CN107148788A - 用于认证无基础设施对等网络中的对等体的方法 - Google Patents
用于认证无基础设施对等网络中的对等体的方法 Download PDFInfo
- Publication number
- CN107148788A CN107148788A CN201580061027.4A CN201580061027A CN107148788A CN 107148788 A CN107148788 A CN 107148788A CN 201580061027 A CN201580061027 A CN 201580061027A CN 107148788 A CN107148788 A CN 107148788A
- Authority
- CN
- China
- Prior art keywords
- group
- equipment
- authentication token
- authenticated
- certification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/76—Group identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本文描述了用于在网络中进行认证的方法、系统、装置和设备。移动设备可以与和组相关联的认证服务器建立组帐户。在成功地完成组帐户建立时,移动设备接收组认证令牌,其中该组认证令牌包括与该认证服务器、该组、该移动设备、组密钥、版本化信息等等相关联的信息。移动设备可以使用该组认证令牌,与是相同组的成员的另一个移动设备进行认证。版本化信息可以支持具有不同版本的组认证令牌之间的向后兼容性。
Description
交叉引用
本专利申请要求享受Lee等人于2014年11月12日递交的、标题为“Method toAuthenticate Peers in an Infrastructure-Less Peer-to-Peer Network”的美国专利申请No.14/539,275的优先权,该申请已经转让给本申请的受让人。
技术领域
本公开内容涉及无线通信系统,具体地说,本公开内容涉及无线网络中的认证。
背景技术
已广泛地部署无线通信系统,以便提供各种类型的通信内容,例如语音、视频、分组数据、消息传送、广播等等。这些系统可以是能通过共享可用的系统资源(例如,时间、频率和功率),来支持与多个用户进行通信的多址系统。诸如无线局域网(WLAN)(例如,Wi-Fi网络(IEEE 802.11))之类的无线网络可以包括与一个或多个站(STA)或移动设备进行通信的接入点(AP)。该AP可以耦合到诸如互联网之类的网络,并且使移动设备能够经由网络进行通信(和/或与耦合到接入点的其它设备进行通信)。
在一些例子中,可以针对于在共享某种共同性(例如,与共同的组、组织、军事单位等等相关联)的一组移动设备之间共享的内容,形成网络。移动设备可以通过基于与该共同性相关联的共同密钥或者令牌(例如,组认证令牌),与网络上的其它移动设备进行认证,来形成该网络(例如,网格网络、社交Wi-Fi网格网络等等)。但是,常规的网络认证方案可能要努力确保与该组相关联的每个移动设备都具有共同密钥或密码或者次序以便与该网络上的组移动设备进行认证。
在一些认证方案中,所有移动设备在它们能够与组移动设备(对等认证)进行认证之前,都必须始终拥有最通用的密钥。在大型网络(例如,1,000+移动设备)中,因为共同密钥或密码的分发可能特别困难,所以缩放问题可能很快成为关注点,例如,离线移动设备可能不能够接收到更新的密钥。其它认证方案可能需要移动站和认证服务器之间的连接,该认证服务器用于将该移动设备认证到网络。但是,当移动设备不能够建立在线连接时,这种情形可能不会成功,而当其在线时,则消耗网络资源。
发明内容
所描述的特征总体上涉及用于无线通信的各种改进系统、方法和/或装置。这些系统、方法和/或装置可以提供网络中的认证,例如,形成网格网络的移动设备之间的认证。通常而言,移动设备可以与认证服务器(AS)建立组帐户,并基于该帐户来接收令牌。AS可以与一个组相关联,该令牌可以是组认证令牌(AuT)。在一些方面,AuT可以提供组成员资格的证明,加入设备可以使用该AuT来与网络上和相同组相关联的另一移动设备进行认证。在一些方面,第一移动设备(加入设备)可以在在线或者处于连接模式时,建立和接收AuT,并且随后在不需要连接到AS的情况下与第二移动设备(组或成员设备)进行认证。AuT可以包括版本化信息,加入设备可以使用与成员设备相比具有不同的AuT版本的AuT,与该成员设备进行认证。因此,所描述的基于AuT的认证,避免了对于活动连接到AS和/或在当前认证技术中发现的立即分发最新密钥的要求。
在第一组示例性示例中,提供了一种用于无线通信的方法。该方法可以包括:由加入一个组的第一设备,与认证服务器建立组帐户,该认证服务器与所述组相关联;从认证服务器接收组认证令牌,该组认证令牌与建立的组帐户相关联;以及至少部分地基于该组认证令牌,与网络的第二设备进行认证,第二设备是所述组的成员。
在一些方面,该方法可以包括:当处于与所述认证服务器的连接状态时,建立所述组帐户和接收所述组认证令牌;以及当处于与所述认证服务器的断开状态时,与第二设备进行认证。该方法可以包括:至少部分地基于第二设备确认所述组认证令牌与所述组相关联,完成与第二设备的第一认证;以及至少部分地基于第二设备确认所述组认证令牌与第一设备相关联,完成与第二设备的第二认证。
在一些方面,该方法可以包括:以定期调度、非定期调度或者其组合中的一种方式,从所述认证服务器接收更新的组认证令牌。每一个接收的组认证令牌和更新的组认证令牌,可以包括与特定的组认证令牌的版本相关联的版本索引,并且其中,与第二设备进行认证可以包括:使用与第二设备为了进行认证所使用的组认证令牌相比具有不同的版本的组认证令牌,与第二设备进行认证。该方法可以包括:使用与第二设备所使用的组认证令牌版本相比具有更近的版本的所述组认证令牌,与第二设备进行认证。该方法可以包括:使用与第二设备所使用的组认证令牌版本相比具有更旧的版本的所述组认证令牌,与第二设备进行认证。每一个更新的组认证令牌可以包括用于指示所述组认证令牌被更新的原因的原因码。至少一个原因码可以禁止第一设备使用具有不同版本的所述组认证令牌,与第二设备进行认证。至少一个原因码准许第一设备使用具有不同版本的所述组认证令牌,与第二设备进行认证。
在一些方面,所述组认证令牌可以包括下面中的一项:与所述组相关联的组标识符、认证服务器标识符、第一设备标识符、组认证密钥、与所述组认证密钥相关联的版本索引、定时信息字段或者其组合。所述组认证令牌可以在预定的时间段内有效。所述网络可以是网格网络。所述网络可以是社交Wi-Fi网格网络。
在第二组示例性示例中,提供了一种用于无线通信的装置。该装置可以包括:处理器;与所述处理器进行电通信的存储器;以及存储在所述存储器中的指令。这些指令可由所述处理器执行以进行以下操作:通过加入一个组的第一设备,与认证服务器建立组帐户,该认证服务器与所述组相关联;从该认证服务器接收组认证令牌,该组认证令牌与建立的组帐户相关联;以及至少部分地基于该组认证令牌,与网络的第二设备进行认证,第二设备是所述组的成员。
在一些方面,所述装置可以包括可由所述处理器执行以进行以下操作的指令:当处于与所述认证服务器的连接状态时,建立所述组帐户和接收所述组认证令牌;以及当处于与所述认证服务器的断开状态时,与第二设备进行认证。该装置可以包括可由所述处理器执行以进行以下操作的指令:至少部分地基于第二设备确认所述组认证令牌与所述组相关联,完成与第二设备的第一认证;以及至少部分地基于第二设备确认所述组认证令牌与第一设备相关联,完成与第二设备的第二认证。
在一些方面,该装置可以包括可由所述处理器执行以进行以下操作的指令:以定期调度、非定期调度或者其组合中的一种方式,从所述认证服务器接收更新的组认证令牌。每一个接收的组认证令牌和更新的组认证令牌,可以包括与特定的组认证令牌的版本相关联的版本索引,并且其中,用于与第二设备进行认证的指令可进一步由所述处理器执行以进行以下操作:使用与第二设备为了进行认证所使用的组认证令牌相比具有不同的版本的组认证令牌,与第二设备进行认证。
在一些方面,该装置可以包括可由所述处理器执行以进行以下操作的指令:使用与第二设备所使用的组认证令牌版本相比具有更近的版本的所述组认证令牌,与第二设备进行认证。该装置可以包括可由所述处理器执行以进行以下操作的指令:使用与第二设备所使用的组认证令牌版本相比具有更旧的版本的所述组认证令牌,与第二设备进行认证。每一个更新的组认证令牌可以包括用于指示所述组认证令牌被更新的原因的原因码。至少一个原因码可以禁止第一设备使用具有不同版本的所述组认证令牌,与第二设备进行认证。至少一个原因码可以准许第一设备使用具有不同版本的所述组认证令牌,与第二设备进行认证。
在一些方面中,所述组认证令牌可以包括下面中的一项:与所述组相关联的组标识符、认证服务器标识符、第一设备标识符、组认证密钥、与所述组认证密钥相关联的版本索引、定时信息字段或者其组合。所述组认证令牌可以在预定的时间段内有效。所述网络可以是社交Wi-Fi网格网络。
在第三组示例性示例中,提供了一种用于无线通信的装置。该装置可以包括:用于通过加入一个组的第一设备,与认证服务器建立组帐户的单元,该认证服务器与所述组相关联;用于从该认证服务器接收组认证令牌的单元,该组认证令牌与建立的组帐户相关联;以及用于至少部分地基于该组认证令牌,与网络的第二设备进行认证的单元,第二设备是所述组的成员。
在一些方面,该装置可以包括:用于当处于与所述认证服务器的连接状态时,建立所述组帐户和接收所述组认证令牌的单元;以及用于当处于与所述认证服务器的断开状态时,与第二设备进行认证的单元。
在第四组示例性示例中,提供了一种存储有用于无线通信的计算机可执行代码的非临时性计算机可读介质。所述代码可以由处理器执行以用于以下操作:通过加入一个组的第一设备,与认证服务器建立组帐户,该认证服务器与所述组相关联;从该认证服务器接收组认证令牌,该组认证令牌与建立的组帐户相关联;以及至少部分地基于该组认证令牌,与网络的第二设备进行认证,第二设备是所述组的成员。
为了更好地理解下面的具体实施方式,上面对根据本公开内容的示例的特征和技术优点进行了相当程度地总体概括。下面将描述另外的特征和优点。可以将所公开的概念和特定示例容易地使用成用于修改或设计其它结构来执行本公开内容的相同目的的基础。这些等同的构造并不脱离所附权利要求书的保护范围。当结合附图来考虑下面的具体实施方式时,将能更好地理解本文所公开的概念的特性(关于它们的组织方式和操作方法),以及相关联的优点。提供这些附图中的每一个只是用于说明和描述目的,而不是作为对权利要求的范围界定。
附图说明
通过参照下面的附图,可以获得对于本发明的性质和优点的进一步理解。在附图中,类似的组件或特征具有相同的附图标记。此外,相同类型的各个组件可以通过在附图标记之后加上破折号以及用于区分相似组件的第二标记来进行区分。如果在说明书中仅使用了第一附图标记,则该描述可适用于具有相同的第一附图标记的任何一个类似组件,而不管第二附图标记为何。
图1示出了根据本公开内容的各个方面的无线通信系统的框图;
图2示出了用于描绘根据本公开内容的方面的无线通信的一些方面的泳道图;
图3示出了用于描绘根据本公开内容的方面的示例性认证令牌的方面的图;
图4示出了用于描绘根据本公开内容的方面,无线通信的一些方面的泳道图;
图5示出了用于描绘根据本公开内容的方面,无线通信的一些方面的泳道图;
图6示出了根据本公开内容的各个方面,被配置为在无线通信中使用的设备的框图;
图7示出了根据本公开内容的各个方面,被配置为在无线通信中使用的设备的框图;
图8示出了根据本公开内容的各个方面的无线通信系统的框图;
图9是示出了根据本公开内容的各个方面的无线通信方法的例子的流程图;
图10是示出了根据本公开内容的各个方面的无线通信方法的例子的流程图;
图11是示出了根据本公开内容的各个方面的无线通信方法的例子的流程图;以及
图12是示出了根据本公开内容的各个方面的无线通信方法的例子的流程图。
具体实施方式
在当前的强健安全网络关联(RNSA)技术中,设备之间的认证(对等认证)使用需要每个设备具有相同的密钥或者密码的相等同时认证(SAE)协议。通常,SAE技术被设计为用于对等认证,而无需基础设施支持(例如,无需在认证期间与AS的活动连接)。但是,由于与将更新的密钥及时地分发到每个设备相关联的困难,因此,共同密钥或者密码的改变可能变得有问题。其它技术可能依赖于需要每个设备(例如,移动设备、接入点等等)连接AS并与AS进行认证的可扩展认证协议(EAP)。一旦进行了认证,设备就可以接收在设备之间为了通信而共享的成对主密钥(PMK)。但是,由于没有或减少的连接接入、网络资源的限制等等,并不是每一种环境都可以支持EAP技术。
本公开内容的方面涉及在共享AuT的某些方面的设备之间,在网络中的认证。移动设备可以连接到AS以生成组帐户,并接收AuT。AS可以与该组相关联,并且通常可以管理用于向被授权与该组进行关联的设备提供AuT的方面。移动设备可以发现与该组相关联的第二移动设备,并基于AuT,与第二设备进行认证。在一些例子中,加入设备和/或成员设备可能在认证期间,不具有与AS的活动连接。AuT的方面可以提供AuT的不同版本之间的兼容性,使得可以准许不具有最新AuT的设备能够进行认证。
下文的描述提供了一些例子,但其并非限制权利要求书所阐述的保护范围、适用性或例子。在不脱离本公开内容的保护范围的基础上,可以对所讨论的组成元素的功能和排列进行改变。各个例子可以根据需要,省略、替代或者增加各种过程或组成部分。例如,可以按照与所描述的不同的顺序来执行描述的方法,并且可以对各个步骤进行增加、省略或者组合。此外,关于一些例子所描述的特征可以组合到其它例子中。
首先参见图1,该框图示出了WLAN网络100的例子。WLAN网络100可以包括接入点(AP)105和一个或多个无线设备或站(STA)115,例如,移动站、个人数字助理(PDA)、其它手持型设备、上网本、笔记本计算机、平板计算机、膝上型计算机、显示设备(例如,TV、计算机监视器等等)、打印机等等。虽然只示出了一个AP 105,但WLAN网络100可以具有多个AP105。无线站115中的每一个(其还可以称为移动站(MS)、移动设备、接入终端(AT)、用户设备(UE)、用户站(SS)或用户单元)可以经由通信链路120,与AP 105进行关联和通信。每一个AP105具有地理覆盖区域110,使得位于该区域之内的无线站115通常可以与该AP 105进行通信。无线站115可以分散在整个地理覆盖区域110之中。每一个无线站115可以是静止的,也可以是移动的。
虽然图1中没有示出,但无线站115可以被一个以上的AP 105覆盖,因此在不同的时间,能够与一个或多个AP 105进行关联。单个AP 105和相关联的站集合可以称为基本服务集(BSS)。扩展服务集(ESS)是连接的BSS的集合。使用分布式系统(DS)(没有示出)来连接扩展服务集中的AP 105。可以将接入点105的地理覆盖区域110划分成只构成该覆盖区域的一部分的一些扇区(没有示出)。WLAN网络100可以包括不同类型的接入点105(例如,城市区域、家庭网络等等),其中对于不同的技术而言存在不同大小的覆盖区域和重叠的覆盖区域。虽然没有示出,但其它无线设备也可以与AP 105进行通信。
虽然无线站115可以使用通信链路120,通过AP 105来彼此之间进行通信,但每一个无线站115还可以经由直接无线链路125,直接与一个或多个其它无线站115进行通信。在以下情况下两个或更多无线站115可以经由直接无线链路125进行通信:当两个无线站115均位于AP地理覆盖区域110中时、或者当一个无线站115位于AP地理覆盖区域110中时、或者两个无线站115都不位于AP地理覆盖区域110中时(没有示出)。直接无线链路125的示例可以包括Wi-Fi直接型连接、通过使用Wi-Fi隧道化直接链路建立(TDLS)链路建立的连接和其它P2P组连接。在这些示例中,无线站115可以根据包括物理层和MAC层的WLAN无线电和基带协议进行通信。在其它实现中,可以在WLAN网络100中实现其它对等连接和/或自组网络。
一个或多个无线站115可以与相同的组相关联,并且希望进行连接以形成网格网络(例如,直接连接而不通过AP 105)。例如,无线站115-a可以确定无线站115-b共享某种共同性(例如,与相同的组相关联),故发起认证过程以直接连接到无线站115-b来实现例如内容共享。每一个无线站115可以包括认证组件130,后者管理组关联和AuT管理的各方面。例如,无线站115-a可以包括认证组件130-a,后者可以管理用于建立组帐户、以及经由无线链路145和150来通过网络140从AS 135接收AuT的各方面。例如,无线链路145和/或150可以是蜂窝通信无线链路。无线站115-b可以类似地包括认证组件130-b,后者可以管理组帐户建立和AuT管理的各方面。无线站115-a可以基于从AS 135接收的AuT,直接经由无线链路125,来发起与无线站115-b的认证过程。在认证之后,无线站115-a和115-b可以形成网格网络。
图2是示出了根据本公开内容的各个方面的无线通信的一些方面的泳道图200。图200可以描绘参照图1所描述的无线通信系统100的方面。图200包括认证服务器135-a、加入设备115-c和组成员设备115-d。加入设备115-c和/或组成员设备115-d可以是上面参照图1所描述的无线站115中的至少一个的例子。认证服务器135-a可以是上面参照图1所描述的认证服务器135中的至少一个的例子。总体上,图200描绘了基于组认证令牌,在网络中进行认证的方面。在一些例子中,系统设备(例如,无线站115、认证服务器135和/或AP 105中的一个)可以执行代码集以控制该设备的功能单元,来执行下面所描述的功能中的一些或全部。
在方框205处,加入设备115-c可以与AS 140-a建立组帐户。通常而言,一个组可以指代组成员之间共享的任何共享兴趣和/或共同特征。举一些非限制性示例,组可以指代服务提供商,例如,蜂窝服务提供商、WLAN服务提供商等等。组还可以指代设备115之间的共同特征,例如,共同制造商。组还可以指代应用帐户,例如,具有在设备115上运行的共同应用或者服务、商业帐户(帐户、帐户、帐户等等)的设备115。此外,组还可以指代与共同的组织(例如,共同的雇主、体育团体等等)相关联的移动设备。因此,应当理解的是,各种各样的共同兴趣和/或特征可以构成与一个组的关联。
生成组帐户可以包括:加入设备115-c向AS 140-a提供各种信息(例如,设备识别信息、用户名称、地址等等),以确认加入设备115-c被授权与该组进行关联。举一个非限制性的示例,组帐户的初始生成可以包括:AS 140-a和加入设备115-c位于在一起,例如,新雇的员工把他们的手机带到公司IT部门进行注册。在210处,AS 140-a可以向加入设备115-c提供组认证令牌(AuT)。从加入设备115-c的角度来看,该AuT可以提供该组中的成员资格的证明。
在215处,加入设备115-c可以向组成员设备115-d进行认证。该认证可以是基于该AuT的。虽然描述成加入设备115-c向组成员设备115-d进行认证,但应当理解的是,在该认证过程期间可以发生相互认证,例如,组成员设备115-d和加入设备115-c彼此之间相互认证。
在完成认证过程时,加入设备115-c和组成员设备115-d形成网格网络。也就是说,通过相同组的成员基于组AuT来彼此之间进行认证,可以形成网格网络。随着更多的设备115检测到加入设备115-c和/或组成员设备115-d并与其进行认证,该网格网络将不断增加。在一些例子中,设备115可以形成社交Wi-Fi网格网络、独立基本服务集(IBSS)网络等等。在一些上下文中,该网络还可以称为邻居了解网络(NAN)数据路径、NAN数据链路、数据路径(DP)、数据链路(DL)、NAN DP、NAN DL、NDP或NDL。因此,形成该网络的成员设备115在一些上下文中,还可以称为网格站、网格组、数据路径组、NAN DP组、数据链路组或者NAN DL组。应当理解的是,上面所提供的术语只是示例性的,本公开内容可以指代任何无基础设施的对等网络。
图3是示出了根据本公开内容的各个方面的示例性组认证令牌(AuT)305的各方面的图300。图300可以描绘参照图1所描述的无线通信系统100的方面。该图可以通过上面参照图1和/或图2所描述的无线站115、接入点105、加入设备115和/或组成员设备115中的至少一个来实现。
如上面所讨论的,AuT 305的各个方面可以提供使用AuT 305,在加入设备115和组成员设备115之间的认证。通常而言,AuT 305可以包括有助于根据本文所描述的特征的该认证的各种属性。例如,AuT 305可以包括AS标识符310、组标识符315、设备标识符320、组认证密钥325、版本索引330、定时信息335和原因码340。广义来说,AuT 305可以是受时间限制的,可以被限于特定的移动设备115,以及包括有助于实现设备115之间的认证的组秘密。AuT 305的一个或多个组成部分和/或基于这些组成部分的函数,可以使用成该AuT 305的签名。
AS标识符310可以包括与对AS进行识别相关联的一个或多个信息元素。AS标识符310可以指示和/或确认该AS与该组相关联,例如,AuTGoogle+、AuTAT&T、AuTCompany等等。在该组的背景下,该AS可以是受信任第三方(TTP)。在一些方面,AS标识符310或者基于AS标识符310的函数,可以识别在认证过程期间可以使用的公钥,以便对AuT 305的签名进行验证。
组标识符315可以包括用于识别与AuT 305相关联的组的一个或多个信息元素。例如,当该组与一个特定的制造商相关联时,组标识符315和/或基于组标识符315的函数(例如,哈希函数)可以用于确认该AuT 305与该特定的组相关联,例如AuTManufacturer。组标识符315可以将AuT 305绑定到该特定的组。在一些例子中,AS可以规定一个以上的组与一个密钥相关联。在该AS的域中,例如,组标识符315可以对于特定的组来说是唯一的。
设备标识符320可以包括与识别接收AuT 305的移动设备115相关联的一个或多个信息元素。通常而言,每一个AuT 305是特定于移动设备的,即,绑定到该特定的移动设备。因此,与第一移动设备115相关联的第一AuT 305可能不能转让给第二移动设备115,例如,用于防欺诈。在一些例子中,设备标识符320可以与移动设备的媒体访问控制(MAC)地址相关联。其它设备唯一信息也可以包括在设备标识符320中,和/或可根据设备标识符320来推导。
组认证密钥325可以包括与用于组的共同秘密相关联的一个或多个信息元素,例如,密码、主密钥等等。组认证密钥325和/或基于组认证密钥325的函数可以用于AuT 305的签名验证。举一个非限制性示例,例如,可以将组认证密钥325形成为组秘密的哈希函数,或者使用组标识符315进行重复地哈希的密钥。组标识符315可以用作该哈希函数的输入,以生成用于各个组的唯一哈希链。在一些方面,组认证密钥325以生成的相反顺序来使用,这使持有具有GK(i+1)的AuT 305的设备,能够与持有具有GK(i)的AuT 305的另一个设备进行认证。
举一个非限制性示例,可以根据过程345来构建组认证密钥345,其中首先随机地生成GK(n),通过使用组标识符(GID)向GK(n)应用函数F来生成GK(n-1)(即,GK(n-1)=F(GK(n),GID)),其中F是密钥推导函数(例如,HMAC-256、HMAC-384)。可以持续该过程,直到生成GK(1)为止。AS可以构建组认证密钥325以具有预定的长度(例如,n),并且AS可以对初始组密钥(例如,GK(1))进行签名。可以通过以重复方式来对密钥进行哈希运算,来对后续密钥进行认证,例如,可以通过应用函数(F(GK(2),GID)),并将其与GK(1)进行比较(由于AS对GK(1)进行了认证),来对GK(2)进行认证。在一些例子中,以生成的相反顺序,将组认证密钥325分发给移动设备,例如,首先生成GK(4),接着生成GK(3),这是由于GK(3)是根据构建的GK(4)来导出的,而GK(3)被首先分发,接着分发GK(4)等等。当密钥链用完时(例如,分发了最后的组认证密钥325),可以通过AS生成新的链,并由AS进行签名。在一些例子中,可以在初始帐户建立期间,向移动设备提供根密钥(GK(1)),移动设备可以使用根密钥来认证组认证密钥325的后续迭代。
版本索引330可以包括与指示AuT 305的版本相关联的一个或多个信息元素。AS可以由于各种原因(例如,定时翻转维护、组认证密钥破解等等)来更新AuT 305。在一些例子中,AS可以基于利用组标识符315对组秘密进行哈希,来使用哈希函数来生成组认证密钥325。版本索引330可以指示该哈希函数的哪一迭代与当前AuT 305相关联。在一些例子中,AS可以对组认证密钥325的第一迭代进行签名(其可以包括版本索引(i)),例如在初始注册和AuT 305分发期间,将该组认证密钥325(例如,GK(i))分发给与该组相关联的成员设备。在一些方面,只要组成员设备115在线并能够进行连接,它们就可以连接到AS并与AS进行同步。但是,AS可能在没有签名的情况下,向成员设备分发AuT 305的后续版本(例如,GK(i+1))。因此,组成员设备可以确认AuT 305与该组AS相关联,而对于另外的版本而言,实现减少的计算开销和/或通信开销。在一些例子中,生成GK(i+1)的后续版本,使得组成员设备可以使用GK(i)或者先前版本的GK(例如,GK(i-1)、GK(i-2)等等),来验证GK(i+1)的真实性。
在一些例子中,用于AuT 305的签名可以是AuT 305的一个或多个组成部分的函数。例如,AuT 305的签名可以是Sign={HGK(KIdx)(ASID||GID||STAID||KIdx)}K -1 AS,其中ASID是AS标识符310、GID是组标识符315、STAID是设备标识符320、以及KIdx是版本索引330。因此,AuT 305可以包括用于将该AuT 305绑定到该组和该特定的设备的签名。
定时信息335可以包括与用于AuT 305的定时相关联的信息元素。AuT 305可以按照周期性调度进行更新,和/或认为在预定的时间段内有效。AuT 305可以是时间受限的,并且定时信息335可以包括用于标识该时间限制的信息,例如,每小时、每天、每周、每月、每年等等。
原因码340可以包括与更新AuT 305的原因相关联的一个或多个信息元素。原因码的非限制性示例可以包括:调度的组认证密钥325翻转(例如,时间到期)、调度的AS私钥改变、密钥破解(例如,组认证密钥325和/或AS私钥)、该组中的策略改变等等。如下面所更详细讨论的,在一些例子中,该原因码可以判断组成员设备是否与具有不同版本AuT 305的加入设备进行认证。也就是说,原因码340可以帮助成员设备判断它们是接受还是拒绝组认证密钥325。
广义来讲,目前描述的基于AuT 305的认证技术,提供大规模的安全社交Wi-Fi网格网络的建立,该Wi-Fi网格网络高效地利用组成员设备之间的安全性。AuT 305提供高效的和可扩展的组认证管理(例如,组密钥分发和更新、成员资格管理等等),并还提供成员设备之间的高效认证。
图4是示出了根据本公开内容的各个方面的无线通信的一些方面的泳道图400。图400可以描绘参照图1所描述的无线通信系统100的方面。图400包括认证服务器135-b、加入设备115-e和组成员设备115-f。加入设备115-e和/或组成员设备115-f可以是上面参照图1所描述的无线站115中的至少一个的例子。认证服务器135-b可以是上面参照图1所描述的认证服务器135中的至少一个的例子。总体上,图400描绘了基于组认证令牌,在网络中进行认证的方面。在一些例子中,系统设备(例如,无线站115、认证服务器135和/或AP 105中的一个)可以执行代码集以控制该设备的功能单元,来执行下面所描述的功能中的一些或全部。
在405处,组成员设备115-f可以与AS 140-b建立组帐户。通常而言,可以基于组成员设备115-f和AS 140-b之间的各种信息(例如,组成员设备115-f识别信息)的交换,来建立组帐户。在410处,AS 140-b可以向组成员设备115-f提供组AuT。如先前所讨论的,组AuT可能由于各种原因而发生改变,其中,AuT的每一个版本可以包括版本索引(例如,版本索引330)。因此,组成员设备115-f可以接收和存储具有版本索引i的AuT。
在方框415处,AS 140-b可能经历密钥改变。该密钥改变(例如,组认证密钥325和/或AS 140-b的私钥)可以是调度的或者非调度的。基于更新的AuT,AS 140-b可以将版本索引递增为i+1。因此,从AS 140-b发出的AuT与先前发出的AuT具有不同的版本索引。
在420处,AS 140-b可以向加入设备115-e发送更新的AuT。在该例子中,加入设备115-e可以是先前已与AS 140-b建立了组帐户,并已接收AuT的设备。在一些方面,与该组相关联的设备可以与AS 140-b进行重新连接,以接收更新的AuT。例如,设备可以根据预定的调度等等,在其在线(例如,具有活动连接)时连接到AS 140-b,以检查AuT的当前版本并且如果有的话对其进行接收(如,拉)。在一些例子中,针对于连接的和可用的那些成员设备,AS 140-b可以向其注册的成员设备发送用于推送更新的AuT的一个或多个信号。因此,具有版本索引i+1的更新的AuT被提供给加入设备115-e。
可选地在方框425和/或430处,加入设备115-e和组成员设备115-f可以与AS 140-b断开。例如,任何设备都可能丢失其活动互联网连接和/或丢失其与AS 140-b的连接。因此,组成员设备115-f可能不可用于连接到AS 140-b来接收具有版本索引i+1的AuT。
在435处,加入设备115-e可以使用具有版本索引i+1的AuT,与组成员设备115-f进行认证,而组成员设备115-f使用具有版本索引i的AuT,接受该认证。如上面所讨论的,本文提供的AuT可以准许转发和/或向后兼容,以便设备之间的认证。也就是说,持有最近AuT的设备能够与持有更近AuT或者更旧AuT的其它设备进行认证。因此,不需要设备在所有时间都与AS 140-b同步,并支持使用版本化的AuT来进行认证。在一些例子中,组成员设备115-f可以基于原因码(例如,指示密钥改变被调度的原因码),来认证加入设备115-e,因此,组成员设备115-f信任来自该加入设备的AuT(尽管不同的版本索引)。在另一个例子中,组成员设备115-f可以基于版本索引之间的差值(例如,至一、二、三等等),对加入设备115-e进行认证,支持不同的版本进行认证。其它认证确定可以是基于原因码、版本索引、以及组成员设备115-f和/或加入设备115-e已知的其它因素的组合。因此,组成员设备可以使用与来自加入设备的版本索引相比更近和/或更旧的版本索引来进行认证。
图5是示出了根据本公开内容的各个方面的无线通信的一些方面的泳道图500。图500可以描绘参照图1所描述的无线通信系统100的方面。图500包括加入设备115-g和组成员设备115-h。加入设备115-g和/或组成员设备115-h可以是上面参照图1所描述的无线站115中的至少一个的例子。总体上,图500描绘了基于组认证令牌,在网络中进行两阶段认证的方面。在一些例子中,系统设备(例如,无线站115、认证服务器135和/或AP 105中的一个)可以执行代码集以控制该设备的功能单元,来执行下面所描述的功能中的一些或全部。应当理解的是,加入设备115-g和组成员设备115-h先前已向AS进行了注册,并已接收了与该组相关联的至少一个AuT。
在505处,加入设备115-g和组成员设备115-h可以执行初步认证。通常而言,该初步认证可以包括:交换AuT的至少一部分(例如,组认证密钥和当前版本索引(例如,GK(Index))。基于该交换,每一个设备115可以判断其它设备是否持有有效的组认证密钥,并拒绝不具有有效的组认证密钥的那些设备的认证。例如,该初步认证可以提供一种快速和高效的机制来缓解拒绝服务攻击。
在510处,组成员设备115-h可以判断AuT是否与该组相关联,例如,组认证密钥是否有效。如果有效,则在515处,加入设备115-g和组成员设备115-h可以执行完全认证过程。在一些方面,初步认证对于设备115进行连接以便例如形成网格网络来说可能是足够的。因此,可以将初步认证视作为第一认证。举一个例子,完全认证过程可以包括:每一设备交换至少该AuT的另外的部分或者全部。例如,设备可以交换信息,以确认该AuT与该特定的设备相关联(或者被限定到该特定的设备)。这可以防止将AuT从一个设备未授权地传送到另一个设备。
在一些方面,完全认证可以包括交换基于AuT的签名。例如,该签名可以包括下面信息或者基于下面信息的哈希函数来导出:组认证密钥和其相关联的索引、AS识别信息、组标识符、站标识符、密钥索引值或者其组合。在一些例子中,组认证密钥和相关联的索引值可以在组成员设备115-h处维持,并用于验证来自加入设备115-g的AuT是有效的。
在520处,组成员设备判断来自加入设备的AuT是否有效(例如,基于从加入设备115-g接收的签名)。如果有效,则在525处,这些设备被认证,这些设备可以进行通信或者以其它方式交换内容。如上面所讨论的,在一些例子中,可以认为初步认证对于设备进行连接以便形成网格网络来说是足够的。在这些例子中,可以将完全认证视作为第二认证,并且将其用作针对这些设备的安全增加措施。
图6示出了根据本公开内容的各个方面,在用于无线通信的站中使用的装置115-i的框图600。在一些例子中,装置115-i可以是参照图1-5所描述的无线站115和/或设备115中的一个或多个的一些方面的例子。装置115-i还可以是或者包括处理器(没有示出)。装置115-i可以包括接收机605、组认证组件610和/或发射机615。这些组件中的每一个可以经由信号604和/或606,来彼此之间进行通信。
装置115-i通过接收机605、组认证组件610和/或发射机615,可以被配置为执行本文所描述的功能。例如,装置115-i可以被配置为管理装置115-i的认证的方面。
装置115-i中的这些组件可以单独地或者统一地使用一个或多个ASIC来实现,其中这些ASIC适于以硬件方式执行这些可应用功能中的一些或者全部。替代地,这些功能可以由一个或多个集成电路上的一个或多个其它处理单元(或者内核)执行。在其它例子中,可以使用其它类型的集成电路(例如,结构化/平台ASIC、FPGA和其它半定制IC),其中这些集成电路可以用本领域已知的任何方式进行编程。此外,每一个组件的功能也可以整体地或者部分地使用指令来实现,其中这些指令体现在存储器中,被格式化成由一个或多个通用或专用处理器来执行。
接收机605可以接收与各种信息信道(例如,控制信道、数据信道等等)相关联的诸如分组、用户数据和/或控制信息之类的信息。接收机605可以被配置为经由链路602,从认证服务器接收与组帐户的建立以及接收相关联的组AuT有关的一个或多个信号、消息等等。接收机605可以被配置为从不同的装置接收与将装置115-i与该不同的装置进行认证有关的信号、消息等等。该不同的装置可以与相同的组相关联。可以将信息传送到组认证组件610,以及装置115-i的其它组件。
组认证组件610可以管理与组成员设备的认证的一个或多个方面。在一些例子中,组认证组件610可以经由接收机605和/或发射机615,与AS进行通信以建立组帐户。AS可以与该组相关联,并管理组AuT生成、管理和分发的方面。因此,组认证组件610可以基于建立组帐户,来接收组AuT。此外,组认证组件610还可以管理将装置115-i与另一个装置(例如,组成员设备)进行认证的方面。在一些方面,组认证组件610可以包括:在认证期间,与组成员设备交换AuT的一个或多个方面,以确认该AuT与适当的组相关联,并且该AuT绑定于该装置115-i。在一些例子中,组认证组件610可以管理AuT版本化的方面,使得准许在具有该组AuT的不同版本的设备之间进行认证。
发射机615可以发送从装置115-i的其它组件接收的一个或多个信号。发射机615可以经由链路608,发送与组建立、组AuT管理和认证相关联的各种信号、消息等等。在一些例子中,发射机615可以与接收机605并置于收发机组件中。发射机615可以包括单个天线,或者其也可以包括多付天线。
图7示出了根据各种示例,在用于无线通信的无线站中使用的装置115-j的框图700。装置115-j可以是参照图1-5所描述的无线站115和/或设备115的一个或多个方面的例子。其还可以是参照图6所描述的装置115-i的例子。装置115-j可以包括接收机605-a、组认证组件610-a和/或发射机615-a,它们可以是装置115-i的相应组件的例子。装置115-j还可以包括处理器(没有示出)。这些组件中的每一个可以经由链路704和/或706,来彼此之间进行通信。组认证组件610-a可以包括组帐户组件705、组AuT组件710和认证组件715。接收机605-a和发射机615-a可以分别执行图6的接收机605和发射机615的功能。
组帐户组件705可以监测、管理或者以其它方式执行与建立和/或维护与AS的组帐户有关的功能。AS可以与该组相关联,并可以对用于与该组相关联的设备的组帐户进行建立、存储等等。组帐户组件705可以分别经由接收机605-a和/或发射机615-a和链路702和708,管理与AS进行通信以生成组帐户的方面,例如,发送与装置115-j相关联的识别信息、与装置115-j的用户相关联的个人信息等等。如先前所讨论的,该组可以与各种各样的共同兴趣或者特征相关联,例如,用于交互式游戏的社交游戏组、位于预定的邻近范围之内的基于位置的用户组、参与共同的活动或者体育的选手组等等。通常而言,组帐户组件705可以生成用于特定的服务的帐户,并接收与参与该组相关联的信息。
组AuT组件710可以监测、管理或者以其它方式执行与用于该组的AuT有关的各种功能。一旦已生成了帐户,则组AuT组件710可以经由接收机605-a和链路702来接收组AuT,以便用于向与该组相关联的其它设备或装置进行认证。如上面所讨论的,组AuT可以包括共同的组秘密,其可以绑定到装置115-j,并且可以在预定的时间限制之内有效。
在一些方面,组AuT组件710可以管理获取更新的组AuT的方面。例如,组AuT组件710可以确定装置115-j何时是连接的,并因此能够与组AS进行通信。因此,组AuT组件710可以与AS进行通信,以获取组AuT的最新版本。在一些方面,组AuT组件710可以从AS中拉取组AuT,和/或AS可以将组AuT推送到组AuT组件710。
在一些方面,组AuT组件710可以管理组AuT的版本化的方面。例如,组AuT组件710可以确定和/或输出用于指示装置115-j正在使用组AuT的哪个版本的信息。
认证组件715可以管理、控制或者以其它方式执行与将装置115-j同另一个设备进行认证有关的各种功能。认证组件715可以使用从组AuT组件710接收的组AuT,并经由发射机615-a和链路708来与组成员设备进行通信,以便在认证期间,交换组AuT的组成部分中的一些或者全部。
类似地,认证组件715可以管理装置115-j对不同的设备进行认证的方面,例如,认证组件715可以接收和验证:来自其它设备的AuT的方面,以验证组成员资格和AuT有效性。
在一些方面,认证组件715可以管理使用不同于组成员设备在使用的版本的组AuT的版本来进行认证的方面。例如,装置115-j可以尝试与具有该组AuT的更近或更旧版本的组成员设备进行认证。认证组件715可以基于用于AuT的版本索引之间的差值、与版本的改变相关联的原因码等等,判断是准许还是拒绝该认证。因此,认证组件715可以允许在无需每个设备具有相同版本的组AuT的情况下进行认证。
在一些方面,认证组件715可以管理两阶段认证的方面。例如,认证组件715可以管理初步认证阶段,其中在该阶段,设备交换组AuT的一部分以确认每个设备与适当的组相关联。如果成功的话,则认证组件715可以管理完全认证阶段,其中在该阶段,使用组AuT来确认每一个设备共享共同的组密钥,并且每一个AuT与相应的设备(例如,装置115-j)捆绑、绑定或者以其它方式关联。
转到图8,示出的图800描绘了被配置用于基于组AuT,在网络中进行认证的无线站115-k。无线站115-k可以具有各种其它配置,并且可以被包括在下面设备中或者是下面设备的一部分:个人计算机(如,膝上型计算机、上网本计算机、平板计算机等等)、蜂窝电话、PDA、数字录像机(DVR)、互联网应用、游戏控制台、电子阅读器等等。无线站115-k可以具有诸如小型电池之类的内部电源(没有示出),以有助于实现移动操作。无线站115-k可以是图1-7的无线站115、设备115和/或装置115的例子。
无线站115-k可以包括处理器805、存储器815、收发机835、天线840、组认证组件825和通信管理组件810。组认证组件825可以是图6或图7的组认证组件610的例子。这些组件中的每一个可以通过至少一个总线845,彼此之间进行直接地或者间接地通信。
存储器815可以包括RAM和ROM。存储器815可以存储包含指令的计算机可读代码、计算机可执行软件(SW)代码820,其中这些指令被配置为:当被执行时,致使处理器805执行本文所描述的用于认证管理的各种功能。或者,软件代码820可以不由处理器805直接执行,而是被配置为(例如,当对其进行编译和执行时)使计算机执行本文所描述的功能。
处理器805可以包括智能硬件设备,例如,CPU、微控制器、ASIC等等。处理器805可以处理通过收发机835所接收的信息,和/或处理要向收发机835发送以便通过天线840进行传输的信息。处理器805可以单独地或者结合组认证组件825,来处理与一个组相关联的设备之间的对等认证的各个方面。
收发机835可以被配置为与图1中的AP 105和/或与图1-7的其它无线站115、设备115和/或装置进行双向通信。收发机835可以实现成至少一个发射机组件和至少一个分别的接收机组件。收发机835可以包括调制解调器,后者被配置为对分组进行调制,并将调制后的分组提供给天线840以进行传输,以及对从天线840接收的分组进行解调。虽然无线站115-k可以包括单个天线,但可以存在无线站115-k可以包括多付天线840的方面。
根据图8的体系结构,无线站115-k还可以包括通信管理组件810。通信管理组件810可以管理与各个接入点的通信。通信管理组件810可以是通过至少一个总线845,与无线站115-k的其它组件中的一些或者全部进行通信的该无线站115-k的一个组件。替代地,可以将通信管理组件810的功能实现成收发机835的一个组件、实现成计算机程序产品、和/或实现成处理器805的至少一个控制器元件。
无线站115-k的组件可以被配置为实现上面参照图1-7所讨论的方面,为了简短起见,这里不再重复这些方面。
图9是示出了根据本公开内容的各个方面,用于无线通信的方法900的例子的流程图。为了清楚说明起见,下面参照通过图1所描述的无线站中的一个或多个的方面、和/或参照图2-8所描述的设备和/或装置中的一个或多个的方面来描述方法900。在一些例子中,无线站可以执行一个或多个代码集来控制该无线站的功能单元,以执行下面所描述的功能。另外地或替代地,无线站可以使用特殊用途硬件,来执行下面所描述的功能中的一个或多个。
在方框905处,方法900可以包括:与认证服务器(AS)建立组帐户。AS可以与组(例如,共享至少一些共同的兴趣、特征、功能等等的一个或多个设备的集合)相关联。该帐户可以由寻求加入该组的设备来建立,例如,经由登入过程(其中在该过程中,与该设备相关联的信息,以及在一些例子中,和与该设备相关联的用户相关的信息被提供给AS)。在方框910处,可以从AS接收组AuT。该组AuT可以与组相关联,因此,其可以将建立组帐户的设备标识成该组的成员。该组AuT可以包括与AS、该设备、该组等等相关联的各个组成部分。
在方框915处,设备可以与组成员设备(例如,已经登入并是该组的成员的第二设备)进行认证。该认证可以是基于在帐户建立过程期间接收的组AuT,和/或基于随后接收的更新的组AuT。在一些方面,加入设备(寻求加入该组和/或连接到组成员设备的设备)可以在认证过程期间,交换组AuT的一个或多个组成部分,以确认每一个设备是适当的组的成员,以及每一个组AuT与相应的设备相关联。
方框905、910和/或915处的操作可以使用参照图6-8所描述的组认证组件610来执行。
因此,方法900可以提供无线通信。应当注意的是,方法900仅仅只是一种实现,可以对方法900的操作进行重新排列或者以其它方式修改,使得其它实现也是可能的。
图10是示出了根据本公开内容的各个方面,用于无线通信的方法1000的例子的流程图。为了清楚说明起见,下面参照通过图1所描述的无线站中的一个或多个的方面、和/或参照图2-8所描述的设备和/或装置中的一个或多个的方面来描述方法1000。在一些例子中,无线站可以执行一个或多个代码集来控制该无线站的功能单元,以执行下面所描述的功能。另外地或替代地,无线站可以使用特殊用途硬件,来执行下面所描述的功能中的一个或多个。
在方框1005处,方法1000可以包括:与认证服务器(AS)建立组帐户。AS可以与组(例如,共享至少一些共同的兴趣、特征、功能等等的一个或多个设备的集合)相关联。该帐户可以由寻求加入该组的设备来建立,例如,经由登入过程(其中在该过程中,与该设备相关联的信息,以及在一些例子中,和与该设备相关联的用户有关的信息被提供给AS)。在方框1010处,可以从AS接收组AuT。该组AuT可以与组相关联,并因此,其可以将建立组帐户的设备标识成该组的成员。该组AuT可以包括与AS、该设备、该组等等相关联的各个组成部分。
在一些方面,AS可以在调度或非调度的基础上,对组AuT进行改变(例如,由于调度的翻转、由于密钥破解等等)。因此,每一个更新的组AuT可以包括对组AuT的版本的指示(例如,版本索引)。版本化信息单独地或者结合其它信息,可以准许组AuT由设备进行使用,并提供具有不同的版本组AuT的设备之间的认证。
在方框1015处,设备可以与组成员设备(例如,已经进行登入并是该组的成员的第二设备)进行认证。但是,该组成员设备可能使用与加入设备所使用的AuT的版本相比相同、更近或者更旧的组AuT来进行认证。在一些例子中,设备可以基于AuT是在预定数量的版本间距之内(例如,一个版本之内),来彼此之间进行认证。在一些例子中,每一个组AuT都可以包括该组AuT为何发生改变的指示,基于该原因,设备可以接受或者拒绝认证。版本化可以准许在这些设备中的一个没有连接到AS的情况下,进行设备认证,并因此准许在无需每个设备都具有相同的组AuT的情况下,进行大规模的网络部署。
方框1005、1010和/或1015处的操作可以使用参照图6-8所描述的组认证组件610来执行。
因此,方法1000可以提供无线通信。应当注意的是,方法1000仅仅只是一种实现,可以对方法1000的操作进行重新排列或者以其它方式修改,使得其它实现也是可能的。
图11是示出了根据本公开内容的各个方面,用于无线通信的方法1100的例子的流程图。为了清楚说明起见,下面参照通过图1所描述的无线站中的一个或多个的方面、和/或参照图2-8所描述的设备和/或装置中的一个或多个的方面来描述方法1100。在一些例子中,无线站可以执行一个或多个代码集来控制该无线站的功能单元,以执行下面所描述的功能。另外地或替代地,无线站可以使用特殊用途硬件,来执行下面所描述的功能中的一个或多个。
在方框1105处,方法1100可以包括:与认证服务器(AS)建立组帐户。AS可以与组(例如,共享至少一些共同的兴趣、特征、功能等等的一个或多个设备的集合)相关联。该帐户可以由寻求加入该组的设备来建立,例如,经由登入过程(其中在该过程中,与该设备相关联的信息,以及在一些例子中,和与该设备相关联的用户相关的信息被提供给AS)。在方框1110处,可以从AS接收组AuT。该组AuT可以与组相关联,并因此,其可以将建立组帐户的设备标识成该组的成员。
在方框1115处,设备可以完成与组成员设备的初步认证。该初步认证可以提供:加入设备AuT与正确的组相关联的确认。在一些例子中,设备可以交换组AuT中用于指示该组的组成部分(例如,组标识符)。该初步认证可以向设备提供一种快速和简单的机会,以便拒绝不属于该组的加入设备。
在方框1120处,设备可以完成与组成员设备的完全认证。该完全认证可以包括:交换组AuT的另外组成部分,以及在一些方面,提供该组AuT与相应的设备相关联的确认。例如,该组AuT可以包括对于该加入设备来说唯一的信息,因此,完全认证可以提供该组AuT没有被传送给不同的设备的确认。
在一些方面,上面所讨论的组AuT版本化特征,也可以应用于图1100的两阶段认证过程。举一个例子,该版本化信息可以在初步认证阶段期间进行交换,并且基于版本、针对密钥改变的原因等等,可以进行简单的接受/拒绝确定。在另一个例子中,可以在完全认证过程期间,交换该版本化信息。
方框1105、1110、1115和/或1120处的操作可以使用参照图6-8所描述的组认证组件610来执行。
因此,方法1100可以提供无线通信。应当注意的是,方法1100仅仅只是一种实现,可以对方法1100的操作进行重新排列或者以其它方式修改,使得其它实现也是可能的。
图12是示出了根据本公开内容的各个方面,用于无线通信的方法1200的例子的流程图。为了清楚说明起见,下面参照通过图1所描述的无线站中的一个或多个的方面、和/或参照图2-8所描述的设备和/或装置中的一个或多个的方面来描述方法1200。在一些例子中,无线站可以执行一个或多个代码集来控制该无线站的功能单元,以执行下面所描述的功能。另外地或替代地,无线站可以使用特殊用途硬件,来执行下面所描述的功能中的一个或多个。
在方框1205处,方法1200可以包括:与认证服务器(AS)建立组帐户。AS可以与组(例如,共享至少一些共同的兴趣、特征、功能等等的一个或多个设备的集合)相关联。该帐户可以由寻求加入该组的设备来建立,例如,经由登入过程(其中在该过程中,与该设备相关联的信息,以及在一些例子中,和与该设备相关联的用户相关的信息被提供给AS)。在方框1210处,可以从AS接收组AuT。该组AuT可以与组相关联,因此,其可以将建立组帐户的设备标识成该组的成员。在方框1215处,设备可以发起与组成员设备的认证过程。
在方框1220处,该认证过程可以包括:判断该组AuT是否与组成员设备使用的组AuT具有相同的版本。例如,加入设备和组成员设备可以交换用于组AuT的版本索引等等其它信息,以判断在这些版本中是否存在差异性。如果组AuT具有相同的版本索引,则方法1200可以包括:在方框1225处,与该组成员设备进行认证,例如,确认该组AuT与适当的组相关联,并且确认该组AuT绑定到该加入设备。
如果组AuT版本不相同,则方法1200可以进行到方框1230处,其中,对原因码进行检查,以判断其是否是允许的。例如,指示该组AuT的改变(以及版本索引的改变)是由于密钥破解的原因码,可以是拒绝具有不同的版本的组AuT的理由。相比之下,指示该组AuT的改变是由于定期调度更改的原因码,可以是接受具有不同的版本的组AuT的理由。因此,设备可以确定针对它们相应的组AuT的不同的版本索引的原因,并基于该确定,判断是否继续进行认证。如果原因码是不允许的,则方法1200可以进行到方框1235处,其中,认证被拒绝。
方框1205、1210、1215、1220、1225、1230和/或1235处的操作可以使用参照图6-8所描述的组认证组件610来执行。
因此,方法1200可以提供无线通信。应当注意的是,方法1200仅仅只是一种实现,可以对方法1200的操作进行重新排列或者以其它方式修改,使得其它实现也是可能的。
在一些例子中,可以对方法900-1200中的两个或更多的方面进行组合。应当注意的是,方法900、1000、1100等等仅仅只是示例性实现,可以对方法900-1200的操作进行重新排列或者以其它方式修改,使得其它实现也是可能的。
上面结合附图阐述的具体实施方式描述了一些示例,但其并不表示仅仅这些示例是可以实现的,也不表示仅仅这些示例落入权利要求书的保护范围之内。如本说明书中所使用的术语“示例”和“示例性”意味着“用作例子、例证或说明”,但并不意味着比其它示例“更优选”或“更具优势”。出于提供所描述技术的透彻理解的目的,具体实施方式包括特定细节。但是,可以在不使用这些特定细节的情况下实现这些技术。在一些实例中,为了避免对所描述的示例的概念造成模糊,以框图形式示出了公知的结构和装置。
可以使用多种不同的技术和方法中的任意一种来表示信息和信号。例如,在贯穿上面的描述中提及的数据、指令、命令、信息、信号、比特、符号和码片可以用电压、电流、电磁波、磁场或粒子、光场或粒子或者其任意组合来表示。
可以用被设计用于执行本文所述功能的通用处理器、数字信号处理器(DSP)、ASIC、FPGA或其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意组合,来实现或执行结合本文所公开内容描述的各种示例性框和组件。通用处理器可以是微处理器,或者,该处理器也可以是任何常规的处理器、控制器、微控制器或者状态机。处理器也可以实现为计算设备的组合(例如,DSP和微处理器的组合、若干微处理器、一个或多个微处理器与DSP内核的结合,或者任何其它此种结构)。
本文所述功能可以用硬件、处理器执行的软件、固件或者其任意组合的方式来实现。当用处理器执行的软件实现时,可以将这些功能存储在计算机可读介质上,或者作为计算机可读介质上的一个或多个指令或代码进行传输。其它示例和实现也落入本公开内容及其所附权利要求书的保护范围和精神之内。例如,由于软件的性质,上文所描述的功能可以使用由处理器执行的软件、硬件、固件、硬件连线或者其任意组合来实现。此外,用于实现功能的特征可以物理地位于多个位置处,其包括分布的,使得功能的各部分是在不同的物理位置处实现的。如本文(其包括权利要求书)所使用的,当在两个或更多项的列表中使用术语“和/或”时,其意味着可以独自地使用所列出的项中的任何一个,或者可以使用所列出的项中的两个或更多的任意组合。例如,如果将一个复合体描述成包含组件A、B和/或C,则该复合体可以只包含A;只包含B;只包含C;A和B的组合;A和C的组合;B和C的组合;或者A、B和C的组合。此外,如本文(其包括权利要求书)所使用的,如项目列表中所使用的“或”(例如,以诸如“中的至少一个”或“中的一个或多个”之类的短语为结束的项目列表)指示分离性列表,使得例如,列表“A、B或C中的至少一个”意味着:A或B或C或AB或AC或BC或ABC(即,A和B和C)。
计算机可读介质包括计算机存储介质和通信介质二者,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或特殊用途计算机能够存取的任何可用介质。举例而言,但非做出限制,计算机可读介质可以包括RAM、ROM、EEPROM、闪存、CD-ROM或者其它光盘存储器、磁盘存储器或其它磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码单元并能够由通用或特殊用途计算机、或者通用或特殊用途处理器进行存取的任何其它介质。此外,可以将任何连接适当地称作计算机可读介质。举例而言,如果软件是使用同轴电缆、光纤光缆、双绞线、数字用户线路(DSL)或者诸如红外线、无线和微波之类的无线技术,从网站、服务器或其它远程源传输的,那么所述同轴电缆、光纤光缆、双绞线、DSL或者诸如红外线、无线和微波之类的无线技术包括在所述介质的定义中。如本文所使用的,磁盘和光盘包括压缩光盘(CD)、激光盘、光盘、数字通用光盘(DVD)、软盘和蓝光盘,其中磁盘通常磁性地复制数据,而光盘则用激光来光学地复制数据。上述的组合也包括在计算机可读介质的保护范围之内。
为使本领域任何普通技术人员能够实施或者使用本公开内容,上面围绕本公开内容进行了描述。对于本领域普通技术人员来说,对本公开内容进行各种修改将是显而易见的,并且,本文定义的总体原理也可以在不脱离本公开内容的保护范围的基础上适用于其它变型。因此,本公开内容并不限于本文所描述的例子和设计方案,而是符合与本文公开的原理和新颖性特征相一致的最广范围。
Claims (30)
1.一种用于无线通信的方法,包括:
由加入一个组的第一设备与认证服务器建立组帐户,所述认证服务器与所述组相关联;
从所述认证服务器接收组认证令牌,所述组认证令牌与建立的组帐户相关联;以及
至少部分地基于所述组认证令牌,与网络的第二设备进行认证,所述第二设备是所述组的成员。
2.根据权利要求1所述的方法,还包括:
当处于与所述认证服务器的连接状态时,建立所述组帐户和接收所述组认证令牌;以及
当处于与所述认证服务器的断开状态时,与所述第二设备进行认证。
3.根据权利要求1所述的方法,还包括:
至少部分地基于所述第二设备确认所述组认证令牌与所述组相关联,完成与所述第二设备的第一认证;以及
至少部分地基于所述第二设备确认所述组认证令牌与所述第一设备相关联,完成与所述第二设备的第二认证。
4.根据权利要求1所述的方法,还包括:
以定期调度、非定期调度或者其组合中的一种方式,从所述认证服务器接收更新的组认证令牌。
5.根据权利要求4所述的方法,其中,每一个接收的组认证令牌和更新的组认证令牌包括与特定的组认证令牌的版本相关联的版本索引,并且其中,与所述第二设备进行认证包括:
使用与所述第二设备为了进行认证所使用的组认证令牌相比具有不同版本的组认证令牌,与所述第二设备进行认证。
6.根据权利要求5所述的方法,还包括:
使用与所述第二设备所使用的组认证令牌版本相比具有更近的版本的所述组认证令牌,与所述第二设备进行认证。
7.根据权利要求5所述的方法,还包括:
使用与所述第二设备所使用的组认证令牌版本相比具有更旧的版本的所述组认证令牌,与所述第二设备进行认证。
8.根据权利要求5所述的方法,其中,每一个更新的组认证令牌包括用于指示所述组认证令牌被更新的原因的原因码。
9.根据权利要求8所述的方法,其中,至少一个原因码禁止所述第一设备使用具有不同版本的所述组认证令牌与所述第二设备进行认证。
10.根据权利要求8所述的方法,其中,至少一个原因码准许所述第一设备使用具有不同版本的所述组认证令牌与所述第二设备进行认证。
11.根据权利要求1所述的方法,其中,所述组认证令牌包括下面中的一项:与所述组相关联的组标识符、认证服务器标识符、第一设备标识符、组认证密钥、与所述组认证密钥相关联的版本索引、定时信息字段或者其组合。
12.根据权利要求1所述的方法,其中,所述组认证令牌在预定的时间段内有效。
13.根据权利要求1所述的方法,其中,所述网络是网格网络。
14.根据权利要求1所述的方法,其中,所述网络是社交Wi-Fi网格网络。
15.一种用于无线通信的装置,包括:
处理器;
与所述处理器进行电通信的存储器;以及
存储在所述存储器中的指令,所述指令可由所述处理器执行以进行以下操作:
通过加入一个组的第一设备与认证服务器建立组帐户,所述认证服务器与所述组相关联;
从所述认证服务器接收组认证令牌,所述组认证令牌与建立的组帐户相关联;以及
至少部分地基于所述组认证令牌与网络的第二设备进行认证,所述第二设备是所述组的成员。
16.根据权利要求15所述的装置,还包括可由所述处理器执行以进行以下操作的指令:
当处于与所述认证服务器的连接状态时,建立所述组帐户和接收所述组认证令牌;以及
当处于与所述认证服务器的断开状态时,与所述第二设备进行认证。
17.根据权利要求15所述的装置,还包括可由所述处理器执行以进行以下操作的指令:
至少部分地基于所述第二设备确认所述组认证令牌与所述组相关联,完成与所述第二设备的第一认证;以及
至少部分地基于所述第二设备确认所述组认证令牌与所述第一设备相关联,完成与所述第二设备的第二认证。
18.根据权利要求15所述的装置,还包括可由所述处理器执行以进行以下操作的指令:
以定期调度、非定期调度或者其组合中的一种方式,从所述认证服务器接收更新的组认证令牌。
19.根据权利要求18所述的装置,其中,每一个接收的组认证令牌和更新的组认证令牌包括与特定的组认证令牌的版本相关联的版本索引,并且其中,用于与所述第二设备进行认证的指令可进一步由所述处理器执行以进行以下操作:
使用与所述第二设备为了进行认证所使用的组认证令牌相比具有不同版本的组认证令牌,与所述第二设备进行认证。
20.根据权利要求19所述的装置,还包括可由所述处理器执行以进行以下操作的指令:
使用与所述第二设备所使用的组认证令牌版本相比具有更近的版本的所述组认证令牌,与所述第二设备进行认证。
21.根据权利要求19所述的装置,还包括可由所述处理器执行以进行以下操作的指令:
使用与所述第二设备所使用的组认证令牌版本相比具有更旧的版本的所述组认证令牌,与所述第二设备进行认证。
22.根据权利要求19所述的装置,其中,每一个更新的组认证令牌包括用于指示所述组认证令牌被更新的原因的原因码。
23.根据权利要求22所述的装置,其中,至少一个原因码禁止所述第一设备使用具有不同版本的所述组认证令牌与所述第二设备进行认证。
24.根据权利要求22所述的装置,其中,至少一个原因码准许所述第一设备使用具有不同版本的所述组认证令牌与所述第二设备进行认证。
25.根据权利要求15所述的装置,其中,所述组认证令牌包括下面中的一项:与所述组相关联的组标识符、认证服务器标识符、第一设备标识符、组认证密钥、与所述组认证密钥相关联的版本索引、定时信息字段或者其组合。
26.根据权利要求15所述的装置,其中,所述组认证令牌在预定的时间段内有效。
27.根据权利要求15所述的装置,其中,所述网络是社交Wi-Fi网格网络。
28.一种用于无线通信的装置,包括:
用于通过加入一个组的第一设备与认证服务器建立组帐户的单元,所述认证服务器与所述组相关联;
用于从所述认证服务器接收组认证令牌的单元,所述组认证令牌与建立的组帐户相关联;以及
用于至少部分地基于所述组认证令牌,与网络的第二设备进行认证的单元,所述第二设备是所述组的成员。
29.根据权利要求28所述的装置,还包括:
用于当处于与所述认证服务器的连接状态时,建立所述组帐户和接收所述组认证令牌的单元;以及
用于当处于与所述认证服务器的断开状态时,与所述第二设备进行认证的单元。
30.一种存储用于无线通信的计算机可执行代码的非临时性计算机可读介质,所述代码可由处理器执行以进行以下操作:
通过加入一个组的第一设备与认证服务器建立组帐户,所述认证服务器与所述组相关联;
从所述认证服务器接收组认证令牌,所述组认证令牌与建立的组帐户相关联;以及
至少部分地基于所述组认证令牌,与网络的第二设备进行认证,所述第二设备是所述组的成员。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/539,275 US10034169B2 (en) | 2014-11-12 | 2014-11-12 | Method to authenticate peers in an infrastructure-less peer-to-peer network |
US14/539,275 | 2014-11-12 | ||
PCT/US2015/055465 WO2016077013A1 (en) | 2014-11-12 | 2015-10-14 | Method to authenticate peers in an infrastructure-less peer-to-peer network |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107148788A true CN107148788A (zh) | 2017-09-08 |
Family
ID=54365378
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201580061027.4A Pending CN107148788A (zh) | 2014-11-12 | 2015-10-14 | 用于认证无基础设施对等网络中的对等体的方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US10034169B2 (zh) |
EP (1) | EP3219069A1 (zh) |
JP (1) | JP2017534217A (zh) |
CN (1) | CN107148788A (zh) |
WO (1) | WO2016077013A1 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108989325A (zh) * | 2018-08-03 | 2018-12-11 | 华数传媒网络有限公司 | 加密通信方法、装置及系统 |
CN110460567A (zh) * | 2019-06-28 | 2019-11-15 | 华为技术有限公司 | 一种身份鉴权方法及装置 |
WO2021068258A1 (zh) * | 2019-10-12 | 2021-04-15 | 华为技术有限公司 | 获得安全参数的方法及装置 |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10098168B2 (en) * | 2014-12-08 | 2018-10-09 | Apple Inc. | Neighbor awareness networking datapath |
US10791093B2 (en) * | 2016-04-29 | 2020-09-29 | Avago Technologies International Sales Pte. Limited | Home network traffic isolation |
US10257666B2 (en) * | 2016-05-18 | 2019-04-09 | Intel IP Corporation | Apparatus, system and method of terminating a neighbor awareness networking (NAN) path |
US10367792B2 (en) * | 2016-08-25 | 2019-07-30 | Orion Labs | End-to end encryption for personal communication nodes |
US9980135B2 (en) | 2016-09-12 | 2018-05-22 | Qualcomm Incorporated | Managing security for a mobile communication device |
DE102016219204A1 (de) * | 2016-10-04 | 2018-04-05 | Mbda Deutschland Gmbh | Komponente für eine sicherheitskritische funktionskette |
EP3379766B1 (en) | 2017-03-20 | 2019-06-26 | Huawei Technologies Co., Ltd. | A wireless communication device for communication in a wireless communication network |
US10944557B2 (en) * | 2018-04-25 | 2021-03-09 | Nxp B.V. | Secure activation of functionality in a data processing system |
JP7109295B2 (ja) * | 2018-07-27 | 2022-07-29 | キヤノン株式会社 | 認証システム、認証装置、被認証装置及び画像形成装置 |
US11432138B1 (en) * | 2018-10-24 | 2022-08-30 | Nxp Usa, Inc. | Secure communications among access points |
US11129022B2 (en) * | 2018-11-19 | 2021-09-21 | Cisco Technology, Inc. | Wireless LAN deployment based on mapped password SAE authentication |
US11683262B2 (en) * | 2019-11-26 | 2023-06-20 | Cisco Technology, Inc. | Group-based policies for inter-domain traffic |
US11467848B2 (en) * | 2020-05-07 | 2022-10-11 | Capital One Services, Llc | Portable operating system and portable user data |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1396979A2 (en) * | 2002-09-04 | 2004-03-10 | Secure Computing Corporation | System and method for secure group communications |
CN1823492A (zh) * | 2003-05-27 | 2006-08-23 | 诺基亚公司 | 对等环境中的用户交互作用系统和方法 |
US7234058B1 (en) * | 2002-08-27 | 2007-06-19 | Cisco Technology, Inc. | Method and apparatus for generating pairwise cryptographic transforms based on group keys |
CN101124770A (zh) * | 2004-12-30 | 2008-02-13 | 诺基亚公司 | 在多播组中检测欺诈成员的系统、方法和计算机程序产品 |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6947725B2 (en) | 2002-03-04 | 2005-09-20 | Microsoft Corporation | Mobile authentication system with reduced authentication delay |
US7266201B1 (en) * | 2002-09-17 | 2007-09-04 | Foundry Networks, Inc. | Non-disruptive authentication administration |
BRPI0415314B8 (pt) * | 2003-10-14 | 2018-05-02 | Magnus Nystroem | método e arranjo para gerenciar gerações de informação de código de segurança em um ambiente de informação, e, entidades consumidora e de produção de código de segurança em um ambiente de informação |
US7581093B2 (en) | 2003-12-22 | 2009-08-25 | Nortel Networks Limited | Hitless manual cryptographic key refresh in secure packet networks |
WO2007000179A1 (en) | 2005-06-29 | 2007-01-04 | Telecom Italia S.P.A. | Short authentication procedure in wireless data communications networks |
US7756924B2 (en) * | 2005-12-21 | 2010-07-13 | Microsoft Corporation | Peer communities |
KR20080004165A (ko) | 2006-07-05 | 2008-01-09 | 삼성전자주식회사 | 브로드캐스트 암호화를 이용한 디바이스 인증 방법 |
US8572387B2 (en) * | 2006-07-26 | 2013-10-29 | Panasonic Corporation | Authentication of a peer in a peer-to-peer network |
US8059819B2 (en) * | 2007-01-17 | 2011-11-15 | Panasonic Electric Works Co., Ltd. | Systems and methods for distributing updates for a key at a maximum rekey rate |
US9198033B2 (en) | 2007-09-27 | 2015-11-24 | Alcatel Lucent | Method and apparatus for authenticating nodes in a wireless network |
CN100584117C (zh) | 2008-12-16 | 2010-01-20 | 北京工业大学 | 无线Mesh网络中安全有效的即时认证方法 |
US8325924B2 (en) * | 2009-02-19 | 2012-12-04 | Microsoft Corporation | Managing group keys |
CN102215474B (zh) | 2010-04-12 | 2014-11-05 | 华为技术有限公司 | 对通信设备进行认证的方法和装置 |
US8959607B2 (en) | 2011-08-03 | 2015-02-17 | Cisco Technology, Inc. | Group key management and authentication schemes for mesh networks |
US20130179951A1 (en) * | 2012-01-06 | 2013-07-11 | Ioannis Broustis | Methods And Apparatuses For Maintaining Secure Communication Between A Group Of Users In A Social Network |
-
2014
- 2014-11-12 US US14/539,275 patent/US10034169B2/en not_active Expired - Fee Related
-
2015
- 2015-10-14 WO PCT/US2015/055465 patent/WO2016077013A1/en active Application Filing
- 2015-10-14 JP JP2017525352A patent/JP2017534217A/ja active Pending
- 2015-10-14 EP EP15788262.2A patent/EP3219069A1/en not_active Withdrawn
- 2015-10-14 CN CN201580061027.4A patent/CN107148788A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7234058B1 (en) * | 2002-08-27 | 2007-06-19 | Cisco Technology, Inc. | Method and apparatus for generating pairwise cryptographic transforms based on group keys |
EP1396979A2 (en) * | 2002-09-04 | 2004-03-10 | Secure Computing Corporation | System and method for secure group communications |
CN1823492A (zh) * | 2003-05-27 | 2006-08-23 | 诺基亚公司 | 对等环境中的用户交互作用系统和方法 |
CN101124770A (zh) * | 2004-12-30 | 2008-02-13 | 诺基亚公司 | 在多播组中检测欺诈成员的系统、方法和计算机程序产品 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108989325A (zh) * | 2018-08-03 | 2018-12-11 | 华数传媒网络有限公司 | 加密通信方法、装置及系统 |
CN110460567A (zh) * | 2019-06-28 | 2019-11-15 | 华为技术有限公司 | 一种身份鉴权方法及装置 |
WO2021068258A1 (zh) * | 2019-10-12 | 2021-04-15 | 华为技术有限公司 | 获得安全参数的方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
US20160135045A1 (en) | 2016-05-12 |
EP3219069A1 (en) | 2017-09-20 |
JP2017534217A (ja) | 2017-11-16 |
WO2016077013A1 (en) | 2016-05-19 |
US10034169B2 (en) | 2018-07-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107148788A (zh) | 用于认证无基础设施对等网络中的对等体的方法 | |
CN106471514B (zh) | 安全无线充电 | |
US20220245724A1 (en) | Securing distributed electronic wallet shares | |
US11386420B2 (en) | Contextual authentication of an electronic wallet | |
CN105379190B (zh) | 用于指示服务集标识符的系统和方法 | |
CN108876365B (zh) | 一种生成区块发布机制的智能合约 | |
US20190034919A1 (en) | Securing Electronic Wallet Transactions | |
US20190034917A1 (en) | Tracking an Electronic Wallet Using Radio Frequency Identification (RFID) | |
EP1536609B1 (en) | Systems and methods for authenticating communications in a network | |
US20210329453A1 (en) | Blockchain based wireless access point password management | |
CN105684344B (zh) | 一种密钥配置方法和装置 | |
CN103427992B (zh) | 用于在网络中的节点之间建立安全通信的方法和系统 | |
CN102111766B (zh) | 网络接入方法、装置及系统 | |
US20190053052A1 (en) | Systems and Methods for Authentication | |
CN109479049A (zh) | 用于密钥供应委托的系统、设备和方法 | |
CN112752236B (zh) | 一种基于区块链的网联汽车认证方法、设备及储存介质 | |
KR20120055683A (ko) | 표현들의 소유권을 유도, 통신 및/또는 검증하기 위한 방법들 및 장치 | |
WO2011006341A1 (zh) | 一种传感器网络鉴别与密钥管理机制的融合方法 | |
TW201016043A (en) | Ticket-based configuration parameters validation | |
CN101610515A (zh) | 一种基于wapi的认证系统及方法 | |
CN104506527A (zh) | 多维信息指针平台及其数据访问方法 | |
CN104871168A (zh) | 不受信任的设备上的资源保护 | |
WO2019101156A1 (zh) | 一种设备控制方法及其相关设备 | |
CN110071813A (zh) | 一种账户权限更改方法系统、账户平台和用户终端 | |
CN108076016A (zh) | 车载设备之间的认证方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170908 |