CN107409048A - 基于公钥的网络 - Google Patents
基于公钥的网络 Download PDFInfo
- Publication number
- CN107409048A CN107409048A CN201580076989.7A CN201580076989A CN107409048A CN 107409048 A CN107409048 A CN 107409048A CN 201580076989 A CN201580076989 A CN 201580076989A CN 107409048 A CN107409048 A CN 107409048A
- Authority
- CN
- China
- Prior art keywords
- node
- public key
- node device
- manager
- node manager
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/77—Graphical identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
提供了用于将节点设备与网络域相关联的机制。该方法由节点管理器执行。方法包括获取节点设备的身份,其中,所述身份指示所述节点设备的公钥。方法包括至少临时存储节点设备的公钥。方法包括广播节点管理器的随机数质询和公钥。方法包括从节点设备接收节点管理器的随机数质询和公钥,这二者均由节点设备的私钥签名。
Description
技术领域
本文提出的实施例涉及基于公钥的网络,且具体地涉及用于将节点设备与网络域相关联的方法、节点管理器、节点设备、计算机程序和计算机程序产品。
背景技术
一般而言,通信网络是用拓扑结构来构建的。拓扑结构是通信网络的各种元素(链路、节点、设备等)的布置。拓扑结构可以表示通信网络的物理外观和/或逻辑功能。物理拓扑结构是通信网络的各种组件的放置,例如与设备位置和线缆安装相关,而逻辑拓扑结构表示通信网络内的数据流,而不管其物理设计如何。因此,节点之间的距离、物理互连、传输速率或信号类型在两个通信网络之间可能不同,但是它们的拓扑结构可能是相同的,并且一个拓扑结构可以分布在多个节点上。
网络认证和授权机制传统上是集中式的。分布式网络拓扑结构在其所有功能被分布时具有最大的适应能力。因此,拥有分布在通信网络中所有(或多个)节点上的认证和授权机制可能是有用的。
在通信网络上存在许多已知的攻击(不管通信网络是否是分布式的)。下面列出了一些常见的攻击类型。然而,如本领域技术人员所理解的,这仅仅是可能够在通信网络中发生的攻击的少数示例。攻击者可能会伪造另一个节点的身份。攻击者可能会在信息到达目的地之前改变信息。攻击者可能窃听其他节点的通信。攻击者可能会将加密或未知的通信重传给节点,以导致某些行为在目标节点上重复。
可以使用两个通信节点之间的加密信道来防止基于被动窃听的网络攻击。
公钥密码术(也称为非对称密码术)是一类加密算法,它要求每个节点具有两个单独的密钥,其中一个密钥是秘密的(或私密的),表示为私钥,且其中一个密钥是公开的,表示为公钥。为了能够将加密的消息分发(或中继)到正确的目的地节点,且为了能够在使用公钥的过程中验证消息的真实性,至关重要的是(正在中继加密的消息的)所有节点知道发送节点的公钥。
一般而言,网格网络是其中每个节点均中继网络的数据的网络拓扑结构。所有节点在网络中的数据分发中合作。网格网络中的节点称为网格节点。因此,给定网格网络中的每个节点可能需要知道该给定网格网络中所有其他节点的公钥。传统上这是使用公钥基础设施实现的。一般而言,可以通过创建、管理、分布、使用、存储和撤销数字证书所需的硬件、软件、策略和/或过程的集合来提供公钥基础设施(PKI)。PKI传统上基于集中式的节点证明所有其他节点的证书的真实性。通过使用根证书来对节点的公钥进行加密签名,以实现认证。现有的基于PKI的方案是集中式的,且因此对网络攻击和从其他网络断开连接而言具有较低适应能力。
另一种可能性是使用对称密码术,这意味着所有节点共享公共秘密来加密和解密网络中的所有消息。一般而言,对称密码学中使用的对称密钥算法是使用相同的加密密钥来进行明文加密和密文解密的密码学的算法。密钥可以是相同的,或者在两个密钥之间可存在简单的转换。实际上,该密钥表示可用于维护私密信息链路的两个或多个节点之间的共享秘密。
传统上使用密码随机数(客户端随机数(cnonce))缓解了上述的重传攻击。一般而言,随机数(nonce)可以被认为是随机数字身份,其在加密会话中仅被使用一次以用于识别在通过密码信道发送查询和响应时正被响应的消息。通过使用随机数,攻击者在实际中通常几乎不可能再次“重放”相同的数据分组以再现相同的结果。
节点到节点通信中使用的另一个概念是共享公共秘密。虽然这个概念适于小规模应用,但是其尺寸不能很好地扩缩,并因此对于大量的节点(其中更可能发生数据泄漏)而言是不实际的。如果一个节点将共享秘密泄漏给攻击者,则所有节点的隐私都会受到损害。共享秘密方法缺乏认证身份管理;这意味着节点不能被安全地单独识别。
分布式散列表(DHT)是冗余地存储在分布式网络中的许多节点上的共享数据库。每个条目可被存储为包括密钥和值的对。节点可以使用命令FindNode来请求DHT中节点身份的列表。节点可以使用命令Ping来验证节点可用性。节点可以使用命令AnnouncePeer来将条目写入到DHT并共享。节点可以使用GetPeers命令从DHT中读取其他节点的数据。每个节点存储包含相邻节点的节点标识符的路由表。如果节点接收到针对不在其任何本地DHT中的节点的FindNode请求,它可以用整个本地DHT进行答复。这样做是为了允许查询节点在网络中扩展其搜索。
一种使用分布式散列表的方法是P2P SIP,例如参见存在于http://kundansingh.com/papers/draft-singh-p2p-sip-00.txt(链接于2015年2月10日验证)处的题为“Data format and interface to an external peer-to-peer network for SIPlocation service draft-singh-p2p-sip-00”的论文。该论文解决了在没有证书颁发机构的情况下DHT中的会话发起协议(SIP)和密钥存储。
因此,仍然需要改进的基于公钥的网络。
发明内容
本文实施例的目的是提供一种高效的基于公钥的网络。
根据第一方案,提出一种用于将节点设备与网络域相关联的方法。该方法由节点管理器执行。该方法包括获取节点设备的身份,其中,所述身份指示所述节点设备的公钥。该方法包括至少临时存储节点设备的公钥。该方法包括广播所述节点管理器的随机数质询和公钥。该方法包括从节点设备接收节点管理器的随机数质询和公钥,二者均由节点设备的私钥签名。
有利地,这提供了一种高效的基于公钥的网络。
有利地,这提供了一种用于将节点设备与网络域相关联的安全和分布式机制。
与PKI相比,如果发生网络干扰或攻击,所提出的公钥基础设施机制具有较高的可用性。与普通共享秘密方法相比,所提出的公钥基础设施机制提供了单独的端到端私密而不是共享私密。
根据第二方面,提出一种用于将节点设备与网络域相关联的节点管理器。节点管理器包括处理单元。所述处理单元被配置为使所述节点管理器获取所述节点设备的身份,其中,所述身份指示所述节点设备的公钥。所述处理单元被配置为使所述节点管理器至少临时存储所述节点设备的公钥。所述处理单元被配置为使所述节点管理器广播所述节点管理器的随机数质询和公钥。所述处理单元被配置为使所述节点管理器从所述节点设备接收所述节点管理器的随机数质询和公钥,所述随机数质询和公钥均由所述节点设备的私钥签名。
根据第三方面,提出了一种用于将节点设备与网络域相关联的计算机程序,所述计算机程序包括计算机代码,当在节点管理器的处理单元上运行时,所述计算机代码使所述节点管理器执行根据第一方面所述的方法。
根据第四方面,提出一种用于将节点设备与网络域相关联的方法。该方法由节点设备执行。方法包括接收由节点管理器广播的所述节点管理器的随机数质询和公钥。方法包括使用所述节点设备的私钥对所述节点管理器的随机数质询和公钥进行签名。方法包括向所述节点管理器发送所述节点管理器的已签名的随机数质询和公钥。
根据第五方面,提出一种节点设备,用于将所述节点设备与网络域相关联。所述节点设备包括处理单元。所述处理单元被配置为使所述节点设备接收由节点管理器广播的所述节点管理器的随机数质询和公钥。所述处理单元被配置为使所述节点设备使用所述节点设备的私钥对所述节点管理器的随机数质询和公钥进行签名。所述处理单元被配置为使所述节点设备向所述节点管理器发送所述节点管理器的已签名的随机数质询和公钥。
根据第六方面,提出了一种用于将节点设备与网络域相关联的计算机程序,所述计算机程序包括计算机代码,当在节点设备的处理单元上运行时,所述计算机代码使所述节点设备执行根据第四方面所述的方法。
根据本发明的第七方面,提出了一种计算机程序产品,包括根据第三方面和第六方面中至少一个的计算机程序以及存储所述计算机程序的计算机可读装置。
应当注意到:第一、第二、第三、第四、第五、第六和第七方面中的任何特征可被应用于任何其他方面(只要在合适的情况下)。类似地,第一方面的任何优点可以被同样分别适用于第二、第三、第四、第五、第六和/或第七方面,且反之亦然。通过以下详细公开、所附从属权利要求以及附图,所附实施例的其他目标、特征和优点将变得显而易见。
一般地,除非本文另有明确说明,否则权利要求中使用的所有术语根据其技术领域中的普通含义来解释。除非另有明确说明,否则对“一/一个/所述元件、设备、组件、装置、步骤等”的所有引用应被开放地解释为指代元件、设备、组件、装置、步骤等中的至少一个实例。除非明确说明,否则本文公开的任何方法的步骤不必以所公开的确切顺序来执行。
附图说明
下面参照附图以示例方式描述本发明构思,附图中:
图1是示出了根据实施例的通信网络的示意图;
图2a是示出了根据实施例的节点管理器的功能单元的示意图;
图2b是示出了根据实施例的节点管理器的功能模块的示意图;
图3a是示出了根据实施例的节点设备的功能单元的示意图;
图3b是示出了根据实施例的节点设备的功能模块的示意图;
图4示出了根据实施例的包括计算机可读装置的计算机程序产品的一个示例;
图5、6、7、8和9是根据实施例的方法的流程图;以及
图10、11和图12是根据实施例的信令示意图。
具体实施方式
现在将在下文参考其中示出本发明的特定实施例的附图来更全面地描述发明构思。然而,本发明构思可以按多种不同形式来体现,并且不应当被解释为受到本文阐述的实施例的限制。相反,通过示例给出这些实施例,使得本公开将透彻和完整,并且向本领域技术人员充分地传达本发明构思的范围。在说明书全文中,相似的标记指代相似的要素。由虚线示出的任何步骤或特征应当被视为可选的。
图1是示出了可以应用本文提出的实施例的网络10的示意图。网络10包括节点管理器11和节点设备12a、12b、12c、12d。节点管理器11是网络域13的节点管理器。因此,根据图1的说明性示例,节点设备12b和12c最初在网络域13内,而节点设备12a和12d最初在网络域13之外。出于说明的目的,假设节点设备12a要加入网络域13,从而使网络域13如虚线箭头14所示扩展,使得网络域13还包含节点设备12a(如虚线所示)。网络域13可以被定义为共享对权威机构的相同看法的节点设备组。因此,网络域13可被认为是节点设备组的管理域。
存在可应用本发明概念的不同类型的网络10。例如,网络10可以是无线网络。然而,网络10可以备选地是有线网络。
节点设备12a、12b、12c、12d可以是蓝牙低能量设备、传感器设备、物联网设备、智能家居设备(例如安全设备、厨房设备、温度设备、加热、通风和/或空调设备、照明设备)、智能电视机或其任何组合等。
节点管理器11可以是无线设备,例如便携式无线设备(移动台、移动电话、手机、无线本地环路电话、用户设备(UE)、智能电话、膝上型计算机、平板计算机等),但是也可以是固定的无线设备,如无线电接入网节点(无线基站;基站收发台;节点B、演进节点B等)。
每个节点设备12b、12c应该能够安全地与网络域13内的另一节点设备12b、12c进行通信,而另一节点设备12a在验证后应该能够加入网络域13。
如上所述,现有的基于公钥基础设施的机制是集中式的,且因此对网络攻击和从其他网络断开连接而言适应能力较低。
根据本文公开实施例中的至少一些,通过加密验证的公钥分发功能来减轻当前已知的攻击。
根据本文公开实施例中的至少一些,由分布到网络域13内的节点设备12b、12c并分布到已加入网络域的节点设备12a的管理器密钥来对存储在分布式散列表15中的公钥进行签名。如下面将进一步公开的,这样的管理器密钥可以用于验证分布式散列表15中的每个条目。
要创建一个有适应能力的公钥管理系统,将密钥管理的任务展开。可以使用分布式散列表15,以便将密钥管理的任务分布到网络10中尽可能多的节点设备。网络域13中的每个节点设备的公钥可以由根证书签名,以证明其在给定网络域13中的真实性。分布式散列表15中的密钥字段(第一字段)可用于存储节点身份,并且分布式散列表15中的值字段(第二字段)可用于存储节点设备的已签名公钥。如下面将进一步公开的,分布式散列表15可以冗余地分布到网络域13内的所有节点设备,并且当节点设备执行针对其本地分布式散列表15a中的节点设备的GetPeer请求时更新。
因此,本文公开的实施例涉及将节点设备12a与网络域相关联。为了获得节点设备12a的这种关联,提供了节点管理器11、由节点管理器11执行的方法、包括例如以计算机程序产品的形式的代码的计算机程序,当在节点管理器11的处理单元上运行时,该代码使节点管理器11执行该方法。为了获得节点设备12a的这种关联,还提供了节点设备12a、由节点设备12a执行的方法以及包括例如以计算机程序产品的形式的代码的计算机程序,当在节点设备12a的处理单元上运行时,该代码使节点设备12a执行该方法。
图2a以多个功能单元的方式示意性地示出了根据实施例的节点管理器11的组件。使用能够执行计算机程序产品41a(如图4)(例如,具有存储介质23的形式)中存储的软件指令的合适的中央处理单元(CPU)、多处理器、微控制器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)等中的一种或多种的任意组合来提供处理单元21。处理单元21由此被布置为执行本文公开的方法。存储介质23还可以包括持久存储设备,其例如可以是磁存储器、光存储器、固态存储器或甚至远程安装存储器中的任意单独一个或组合。节点管理器11还可以包括用于与至少一个节点设备12a、12b、12c、12d进行通信的通信接口22。由此,通信接口22可以包括一个或多个发射机和接收机,发射机和接收机包括模拟和数字组件和合适数量的无线通信天线和有线通信端口。处理单元21例如通过向通信接口22和存储介质23发送数据和控制信号、通过从通信接口22接收数据和报告、以及通过从存储介质23中取回数据和指令来控制节点管理器11的总体操作。省略了节点管理器11的其他组件以及有关功能以不使本文提出的概念模糊。
图2b以多个功能模块的方式示意性地示出了根据实施例的节点管理器11的组件。图2b的节点管理器11包括多个功能模块;被配置为执行下面的步骤S102的获取模块21a,被配置为执行下面的步骤S104、S116的存储模块21b,以及被配置为执行下面的步骤S106、S118、S122的发送和/或接收模块21d。图2b的节点管理器11还可包括许多可选的功能模块,例如以下任一模块:被配置为执行下面的步骤S110、S112、S114、S124的验证模块21e,被配置为执行下面的步骤S120的签名模块21f以及被配置为执行下面的步骤S126的允许模块21g。以下将在可以使用功能模块21a-g的上下文中进一步公开每个功能模块21a-g的功能。一般地,每个功能模块21a~g可以在硬件或在软件中实现。优选地,一个或多个或所有功能模块21a~g可以由处理单元21实现,可能与功能单元22和/或23协作来实现。处理单元21可以因此被布置为从存储介质23获取由功能模块21a~g提供的指令,并且被布置为执行这些指令,由此执行下文将公开的任何步骤。
图3a以多个功能单元的方式示意性地示出了根据实施例的节点设备12a的组件。使用能够执行计算机程序产品41b(如图4)(例如,具有存储介质33的形式)中存储的软件指令的合适的中央处理单元(CPU)、多处理器、微控制器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)等中的一种或多种的任意组合来提供处理单元31。处理单元31由此被布置为执行本文公开的方法。存储介质33还可以包括持久存储设备,其例如可以是磁存储器、光存储器、固态存储器或甚至远程安装存储器中的任意单独一个或组合。节点设备12a还可以包括用于与节点管理器11以及可选地与至少一个其他节点设备12b、12c、12d进行通信的通信接口32。由此,通信接口32可以包括一个或多个发射机和接收机,发射机和接收机包括模拟和数字组件和合适数量的无线通信天线和有线通信端口。处理单元31例如通过向通信接口32和存储介质33发送数据和控制信号、通过从通信接口32接收数据和报告、以及通过从存储介质33中取回数据和指令来控制节点设备12a的总体操作。省略了节点设备12a的其他组件以及相关功能以不使本文提出的概念模糊。
图3b以多个功能模块的方式示意性地示出了根据实施例的节点设备12a的组件。图3b的节点设备12a包括多个功能模块二配置为执行下面的步骤S204、S208、S210、S216、S218、S226、S228的发送和/或接收模块31a,以及被配置为执行下面的步骤S206的签名模块31b。图3b的节点设备12a还可以包括多个可选功能模块,例如以下任一模块:被配置为执行下面的步骤S212的开始模块31c,被配置为执行下面的步骤S214的存储模块31d,配置为执行下面的步骤220的填充模块31e,配置为执行下面的步骤S222的访问模块31f,被配置为执行下面的步骤S224的验证模块31g,以及被配置为执行下面的步骤S230的允许模块31h。以下将在可以使用功能模块31a~h的上下文中进一步公开每个功能模块31a~h的功能。一般地,每个功能模块31a~h可以在硬件或在软件中实现。优选地,一个或多个或所有功能模块31a~h可以由处理单元31实现,可能与功能单元32和/或33协作来实现。处理单元31可以因此被布置为从存储介质33获取由功能模块31a~h提供的指令,并且被布置为执行这些指令,由此执行下文将公开的任何步骤。
图4示出了包括计算机可读装置43在内的计算机程序产品41a、41b的一个示例。在该计算机可读装置43上,可以存储计算机程序42a,该计算机程序42a可以使得处理单元21和操作耦合到处理单元21的实体和设备(例如,通信接口22和存储介质23)执行根据本文描述的实施例的方法。因此,计算机程序42a和/或计算机程序产品41a可以提供用于执行本文公开的节点管理器11的任何步骤的手段。在该计算机可读装置43上,可以存储计算机程序42b,该计算机程序42b可以使得处理单元31和操作耦合到处理单元41的实体和设备(例如,通信接口32和存储介质33)执行根据本文描述的实施例的方式。因此,计算机程序42b和/或计算机程序产品41b可以提供用于执行本文公开的节点设备12a的任何步骤的手段。
在图4的示例中,计算机程序产品41a、41b被示为光盘,例如CD(高密度盘)或DVD(数字多功能盘)或蓝光盘。计算机程序产品41a、41b还可以体现为存储器,例如随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM)、或电子可擦除可编程只读存储器(EEPROM)和更具体地作为外部存储器形式的设备的非易失性存储介质,例如USB(通用串行总线)存储器,或者闪存,例如高密度闪存。因此,尽管计算机程序42a、42b这里示意性地示出为所描述的光盘上的光轨,计算机程序42a、42b可以用适于计算机程序产品41a、41b的任意方式进行存储。
图5和图6是示出了由节点管理器11执行的将节点设备12a与网络域13相关联的方法的实施例的流程图。图7和图8是示出了由节点设备12a执行的用于将节点设备12a与网络域13相关联的方法的实施例的流程图。这些方法有利地被作为计算机程序42a、42b来提供。
现在参考图5,其示出了根据实施例由节点管理器11执行的将节点设备12a与网络域13相关联的方法。
节点管理器11被配置为在步骤S102中获取节点设备12a的身份。该身份指示节点设备12a的公钥。以下将提供身份以及身份如何获取的不同实例。
节点管理器11还被配置为在步骤S104中至少临时地存储节点设备12a的公钥。节点管理器11可以有不同的方式来确定存储节点设备12a的公钥的时间长短。例如,节点管理器11可以存储节点设备12a的公钥,直到提供了对是否要继续存储节点设备12a的公钥的指示。这将在下面进一步公开。例如,节点管理器11可以仅在预定时间间隔内存储节点设备12a的公钥,该预定时间间隔从节点管理器11获取节点设备12a的公钥时开始。
节点管理器11被配置为在步骤S106中广播节点管理器11的随机数质询和公钥。一般而言,随机数可以是在加密通信中仅使用一次的任意数字。随机数可以是随机数字或伪随机数字。可以在认证协议中发布随机数。可以使用随机数来确保旧的通信不能在重放攻击中被重复使用。
节点管理器11被配置为在步骤S108中从节点设备12a接收节点管理器11的随机数质询和公钥。随机数质询和公钥均已经由节点设备12a的私钥签名。
由此,节点管理器11可以通过使用节点管理器11的私钥对节点设备12a的公钥进行签名来将新节点12a添加到网络域13。由此,节点设备12a不再在网络域13之外,而是在网络域13内。如下面将进一步公开的,节点设备12a的这样签名的公钥然后可被放入分布式散列表15中。
现在将公开与节点管理器11执行的将节点设备12a与网络域13相关联的进一步细节有关的实施例。
现在参考图6,图6示出了根据另外的实施例由节点管理器11执行的用于将节点设备12a与网络域13相关联的方法。
如上所述,可以存在身份以及如何获取节点设备12a的身份的不同的示例。现在将进而描述涉及这些方式的不同实施例。根据实施例,将身份作为快速反应(QR)码、条形码或个人识别码(PIN)码提供。因此,节点管理器11可以通过读取QR码、读取条形码或通过接收PIN码来获取节点设备12a的身份。因此,节点管理器11可以包括QR码读取器、条形码读取器或PIN码读取器。QR码、条形码和PIN码是本领域已知的,因此省略其进一步的描述。
节点管理器11还可被配置为在步骤S110中验证节点管理器11的已签名随机数质询和公钥的签名。在步骤S110中,节点管理器11可能有不同的方式来执行验证。现在将进而描述涉及这些方式的不同实施例。根据实施例,步骤S110中的验证包括节点管理器11在步骤S112中验证节点管理器的已签名随机数质询和公钥是响应于随机数质询而发送的。根据实施例,步骤S110中的验证包括节点管理器11在步骤S114中验证节点管理器的已签名随机数质询和公钥是由节点设备12a的公钥进行签名的。
一旦已验证节点管理器的已签名随机数质询和公钥,节点管理器11可能有不同的方式进行动作。例如,节点管理器11可被配置为在步骤S116中继续存储节点设备12的公钥。亦即,根据一个实施例,如果不能验证节点管理器的已签名随机数质询和公钥,则不再存储节点设备12a的公钥。
节点管理器11还可以请求节点设备12a验证其对节点管理器11的信任。因此,节点管理器11可被配置为在步骤S118中向节点设备12a发送指令以开始验证序列。在向节点设备12a发送指令之前,节点管理器11可以使用节点设备12a的公钥对指令进行加密和签名。下面将参考由节点设备12a执行的方法来提供验证序列的实施例。
节点管理器11可能有不同的方式来对节点设备12a的公钥进行签名。例如,节点管理器11可被配置为在步骤S120中使用节点管理器11的私钥对节点设备12a的公钥进行签名。
可存在不同的方式来提供节点管理器11的私钥。例如,节点管理器11的私钥可能已被节点管理器11加密。可存在不同的方式来加密节点管理器11的私钥。例如,对称加密可被用于加密节点管理器11的私钥。
节点管理器11可能有不同的方式来存储节点设备12a的公钥。根据实施例,节点设备12a的公钥与其签名一起存储在分布式散列表15中。分布式散列表15可以包括多个节点设备12a、12b、12c的公钥和签名。
一旦节点设备12a的公钥已被存储在分布式散列表15中,节点管理器11可能会有不同的方式进行动作。现在将进而描述涉及这些方式的不同实施例。例如,节点管理器11可被配置为在步骤S122中从节点设备12a接收请求访问分布式散列表15以填充本地分布式散列表15a(如图1中的虚线箭头16所示)的请求。该请求由节点管理器11的公钥加密。在步骤S124中,节点管理器11可以验证该请求。响应于此,节点管理器11可以在步骤S126中允许节点设备12a访问分布式散列表15。
现在参考图7,图7示出了根据实施例的由节点设备12a执行的将节点设备12a与网络域13相关联的方法。
如上所述,节点管理器11可以广播节点管理器11的随机数质询和公钥。该广播可以由节点设备12a接收。因此,节点设备12a被配置为在步骤S204中接收由节点管理器11广播的节点管理器的随机数质询和公钥。
节点设备12a对节点管理器的随机数质询和公钥进行签名。具体地,节点设备12a被配置为在步骤S206中使用节点设备12a的私钥来对节点管理器11的随机数质询和公钥进行签名。
一旦节点管理器的随机数质询和公钥已被签名,将其返回给节点管理器11。因此,节点设备12a被配置为在步骤S208中向节点管理器11发送节点管理器的已签名随机数质询和公钥。
由此,节点设备12a不再在网络域13之外,而是在网络域13内。
现在将公开与节点设备12a执行的将该节点设备12a与网络域13相关联的进一步细节有关的实施例。
现在参考图8,图8示出了根据另外的实施例由节点设备12a执行的用于将节点设备12a与网络域13相关联的方法。
节点设备12a可能会有不同的方式来触发对随机数质询和公钥的接收。例如,节点设备12a可被配置为在步骤S202中向节点管理器11发送节点设备12a的身份。从而可响应于将身份发送给节点管理器11来接收随机数质询和公钥。
如上所述,可以将身份作为QR码、条形码或PIN码提供。因此,可向节点设备12a提供QR码、条形码或PIN码,或者节点设备12a可以与QR码、条形码或PIN码相关联。例如,节点设备12a的包装(package)可以具有QR码、条形码或PIN码。
如上所述,节点管理器11可以请求节点设备12a开始验证序列。因此,根据实施例,节点设备12a被配置为在步骤S210中从节点管理器接收指令以开始验证序列。然后,节点设备12a可被配置为在步骤S212中响应于已经接收到指令而开始验证序列。
节点设备12a可能有不同的方式来执行验证序列。验证序列可以根据设备类型而不同。一般而言,验证序列可能不涉及节点设备12a向节点管理器11发送任何数据。例如,验证序列可涉及节点设备12a通过用户接口发射输出。例如,验证序列可以涉及节点设备12a输出声音和/或视觉指示。可以根据模式来输出声音和/或视觉指示。该模式可以由验证序列指令描述。
节点设备12a还可被配置为在步骤S214中存储节点管理器11的公钥。
节点设备12a可能需要与网络域13中的其他节点设备12b、12c进行通信。因此,节点设备12a可被配置为在步骤S216中向节点管理器11发送请求访问分布式散列表15以便填充本地分布式散列表15a的请求。该请求由节点管理器11的公钥加密。如上所述,分布式散列表15包括多个节点设备12a、12b、12c的公钥和签名。
如上所述,节点管理器11可以仅在可以验证该请求时才允许节点设备12a访问分布式散列表15。因此,节点设备12a可被配置为在步骤S218中从节点管理器11接收对允许访问分布式散列表15的通知。
节点设备12a可能有不同的方式来使用分布式散列表15。现在将进而描述涉及这些方式的不同实施例。
例如,节点设备12a可以使用分布式散列表15来查找网络域13内的其他节点设备12b、12c。例如,节点设备12a可被配置为:在步骤S220中,响应于已经接收到通知,通过访问节点管理器11的分布式散列表15来填充本地分布式散列表15a。亦即,节点管理器11的分布式散列表15的条目可被复制到节点设备12a的分布式散列表15,以便填充节点设备12a的分布式散列表15。
例如,节点设备12a可以使用分布式散列表15来获取网络域13内的另一个节点设备12b、12c的公钥。亦即,节点设备12a可被配置为在步骤S222中访问本地分布式散列表15a以获取多个节点设备12b、12c中的一个节点设备12b、12c的公钥。
节点设备12a然后可以建立与网络域13内的其他节点设备12b的安全通信。亦即,节点设备12a可被配置为在步骤S224中使用节点管理器11的公钥来验证其他节点设备12b的签名;以及,在步骤S226中,向该其他节点设备12b发送消息。来自节点设备12d的签名将不会被验证,因为节点设备12d在网络域13之外。使用该其他节点设备12b的公钥对消息进行加密,并由节点设备12a的私钥进行签名。亦即,节点设备12a可以通过使用节点管理器11的公钥来验证节点管理器11已经对该其他节点设备12b的公钥进行了签名。然后,节点设备12a可以生成寻址到该其他节点设备12b的消息。节点设备12a可以使用因此验证的该其他节点设备12b的公钥来加密消息有效载荷。节点设备12a可以使用其自己的私钥对整个消息(包括收件人)进行签名,然后发送消息。
例如,节点设备12a可以将分布式散列表15分布到网络域13内的另一节点设备12b、12c。亦即,节点设备12a可被配置为在步骤S228中从另一节点设备12b、12c接收请求访问本地分布式散列表15a的请求节点设备12a可被配置为:在步骤S230,仅当另一节点设备12b、12c的身份是由节点管理器11的公钥加密的且该另一节点设备12b、12c的公钥在分布式散列表15中提供时,才允许该另一节点设备12b、12c访问本地分布式散列表15a。亦即,只有查询对分布式散列表的访问的节点设备的节点身份和公钥已由节点管理器11的公钥签名并存储在其本地分布式散列表15a中,网络域13内的节点设备12a、12b、12c才答复分布式散列表15查询。因此,如果当该节点设备(例如,节点12b)进行查询时,在给定的本地分布式散列表15a中缺少节点身份,则被查询的节点设备(例如,节点12a)将查询已被信任的节点设备(例如,节点设备12c),以寻找查询节点设备(节点设备12b)的身份和已签名公钥。一旦被查询的节点设备检索到该已签名公钥,则可以验证查询节点设备,并且将会响应其分布式散列表15查询。
由此,节点设备12a可以使用指派给每个消息的签名来验证来自另一节点设备12b、12c的每个事务。签名是根据具有相应公共节点密钥的私密节点密钥生成的。公共节点密钥为分布式散列表15中的主机所知,并且可被使用所贴附的管理器公钥签名来进行验证。
现在将详细公开基于上述公开的实施例中的至少一些将节点设备12a与网络域13相关联的一个具体实施例。
同时参考图9的流程图和图10、11和12的信令图。
节点管理器11通过执行步骤S301和S302来创建新的网络域13。
S301.节点管理器11生成公钥和私钥对。
S302.使用对称加密来加密私钥。
针对要与网络域相关联的新节点设备12a执行步骤S303和S304。假设每个新节点设备12a与诸如QR码的身份相关联。该身份指示新节点设备12a的个人公钥。
S303.节点管理器11通过扫描QR码来获取新节点设备12a的身份且因此获取新节点设备12a的公钥。
S304.节点管理器11至少临时地存储新节点设备12a的公钥。
当新节点设备12a开机时,执行步骤S305至S311。
S305.节点管理器11广播随机数质询及其公钥(管理器公钥;MPK)。
S306.新节点设备12a接收节点管理器11的随机数和公钥,并且在将其发送给节点管理器11之前使用其自己的私钥对该随机数和公钥进行签名。节点管理器11因此接收已签名公钥和随机数。
S308.节点管理器11验证接收到的已签名公钥和随机数,以验证其是对相同请求的响应(即,未被重放),并且验证签名由在步骤S303中获取的新节点设备12a的身份所给出的相关联的公钥写出。
S308a.验证成功,且因此将由新节点设备12a的身份给出的新节点设备12a的公钥确定为是有效的。
S308b.验证失败,且因此将由新节点设备12a的身份给出的新节点设备12a的公钥确定为是无效的。
S308c.如果验证失败,则拒绝新节点设备12a的公钥。
S308d.如果验证失败,则新节点设备12a被认为是坏的并且不加入网络域13。
S308e.如果验证失败,则新节点设备12a被确定为(从购买起是)故障的或不与预期网络域13相关联。S309.节点管理器11继续存储新节点设备12a的公钥(以及新节点设备12a的身份信息)。
S310.可选地,节点管理器指示新节点设备12a验证其信任。
S311.节点管理器11使用其自己的私钥对新节点设备12a的公钥进行签名。
管理器节点11由此完成其将新设备12a与网络域13相关联的任务。
节点管理器11现在可以通过执行步骤S312将其他节点设备12b、12c的公钥分布到新节点设备12a。
S312.节点管理器11将新节点设备12a的公钥与其签名一起放在分布式散列表15中。分布式散列表15包括多个节点设备12b、12c的公钥和签名。
S312a.节点管理器11可以ping节点设备12a来更新超时。ping查询及其响应复位超时计数器,该超时计数器确定节点设备的可用性。如果在没有来自节点设备的ping响应的情况下达到超时,则节点设备的功能被认为是可疑的,并且可在稍后从分布式散列表中移除(如步骤S308b、S308c、S308d、S308e中的任何一个)。类似地,节点设备12a如步骤S314中那样存储节点管理器11的公钥。
S314.节点设备12存储节点管理器11的公钥。
其他节点设备12b、12c可以请求访问来自节点管理器11的分布式散列表15,并且节点管理器11将用分布式散列表15中的新条目(即新节点设备12a的身份和已签名公钥)进行响应。如果新节点设备12a请求访问分布式散列表15,则节点管理器11将用整个分布式散列表15进行响应,使得新节点设备12a可以填充本地分布式散列表15a(即,其自己的分布式散列表15),如步骤S316至S320所示。
S316:基于节点管理器11的公钥并使用加密或非加密信道,新节点设备12a请求访问分布式散列表15以填充其自己的本地分布式散列表15a。
S318.在验证后,节点管理器11允许新节点设备12a访问分布式散列表15。
S320.例如使用命令FindNode,新节点设备12a搜索其本地分布式散列表15a以找到其他节点设备12b、12c。
S322.新节点设备12a搜索其本地分布式散列表15a以获知网络域13中的其他节点设备12b、12c的公钥,以便建立安全信道或验证消息真实性。
当正确设立时,不再需要将节点管理器11用于节点设备12a、12b、12c的彼此检测和验证。因此,节点设备12a可以与同一网络域13中的任何其他节点设备12b、12c建立安全密码通信信道。节点设备12a、12b、12c还可以将任何其他节点设备12a、12b、12c的公钥安全地分布到网络域13中的任何其他已验证的节点设备12a、12b、12c。但是,只有当节点管理器11在网络域13中可用时,新节点设备才能通过关联过程加入该网络域。这样可以防止网络域13泄漏信息。可以在一个网络域中使用节点管理器11的多个公钥和/或私钥。
总而言之,已经提出了安全分布式密钥分布的机制,其基于共享公钥并由网络域13的权威机构(即,节点管理器11)签名公钥。这些已签名公钥的分布式特性确保了节点设备12a、12b、12c之间的牢固联系,无论签名者(即,节点管理器11)在网络10中是否仍然可用。以上已经参考一些实施例主要地描述了发明构思。然而,本领域技术人员容易理解的是:上述公开之外的在如由所附专利权利要求所限定的发明构思的范围之内的其它实施例同样是可能的。
Claims (33)
1.一种用于将节点设备(12a)与网络域(13)相关联的方法,所述方法由节点管理器(11)执行,所述方法包括:
获取(S102)节点设备(12a)的身份,其中,所述身份指示所述节点设备的公钥;
至少临时存储(S104)所述节点设备的公钥;
广播(S106)所述节点管理器的随机数质询和公钥;以及
从所述节点设备接收(S108)所述节点管理器的随机数质询和公钥,所述随机数质询和公钥均由所述节点设备的私钥签名。
2.根据权利要求1所述的方法,其中,所述身份被提供为快速响应代码、条形码或个人识别号代码。
3.根据权利要求1所述的方法,还包括:
验证(S110)对所述节点管理器的已签名随机数质询和公钥的签名。
4.根据权利要求3所述的方法,其中,所述验证包括:
验证(S112)所述节点管理器的已签名随机数质询和公钥是响应于所述随机数质询而发送的。
5.根据权利要求3或4所述的方法,其中,所述验证包括:
验证(S114)所述节点管理器的已签名随机数质询和公钥是由所述节点设备的公钥签名的。
6.根据权利要求3、4或5所述的方法,还包括:
继续存储(S116)所述节点设备的公钥。
7.根据权利要求1所述的方法,还包括:
向所述节点设备发送(S118)开始验证序列的指令。
8.根据权利要求1所述的方法,还包括:
使用所述节点管理器的私钥对所述节点设备的公钥进行签名(S120)。
9.根据权利要求8所述的方法,其中,所述节点管理器的私钥已由所述节点管理器加密。
10.根据权利要求9所述的方法,其中,使用对称加密来加密所述节点管理器的私钥。
11.根据权利要求1所述的方法,其中,所述节点设备的公钥与其签名一起存储在分布式散列表(15)中。
12.根据权利要求11所述的方法,其中,所述分布式散列表包括多个节点设备的公钥和签名。
13.根据权利要求11或12所述的方法,还包括:
接收(S122)来自所述节点设备的请求访问所述分布式散列表以便填充本地分布式散列表(15a)的请求,其中,所述请求由所述节点管理器的公钥加密。
14.根据权利要求13所述的方法,还包括:
验证(S124)所述请求;以及响应于此;
允许(S126)所述节点设备访问分布式散列表。
15.根据权利要求1所述的方法,其中,所述网络是无线网络。
16.根据权利要求1所述的方法,其中,所述节点设备是蓝牙低能量设备。
17.一种用于将节点设备(12a)与网络域(13)相关联的方法,所述方法由所述节点设备(12a)执行,所述方法包括:
接收(S204)由节点管理器(11)广播的所述节点管理器的随机数质询和公钥;
使用所述节点设备的私钥对所述节点管理器的随机数质询和公钥进行签名(S206);以及
向所述节点管理器发送(S208)所述节点管理器的已签名的随机数质询和公钥。
18.根据权利要求17所述的方法,还包括:
向所述节点管理器发送(S202)所述节点设备的身份;以及
其中,所述随机数质询和所述公钥是响应于此而接收的。
19.根据权利要求18所述的方法,其中,所述身份被提供为快速响应代码、条形码或个人识别号代码。
20.根据权利要求17所述的方法,还包括:
从所述节点管理器接收(S210)开始验证序列的指令;以及
响应于此来开始(S212)所述验证序列。
21.根据权利要求20所述的方法,其中,所述验证序列涉及所述节点设备通过用户接口发射输出。
22.根据权利要求17所述的方法,还包括:
存储(S214)所述节点管理器的公钥。
23.根据权利要求17所述的方法,还包括:
向所述节点管理器发送(S216)请求访问分布式散列表(15)以填充本地分布式散列表(15a)的请求,其中,所述请求由所述节点管理器的公钥加密,且所述分布式散列表包括多个节点设备的公钥和签名。
24.根据权利要求23所述的方法,还包括:
从所述节点管理器接收(S218)允许访问分布式散列表的通知。
25.根据权利要求24所述的方法,还包括:
响应于已经接收到所述通知,通过访问所述节点管理器的分布式散列表来填充(S220)所述本地分布式散列表。
26.根据权利要求25所述的方法,还包括:
访问(S222)所述本地分布式散列表以获取所述多个节点设备中的一个节点设备的公钥。
27.根据权利要求26所述的方法,还包括:
使用所述节点管理器的公钥来验证(S224)所述一个节点设备的签名;以及
向所述一个节点设备发送(S226)消息,其中,所述消息是使用所述一个节点设备的公钥加密、并由所述节点设备的私钥签名的。
28.根据权利要求25所述的方法,还包括:
从另一节点设备接收(S228)请求访问所述本地分布式散列表的请求;以及
只有当所述另一节点设备的身份由所述节点管理器的公钥加密并且所述另一节点设备的公钥在所述分布式散列表中提供时,才允许(S230)所述另一节点设备访问所述本地分布式散列表。
29.一种用于将节点设备(12a)与网络域(13)相关联的节点管理器(11),所述节点管理器包括处理单元(21),所述处理单元被配置为使所述节点管理器:
获取节点设备(12a)的身份,其中,所述身份指示所述节点设备的公钥;
至少临时存储所述节点设备的公钥;
广播所述节点管理器的随机数质询和公钥;以及
从所述节点设备接收所述节点管理器的随机数质询和公钥,所述随机数质询和公钥均由所述节点设备的私钥签名。
30.一种节点设备(12a),用于将所述节点设备(12a)与网络域(13)相关联,所述节点设备包括处理单元(31),所述处理单元被配置为使所述节点设备:
接收由节点管理器广播的所述节点管理器的随机数质询和公钥;
使用所述节点设备的私钥对所述节点管理器的随机数质询和公钥进行签名;以及
向所述节点管理器发送所述节点管理器的已签名的随机数质询和公钥。
31.一种用于将节点设备(12a)与网络域(13)相关联的计算机程序(42a),所述计算机程序包括计算机代码,当在节点管理器(11)的处理单元(21)上运行时,所述计算机代码使所述节点管理器:
获取(S102)节点设备(12a)的身份,其中,所述身份指示所述节点设备的公钥;
至少临时存储(S104)所述节点设备的公钥;
广播(S106)所述节点管理器的随机数质询和公钥;以及
从所述节点设备接收(S108)所述节点管理器的随机数质询和公钥,所述随机数质询和公钥均由所述节点设备的私钥签名。
32.一种用于将节点设备(12a)与网络域(13)相关联的计算机程序(42b),所述计算机程序包括计算机代码,当在所述节点设备(12a)的处理单元(31)上运行时,所述计算机代码使所述节点设备:
接收(S204)由节点管理器广播的所述节点管理器的随机数质询和公钥;
使用所述节点设备的私钥对所述节点管理器的随机数质询和公钥进行签名(S206);以及
向所述节点管理器发送(S208)所述节点管理器的已签名的随机数质询和公钥。
33.一种计算机程序产品(41a、41b),包括根据权利要求31和32中至少一项所述的计算机程序(42a、42b)和存储所述计算机程序的计算机可读装置(43)。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2015/054024 WO2016134769A1 (en) | 2015-02-26 | 2015-02-26 | Public key based network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107409048A true CN107409048A (zh) | 2017-11-28 |
Family
ID=52596487
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580076989.7A Pending CN107409048A (zh) | 2015-02-26 | 2015-02-26 | 基于公钥的网络 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20160373260A1 (zh) |
| EP (1) | EP3262805A1 (zh) |
| CN (1) | CN107409048A (zh) |
| WO (1) | WO2016134769A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109240179A (zh) * | 2018-11-12 | 2019-01-18 | 魏松涛 | 分布式沙盘模型控制系统 |
| CN114710359A (zh) * | 2022-04-15 | 2022-07-05 | 辽宁工控科技有限公司 | 工业网络动态密钥管理方法及工业网络加密通信方法 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9860067B2 (en) * | 2015-10-29 | 2018-01-02 | At&T Intellectual Property I, L.P. | Cryptographically signing an access point device broadcast message |
| US10009328B2 (en) * | 2015-12-07 | 2018-06-26 | Mcafee, Llc | System, apparatus and method for providing privacy preserving interaction with a computing system |
| US10129229B1 (en) * | 2016-08-15 | 2018-11-13 | Wickr Inc. | Peer validation |
| US11025436B2 (en) * | 2017-03-01 | 2021-06-01 | Banco Bilbao Vizcaya Argentaria, S.A. | Self-authenticating digital identity |
| EP3703312A1 (de) * | 2019-02-26 | 2020-09-02 | Siemens Aktiengesellschaft | In einem anlagenplanungswerkzeug integriertes zertifikatsmanagement |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060053276A1 (en) * | 2004-09-03 | 2006-03-09 | Lortz Victor B | Device introduction and access control framework |
| CN101291216A (zh) * | 2007-04-16 | 2008-10-22 | 华为技术有限公司 | P2p网络系统及其认证方法 |
| CN102111411A (zh) * | 2011-01-21 | 2011-06-29 | 南京信息工程大学 | P2p网络中对等用户结点间的加密安全数据交换方法 |
| US20130205136A1 (en) * | 2012-01-18 | 2013-08-08 | OneID Inc. | Methods and systems for secure identity management |
| US20140019754A1 (en) * | 2011-03-21 | 2014-01-16 | Thomson Licensing | Anonymous and unlinkable distributed communication and data sharing system |
| US8719952B1 (en) * | 2011-03-25 | 2014-05-06 | Secsign Technologies Inc. | Systems and methods using passwords for secure storage of private keys on mobile devices |
| CN103873487A (zh) * | 2014-04-04 | 2014-06-18 | 中国科学院信息工程研究所 | 一种基于智能家居设备安全挂件的家居信任组网的实现方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060291660A1 (en) * | 2005-12-21 | 2006-12-28 | Telefonaktiebolaget Lm Ericsson (Publ) | SIM UICC based broadcast protection |
| US8024579B2 (en) * | 2006-12-29 | 2011-09-20 | Lenovo (Singapore) Pte Ltd. | Authenticating suspect data using key tables |
| US9344438B2 (en) * | 2008-12-22 | 2016-05-17 | Qualcomm Incorporated | Secure node identifier assignment in a distributed hash table for peer-to-peer networks |
| US9031876B2 (en) * | 2009-06-19 | 2015-05-12 | Hewlett-Packard Development Company, L.P. | Managing keys for encrypted shared documents |
-
2015
- 2015-02-26 EP EP15707111.9A patent/EP3262805A1/en not_active Ceased
- 2015-02-26 US US14/432,976 patent/US20160373260A1/en not_active Abandoned
- 2015-02-26 WO PCT/EP2015/054024 patent/WO2016134769A1/en active Application Filing
- 2015-02-26 CN CN201580076989.7A patent/CN107409048A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060053276A1 (en) * | 2004-09-03 | 2006-03-09 | Lortz Victor B | Device introduction and access control framework |
| CN101291216A (zh) * | 2007-04-16 | 2008-10-22 | 华为技术有限公司 | P2p网络系统及其认证方法 |
| CN102111411A (zh) * | 2011-01-21 | 2011-06-29 | 南京信息工程大学 | P2p网络中对等用户结点间的加密安全数据交换方法 |
| US20140019754A1 (en) * | 2011-03-21 | 2014-01-16 | Thomson Licensing | Anonymous and unlinkable distributed communication and data sharing system |
| US8719952B1 (en) * | 2011-03-25 | 2014-05-06 | Secsign Technologies Inc. | Systems and methods using passwords for secure storage of private keys on mobile devices |
| US20130205136A1 (en) * | 2012-01-18 | 2013-08-08 | OneID Inc. | Methods and systems for secure identity management |
| CN103873487A (zh) * | 2014-04-04 | 2014-06-18 | 中国科学院信息工程研究所 | 一种基于智能家居设备安全挂件的家居信任组网的实现方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109240179A (zh) * | 2018-11-12 | 2019-01-18 | 魏松涛 | 分布式沙盘模型控制系统 |
| CN114710359A (zh) * | 2022-04-15 | 2022-07-05 | 辽宁工控科技有限公司 | 工业网络动态密钥管理方法及工业网络加密通信方法 |
| CN114710359B (zh) * | 2022-04-15 | 2024-02-06 | 沈阳邦粹科技有限公司 | 工业网络动态密钥管理方法及工业网络加密通信方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2016134769A1 (en) | 2016-09-01 |
| EP3262805A1 (en) | 2018-01-03 |
| US20160373260A1 (en) | 2016-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111372248B (zh) | 一种车联网环境下高效匿名身份认证方法 | |
| CN107409048A (zh) | 基于公钥的网络 | |
| Chowdhury et al. | Secure information sharing among autonomous vehicles in NDN | |
| Lim et al. | A scalable and secure key distribution scheme for group signature based authentication in VANET | |
| US8254581B2 (en) | Lightweight key distribution and management method for sensor networks | |
| US8069470B1 (en) | Identity and authentication in a wireless network | |
| CN113411190B (zh) | 密钥部署、数据通信、密钥交换、安全加固方法及系统 | |
| Gañán et al. | EPA: An efficient and privacy-aware revocation mechanism for vehicular ad hoc networks | |
| CN101356759A (zh) | 安全密钥材料的基于令牌的分布式生成 | |
| US20130312072A1 (en) | Method for establishing secure communication between nodes in a network, network node, key manager, installation device and computer program product | |
| CN103797830A (zh) | 用于对与一组共享临时密钥数据的交换进行编码的系统和方法 | |
| CN101170413B (zh) | 一种数字证书及其私钥的获得、分发方法及设备 | |
| Aluvala et al. | A novel technique for node authentication in mobile ad hoc networks | |
| Wang et al. | A practical authentication framework for VANETs | |
| CN113392430A (zh) | 基于智能合约认证的数字资源管理方法及系统 | |
| Faisal et al. | Cyber security and key management issues for internet of things: Techniques, requirements, and challenges | |
| ES2776679T3 (es) | Procedimientos de aumento de la seguridad en transmisiones de datos y de control de autenticación de nodos de una red ad hoc | |
| KR20060104838A (ko) | 센서네트워크 환경에 적합한 센서 인증 시스템 및 방법 | |
| CN101022418B (zh) | Hmip认证方法、设备及系统 | |
| JP5009932B2 (ja) | 低リソース試験器の認証方法及びシステム | |
| CN105981028B (zh) | 通信网络上的网络元件认证 | |
| Shikfa et al. | Bootstrapping security associations in opportunistic networks | |
| KR102219018B1 (ko) | 블록체인 기반의 사물인터넷 데이터 전송 방법 | |
| KR20110058067A (ko) | 이동통신망을 이용한 싱크 인증 시스템 및 방법 | |
| CN110771087A (zh) | 私钥更新 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20171128 |
|
| WD01 | Invention patent application deemed withdrawn after publication |