | 2021-08-31 | 北京电信易通信息技术股份有限公司 | 一种基于终端信任管理的数据安全传输方法及系统 |
| CN113329204B (zh) * | 2021-08-03 | 2021-10-01 | 北京电信易通信息技术股份有限公司 | 一种基于终端信任管理的数据安全传输方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20170060004A (ko) | 2017-05-31 |
| MX2017003533A (es) | 2017-06-21 |
| US9716716B2 (en) | 2017-07-25 |
| JP2017533630A (ja) | 2017-11-09 |
| US20160080380A1 (en) | 2016-03-17 |
| US11032279B2 (en) | 2021-06-08 |
| CN111726356A (zh) | 2020-09-29 |
| US20190386992A1 (en) | 2019-12-19 |
| CN111726356B (zh) | 2022-08-05 |
| BR112017003695A2 (pt) | 2017-11-28 |
| KR102369647B1 (ko) | 2022-03-02 |
| KR102504051B1 (ko) | 2023-02-24 |
| CN107079006B (zh) | 2020-07-03 |
| AU2015317918A1 (en) | 2017-03-16 |
| US20170302666A1 (en) | 2017-10-19 |
| KR20220029782A (ko) | 2022-03-08 |
| US20170289157A1 (en) | 2017-10-05 |
| WO2016044356A1 (en) | 2016-03-24 |
| RU2017108756A (ru) | 2018-09-17 |
| US10581848B2 (en) | 2020-03-03 |
| EP3195557B1 (en) | 2021-04-21 |
| CA2959809A1 (en) | 2016-03-24 |
| EP3195557A1 (en) | 2017-07-26 |
| EP3860086A1 (en) | 2021-08-04 |
| US10362031B2 (en) | 2019-07-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107079006A (zh) | 在两个设备之间建立信任 | |
| US10972448B2 (en) | Technologies for data broker assisted transfer of device ownership | |
| CN104813328B (zh) | 受信容器 | |
| CN110537346A (zh) | 安全去中心化域名系统 | |
| CN110494875A (zh) | 用于动态节点群组的私钥的安全再使用 | |
| CN109302415A (zh) | 一种认证方法、区块链节点及存储介质 | |
| CN107851167A (zh) | 在计算环境中保护计算数据的技术 | |
| TW201810990A (zh) | 塊鏈實施之方法及系統 | |
| CN107046687A (zh) | 低功率设备的安全连接 | |
| JP2019053269A (ja) | 電子投票によって収集した投票者の票を判定するシステムおよび方法 | |
| CN107078905A (zh) | 用于进行可信设备登记的技术 | |
| CN108055352A (zh) | 用于密钥链同步的系统和方法 | |
| CN106161415B (zh) | 一种信息处理方法及移动群智感知应用平台 | |
| WO2021012643A1 (zh) | 用于对象分发处理的方法、装置及系统 | |
| CN109361508A (zh) | 数据传输方法、电子设备及计算机可读存储介质 | |
| WO2020056601A1 (zh) | 资产托管方法,存储介质,区块链系统及区块链节点 | |
| CN115865426B (zh) | 隐私求交方法和装置 | |
| CN106973067A (zh) | 一种平台环境完整性检测方法和装置 | |
| CN108462681A (zh) | 一种异构网络的通信方法、设备及系统 | |
| Lu et al. | ZebraLancer: Decentralized crowdsourcing of human knowledge atop open blockchain | |
| CN113746630A (zh) | 区块链证书管理方法、装置、联盟链及存储介质 | |
| Dule et al. | Privacy preservation modelling for securing image data using novel ethereum-based ecosystem | |
| CN105940404B (zh) | 用于安全地分发数字凭单的方法和装置 | |
| CN106953733A (zh) | 一种平台软件完整性证明方法和装置 | |
| Xue et al. | A privacy‐preserving model for blockchain‐based data sharing in the industrial internet |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |