CN109644126A - 用于异构型网络中的多个设备认证的技术 - Google Patents

用于异构型网络中的多个设备认证的技术 Download PDF

Info

Publication number
CN109644126A
CN109644126A CN201680088899.4A CN201680088899A CN109644126A CN 109644126 A CN109644126 A CN 109644126A CN 201680088899 A CN201680088899 A CN 201680088899A CN 109644126 A CN109644126 A CN 109644126A
Authority
CN
China
Prior art keywords
node
response
request
gateway
gateway node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201680088899.4A
Other languages
English (en)
Other versions
CN109644126B (zh
Inventor
A·阿凡纳斯耶娃
S·贝扎特耶夫
V·佩特罗夫
K·智达诺夫
N·沃罗希纳
V·齐宾
A·巴科诺娃
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of CN109644126A publication Critical patent/CN109644126A/zh
Application granted granted Critical
Publication of CN109644126B publication Critical patent/CN109644126B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3252Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

用于提供异构型网络中的多个设备认证的技术包括网关节点。所述网关节点包括网络通信器,所述网络通信器用于接收来自终端节点的用于对连接至所述网关节点的一组异构节点的用户进行认证的请求,并且将凭证请求广播至所述节点。另外,所述网关节点包括响应组合器,所述响应组合器用于组合来自所述一组节点的响应以生成组合的认证消息。所述网络通信器进一步用于将所述组合的认证消息发送至所述终端节点以进行认证。描述并要求保护其他实施例。

Description

用于异构型网络中的多个设备认证的技术
背景技术
用于网络上的设备的典型认证协议,诸如,用于向服务器认证一个设备的认证协议,所述服务器提供对源(例如,数据库)的访问、将每个设备视为如同其与可以尝试向网络认证的任何其他设备具有相同的一组能力和特征(例如,性能、存储、通信能力等)。例如,服务器可以向有待认证的设备传输质询,并且有待认证的所述设备以与任何其他设备可能的相同格式和方式确定响应并将所述响应传输回服务器。在这种系统中,有待认证的设备对响应的确定不是基于特定于所述设备的任何能力,而是可以由可以尝试向服务器认证的任何其他设备生成。以这种方式,有待认证的设备被视为是同构的。
一些认证协议使用由多个设备生成的并被组合的多个响应,以便向服务器认证所述设备之一。然而,这些协议还忽略了可能特定于一起工作以生成组合响应的特定设备的任何特征,并且代替地将其视为如同他们是同构的。例如,一个设备可能无法有效地计算有待包括在响应中的密码操作的结果,而另一设备可能无法提示用户输入或提供关于设备或用户的位置信息。鉴于这些复杂性,这种方案利用最小公分母方法,从每个设备获得相同类型的信息并且放弃在可以从所述设备之一中获得的、在认证用户时可能是有用的任何附加信息。
附图说明
在附图中,以示例的方式而非限制的方式来展示在本文中所描述的概念。为了说明的简单和清楚起见,附图中所展示的元件不一定按比例绘制。在认为适当的情况下,在附图当中重复附图标记以表示相应或相似的元件。
图1是一种用于使用异构节点来执行认证的联网系统的至少一个实施例的简化框图;
图2是图1的系统的节点的至少一个实施例的简化框图;
图3是可以由图1的系统的网关节点建立的环境的至少一个实施例的简化框图;
图4是可以由图1的系统的秘密持有者节点建立的环境的至少一个实施例的简化框图;
图5是可以由图1的系统的定位器节点建立的环境的至少一个实施例的简化框图;
图6是可以由图1的系统的终端节点建立的环境的至少一个实施例的简化流程图;
图7至图9是可以由图1的系统的网关节点执行的一种用于对来自网络中的多个节点的响应进行整合的方法的至少一个实施例的简化流程图;
图10是可以由图1的系统的终端节点执行的一种用于执行认证的方法的至少一个实施例的简化流程图;
图11是可以由图1的系统的节点之一执行的一种用于生成对凭证请求的响应的方法的至少一个实施例的简化流程图;
图12是图1的具有安排在网状网络中的设备的系统的另一实施例的简化框图。
具体实施方式
虽然本公开的概念易于经历各种修改和替代形式,但是在附图中已经通过示例的方式来示出了其特定实施例并且将在本文中详细地对其进行描述。然而,应理解的是,不旨在将本公开的概念限制于所公开的特定形式,而相反,旨在覆盖与本公开和所附权利要求一致的所有修改形式、等效形式和替代形式。
在说明书中提到“一个实施例”、“实施例”、“说明性实施例”等表明所描述的实施例可以包括特定特征、结构或特性,但每一个实施例可能或可能不一定包括所述特定特征、结构或特性。而且,这种短语不一定指相同的实施例。进一步地,当关于实施例而描述了特定特征、结构或特性时,应当认为的是,无论是否进行了明确描述,结合其他实施例来实现这种特征、结构或特性都在本领域技术人员的知识内。另外,应理解的是,包括在采用“至少一个A、B和C”形式的列表中的项可以意指(A);(B);(C);(A和B);(A和C);(B和C);或(A、B和C)。类似地,采用“A、B或C中的至少一项”的形式列出的项可以意指(A);(B);(C);(A和B);(A和C);(B和C);或(A、B和C)。
在一些情况下,可以在硬件、固件、软件或其任何组合中实施所公开的实施例。还可以将所公开的实施例实施为由暂态或非暂态机器可读(例如,计算机可读)存储介质承载或者存储在其上的可由一个或多个处理器来读取和执行的指令。可以将机器可读存储介质具体化为任何存储设备、机制、或用于存储或传输采用机器可读形式的信息的其他物理结构(例如,易失性或非易失性存储器、介质盘或其他介质设备)。
在附图中,可以采用特定安排和/或排序来示出一些结构特征或方法特征。然而,应当理解的是,可以不需要这种特定的安排和/或排序。相反,在一些实施例中,可以采用与在说明性附图中所示出的方式和/或顺序不同的方式和/或顺序来安排这种特征。另外,在具体的图中包括结构性特征或方法特征并不意味着暗示在所有实施例中都需要这种特征,并且在某些实施例中,可以不包括这种特征或者这种特征可以与其他特征组合。
现参照图1,在说明性实施例中,用于执行认证的联网系统100包括一组节点110。节点110说明性地包括网关节点120、一组秘密持有者节点130、一组定位器节点140、和终端节点150。由此,节点110是异构的,意味着他们用于执行不同的功能。节点110通过网络112相连接。可以将网关节点120具体化为任何计算设备,所述任何计算设备能够:接收来自终端节点150的请求;将凭证请求广播至秘密持有者节点130和定位器节点140;收集它们的响应;使用密码函数来组合响应;并且将组合的响应发送至终端节点150。终端节点可以被具体化为任何计算设备,所述任何计算设备能够在认证过程中请求并验证用户凭证。秘密持有者节点130各自可以被具体化为任何计算设备,所述任何计算设备能够:存储用户凭证集的一部分;接收来自网关节点的请求;使用所述用户凭证的一部分来执行密码函数;并且将密码函数的结果发送回至网关节点120。一组秘密持有者节点130包括:秘密持有者节点132、如更加详细描述的可以执行独裁者节点的角色的另一秘密持有者节点134、另一秘密持有者节点136、以及又另一秘密持有者节点138。尽管示出了四个秘密持有者节点130,但应理解的是,在其他实施例中,秘密持有者节点130的数量可以不同。定位器节点140各自可以被具体化为计算设备,所述计算设备能够执行有限组操作并且能够出于认证目的来定位用户。一组定位器节点140包括定位器节点142、另一定位器节点144、另一定位器节点146、以及又另一定位器节点148。类似于所述一组秘密持有者节点130,尽管示出了四个定位器节点140,但应理解的是,在其他实施例中,定位器节点140的数量可以不同。
在操作中,网关节点120生成密钥并且向秘密持有者节点130和定位器节点140中的每一个提供密钥的部分(“份额(share)”)。随后,当用户希望对终端节点150进行认证时,终端节点150将认证请求发送至网关节点120,这进而向各秘密持有者节点130和定位器节点140提供来自认证请求的信息,所述终端节点可以是表示提供对源(例如,银行账户)的访问的服务器或其他计算设备。秘密持有者节点130和定位器节点140然后基于其密钥的份额、来自认证请求的信息、和特定于节点110的任何其他信息(例如,来自(多个)定位器节点140的位置信息)来生成针对认证请求的响应的部分。网关节点120然后组合所述响应。秘密持有者节点130中的至少一个是独裁者节点(例如,独裁者节点134),这意味着为了使组合的响应完成,网关节点120必须接收来自独裁者节点134的响应,以便与来自另一节点110的响应组合。一旦组合,网关节点120就将组合的响应提供至终端节点作为认证消息。终端节点150然后对认证消息执行操作以对其进行验证。终端节点150然后基于验证操作的结果或者提供对用户的访问或者拒绝访问。通过使用不同类型的节点110(例如,秘密持有者节点130、至少一个独裁者节点134、和一个或多个定位器节点140)的组合,系统100利用节点110的不同能力,而不是使用来自每个节点110的同一类型的信息而不管其能力。由此,系统100提供比在典型系统中更加准确和高效的认证服务。
现参照图2,每个节点110可以根据特定节点110的角色(例如,终端节点150、网关节点120、秘密持有者节点130、独裁者节点134或定位器节点140)而被具体化为任何类型的计算设备,所述计算设备能够执行本文所描述的功能,包括生成认证请求、生成对认证请求的响应的一部分(可能包括位置信息),将对认证请求的响应组合成认证消息、并且验证所述认证消息。节点110可以被具体化为:服务器、刀片服务器、台式计算机、笔记本、膝上型计算机、上网本、UltrabookTM、可穿戴计算设备、智能电话、个人数字助理(PDA)、互联网设施、自动柜员机(ATM)、和/或任何其他计算/通信设备。如图2中所示出的,说明性节点110包括中央处理单元(CPU)202、主存储器204、输入/输出(“I/O”)子系统206、通信子系统208、和一个或多个数据存储设备212。当然,在其他实施例中,节点110可以包括其他或附加的部件,诸如在典型的计算设备中常见的那些部件(例如,各种输入/输出设备和/或其他部件)。另外,在一些实施例中,说明性部件中的一个或多个可以结合在另一部件中,或以其他方式形成所述另一部件的一部分。例如,在一些实施例中,存储器204或其部分可以结合在CPU 202中。
CPU 202可以被具体化为能够执行本文中所描述的功能的任何类型的处理器。例如,CPU 202可以被具体化为(多个)单核或多核处理器、数字信号处理器、微控制器、或者其他处理器或处理/控制电路。类似地,存储器204可以被具体化为能够执行本文中所描述的功能的任何类型的易失性或非易失性存储器或数据存储设备。在操作中,存储器204可以存储在节点110的操作期间使用的各种数据和软件,诸如,系统100中的节点110的标识、密钥数据、凭证数据、位置数据、操作系统、应用、程序、库和驱动器。存储器204经由I/O子系统206通信地耦合至CPU 202,所述I/O子系统可以被具体化为用于促进与节点110的CPU 202、存储器204和其他部件的输入/输出操作的电路系统和/或部件。例如,I/O子系统206可以被具体化为或以其他方式包括用于促进输入/输出操作的存储器控制器中枢、输入/输出控制中枢、固件设备、通信链路(即,点到点链路、总线链路、线、线缆、光导、印刷电路板迹线等)、和/或其他部件、和子系统。在一些实施例中,I/O子系统206可以形成片上系统(SoC)的一部分,并且可与节点110的CPU 202、存储器204以及其他部件一起结合在单个集成电路芯片上。
通信子系统208可以被具体化为能够实现与一个或多个其他计算设备(诸如,其他节点110或其他计算设备)进行通信的一个或多个设备和/或电路系统。通信电路系统208可以被配置用于使用任何一种或多种通信技术(例如,有线或无线通信)以及相关联的协议(例如,以太网、WiMAX等)来实现这种通信。在说明性实施例中,通信子系统208包括主机结构接口(HFI)210,所述主机结构接口可以被具体化为一个或多个内插板(add-in-board)、子卡、网络接口卡、控制器芯片、芯片组、或通过结构将节点110通信地连接至另一计算设备的其他设备或电路系统。
所述一个或多个数据存储设备212可以被具体化为被配置用于对数据进行短期或者长期存储的任何类型的一个或多个设备。由此,所述一个或多个数据存储设备212可以被具体化为一个或多个固态驱动器(SSD)、一个或多个硬盘驱动器(HDD)、存储器设备和电路、存储器卡、或其他数据存储设备。所述一个或多个数据存储设备212可以存储如本文更加详细地描述的系统100中的节点110的标识、密钥数据、凭证数据、位置数据、操作系统、应用、程序、库、和驱动器。
仍参照图2,诸如在节点110用于作为定位器节点140操作的实施例中,节点110可以另外包括位置确定子系统214。位置确定子系统214可以被具体化为能够确定节点110的地理位置和节点110的用户的任何一个或多个设备和/或电路系统。由此,位置确定子系统214可以包括全球定位系统设备216,所述全球定位系统设备可以被具体化为能够基于来自GPS卫星的信号来确定节点110的地理位置的任何一个或多个设备和/或电路系统。另外或替代地,位置确定子系统214可以包括一个或多个其他位置设备218,诸如能够基于多种方法之一确定节点110的位置的设备和/或电路系统,所述方法包括:从在已知位置处的设备识别标识符(例如,在射频标识(RFID)信号中编码的标识符)、测量来自具有已知位置的一个或多个源(例如,无线接入点、蜂窝网络塔等)的无线信号的强度、根据到达时间信息(诸如无线电检测和测距(RADAR)、光检测和测距(LIDAR))测量距已知位置处的物体的距离、和/或其他方法。在其他实施例中,节点110的位置是静态的并且存储在存储器(例如,存储器204或数据存储设备212)中,并且位置确定子系统214用于诸如通过相机或其他传感器来检测在节点110的预定范围内存在的用户。在其他实施例中,位置确定子系统214的全部或一部分可以包括在通信子系统208中或与所述通信子系统共享部件。
节点110还可以包括显示器220,所述显示器可以被具体化为可以在其上将信息显示给节点110的用户的任何类型的显示设备。显示器220可以被具体化为或以其他方式使用任何适当的显示技术,所述显示技术包括例如液晶显示(LCD)、发光二极管(LED)显示、阴极射线管(CRT)显示、等离子体显示、和/或可用于计算设备的其他显示。显示器220可以包括触摸屏传感器,所述触摸屏传感器使用任何适当的触摸屏输入技术来检测用户对显示器上显示的信息的触觉选择,所述触摸屏传感器包括但不限于电阻式触摸屏传感器、电容式触摸屏传感器、表面声波(SAW)触摸屏传感器、红外触摸屏传感器、光学成像触摸屏传感器、声学触摸屏传感器和/或其他类型的触摸屏传感器。
在一些实施例中,节点110可以进一步包括一个或多个外围设备222。这种外围设备222可以包括计算设备中常见的任何类型的外围设备,诸如,扬声器、鼠标、键盘和/或其他输入/输出设备、接口设备、和/或其他外围设备。
返回参照图1,如以上描述的,节点110经由网络112说明性地进行通信,所述网络可以被具体化为任何数量的各种有线或无线网络。例如,网络112可以被具体化为或以其他方式包括可公开访问的全球网络,诸如,互联网、蜂窝网络、有线或无线广域网(WAN)、和/或有线或无线局域网(LAN)。由此,网络112可以包括任何数量的附加设备,诸如,附加计算机、路由器和交换机,以促进节点110之间的通信。
现参照图3,在使用时,网关节点120可以建立环境300。说明性环境300包括网络通信器310、响应组合器320、和密钥生成器330。环境300中的部件中的每一个都可以被具体化为固件、软件、硬件或其组合。例如,环境300的各个部件和逻辑可以形成网关节点120的CPU202或其他硬件部件的一部分或以其他方式由所述CPU或这些其他硬件部件建立。由此,在一些实施例中,环境300的部件中的任何一个或多个部件可以被具体化为电气设备的电路或集合(例如,网络通信器电路310、响应组合器电路320、密钥生成器电路330等)。在说明性实施例中,环境300另外包括节点数据302,所述节点数据可以被具体化为连接至网关节点120的节点110和他们的角色(例如,秘密持有者节点、独裁者节点、定位器节点、终端节点)的标识。环境300还包括密钥数据304,所述密钥数据包括用于加密、解密、签名和/或验证传输至节点110和/或从所述节点传输的数据的一个或多个私钥、公钥和/或验证密钥,如本文更详细描述的。
在说明性实施例中,如以上讨论的可以被具体化为硬件、固件、软件、虚拟化硬件、模拟架构、和/或其组合的网络通信器310被配置用于:将密钥的部分分布至节点110、接收来自终端节点150的认证请求、将来自认证请求的信息广播至秘密持有者节点130和定位器节点140、接收来自秘密持有者130和定位器节点的响应、并且基于响应的组合向终端节点150发送认证消息以进行验证。为了这样做,在说明性实施例中,网络通信器310包括凭证请求广播器312和认证消息发送器314。
凭证请求广播器312被配置用于:接收来自终端节点150的认证请求并且将包括来自认证请求的信息的凭证请求广播至一组秘密持有者节点130(包括一个或多个独裁者节点)和一组定位器节点140。认证消息发送器314被配置用于从响应组合器320获得组合的响应并且将所述组合的响应以认证消息的形式发送至终端节点150。应理解的是,凭证请求广播器312和认证消息发送器314中的每一个都可以分别被具体化为硬件、固件、软件、虚拟化硬件、模拟架构、和/或其组合。例如,凭证请求广播器312可以被具体化为硬件部件,而认证消息发送器314被具体化为虚拟化硬件部件或被具体化为硬件、固件、软件、虚拟化硬件、模拟架构和/或其组合的一些其他组合。
如以上讨论的可以被具体化为硬件、固件、软件、虚拟化硬件、模拟架构和/或其组合的响应组合器320被配置用于从一组秘密持有者节点130和一组定位器节点140接收响应、使用存储在密钥数据304中的验证密钥来验证响应、并且将验证响应组合成有待发送至终端节点150的认证消息。为了这样做,在说明性实施例中,响应组合器320包括密码分析器322。密码分析器322被配置用于对表示被部分解密的消息的份额或部分的响应执行密码操作,以验证它们的有效性并将它们组合以生成有待以认证消息的形式传输至终端节点150的返回值。应理解的是,密码分析器322可以被具体化为硬件、固件、软件、虚拟化硬件、模拟架构、和/或其组合。
如以上讨论的可以被具体化为硬件、固件、软件、虚拟化硬件、模拟架构和/或其组合的密钥生成器330被配置用于生成密钥和公钥。在说明性实施例中,密钥生成器330被配置用于生成用于系统100的每个用户的ElGamal系统密钥集。ElGamal加密系统是用于基于Diffie-Hellman密钥交换的公钥密码技术的非对称密钥加密系统。进一步,在说明性实施例中,密钥生成器330被配置用于确定有待分布在秘密持有者节点130当中的密钥的份额。
现参照图4,在使用时,每个秘密持有者节点130可以建立环境400。说明性环境400包括网络通信器410和响应确定器420。环境400中的部件中的每一个都可以被具体化为固件、软件、硬件或其组合。例如,环境400的各个部件和逻辑可以形成秘密持有者节点130的CPU 202或的其他硬件部件的一部分或以其他方式由所述CPU或这些其他硬件部件建立。由此,在一些实施例中,环境400的部件中的任何一个或多个部件可以被具体化为电气设备的电路或集合(例如,网络通信器电路410、响应确定器420等)。在说明性实施例中,环境400另外包括凭证数据402,所述凭证数据可以被具体化为由网关节点120分布至秘密持有者节点130的密钥的份额。进一步,在秘密持有者节点130用于作为独裁者节点(例如,独裁者节点134)进行操作的实施例中,环境400包括独裁者节点数据404,所述独裁者节点数据可以被具体化为密钥的特殊份额以便由独裁者节点使用。如在本文更详细地描述的,如果网关节点120将不包括来自由独裁者节点(例如,独裁者节点134)生成的响应的数据的认证消息发送回至终端节点150,则认证消息将是不完整的并且将不能通过认证过程。
在说明性实施例中,如以上讨论的可以被具体化为硬件、固件、软件、虚拟化硬件、模拟架构和/或其组合的网络通信器410被配置用于接收来自网关节点120的凭证请求并且传输对由响应确定器420确定的凭证请求的响应。为了这样做,在说明性实施例中,网络通信器410包括凭证请求接收器412和响应发送器414。
凭证请求接收器被配置用于接收已经通过网关节点120广播至秘密持有者节点130的凭证请求。在说明性实施例中,凭证请求包括最初包括在由终端节点150发送至网关节点120的认证请求中的信息,诸如一个或多个消息。凭证请求接收器412被配置用于将这个信息传递至响应确定器420以使用在凭证请求和凭证数据402和/或独裁者节点数据404中提供的信息来确定对凭证请求的响应。响应发送器414被配置用于接收由响应确定器确定的响应并且将其发送回至网关节点120以便与来自其他秘密持有者节点130和/或其他节点110(例如,定位器节点140)的响应组合。应理解的是,凭证请求接收器412和响应发送器414中的每一个都可以分别被具体化为硬件、固件、软件、虚拟化硬件、模拟架构、和/或其组合。例如,凭证请求接收器412可以被具体化为硬件部件,而响应发送器414被具体化为虚拟化硬件部件或被具体化为硬件、固件、软件、虚拟化硬件、模拟架构和/或其组合的一些其他组合。
在说明性实施例中,如以上讨论的可以被具体化为硬件、固件、软件、虚拟化硬件、模拟架构和/或其组合的响应确定器420被配置用于接收来自凭证请求接收器412的凭证请求并且基于包括在凭证请求和凭证数据402和/或独裁者节点数据404中的信息来确定响应。在说明性实施例中,响应确定器420被配置用于使用来自凭证请求和凭证数据402和/或独裁者节点数据404的信息来执行密码函数以确定响应。为了这样做,在说明性实施例中,响应确定器420包括密码分析器422。密码分析器422被配置用于使用来自凭证请求的信息以及凭证数据402和/或独裁者节点数据404来执行密码函数(诸如,一个或多个指数函数和一个或多个模量函数的组合)以确定对凭证请求的响应。应理解的是,密码分析器422可以被具体化为硬件、固件、软件、虚拟化硬件、模拟架构、和/或其组合。
现参照图5,在使用时,每个定位器节点140可以建立环境500。说明性环境500包括网络通信器510、位置确定器520、和响应确定器530。环境500中的部件中的每一个都可以被具体化为固件、软件、硬件或其组合。例如,环境500的各个部件和逻辑可以形成定位器节点140的CPU 202或其他硬件部件的一部分或以其他方式由所述CPU或这些其他硬件部件建立。由此,在一些实施例中,环境500的部件中的任何一个或多个部件可以被具体化为电气设备的电路或集合(例如,网络通信器电路510、位置确定器电路520、响应确定器电路530等)。在说明性实施例中,环境500另外包括凭证数据502,所述凭证数据可以被具体化为用于定位器节点的标识信息、私钥和/或其他信息。环境500还可以包括位置数据504,所述位置数据可以被具体化为关于定位器节点140和用户的位置的信息,诸如,地理坐标、位置名称、或位置的其他识别信息。
在说明性实施例中,如以上讨论的可以被具体化为硬件、固件、软件、虚拟化硬件、模拟架构和/或其组合的网络通信器510被配置用于接收来自网关节点120的凭证请求并且传输对由响应确定器530确定的凭证请求的响应。为了这样做,在说明性实施例中,网络通信器510包括凭证请求接收器512和响应发送器514。
凭证请求接收器512被配置用于接收已经通过网关节点120广播至定位器节点140的凭证请求。在说明性实施例中,凭证请求包括最初包括在由终端节点150发送至网关节点120的认证请求中的信息,诸如一个或多个消息。凭证请求接收器512被配置用于将这个信息传递至响应确定器530以使用在凭证请求、凭证数据502和位置数据504中提供的信息来确定对凭证请求的响应。响应发送器514被配置用于接收由响应确定器530确定的响应并且将其发送回至网关节点120以便与来自秘密持有者节点130和/或其他节点110(例如,其他定位器节点140)的响应组合。应理解的是,凭证请求接收器512和响应发送器514中的每一个都可以分别被具体化为硬件、固件、软件、虚拟化硬件、模拟架构、和/或其组合。例如,凭证请求接收器512可以被具体化为硬件部件,而响应发送器514被具体化为虚拟化硬件部件或被具体化为硬件、固件、软件、虚拟化硬件、模拟架构和/或其组合的一些其他组合。
在说明性实施例中,如以上讨论的可以被具体化为硬件、固件、软件、虚拟化硬件、模拟架构和/或其组合的位置确定器520被配置用于确定接近定位器节点的用户的位置。在说明性实施例中,位置确定器520被具体化为、包括或使用位置确定子系统214来确定用户的位置,诸如通过以下操作:通过近距离无线信号(例如,蓝牙、Zigbee、RFID、NRC等)基于来自与用户相关联的设备的信号来感测用户的存在、在视觉上识别用户、或以其他方式检测用户的存在;并且诸如通过以下操作来确定定位器节点140和用户的当前位置:基于来自GPS卫星的信号来确定地理坐标、通过识别信号或测量源自于已知位置(例如,接入点,蜂窝塔等)的信号的强度、和/或由位置确定子系统214支持的其他方法。
在说明性实施例中,如以上讨论的可以被具体化为硬件、固件、软件、虚拟化硬件、模拟架构和/或其组合的响应确定器530被配置用于接收来自凭证请求接收器512的凭证请求并且基于包括在凭证请求、凭证数据502和位置数据504中的信息来确定响应。在说明性实施例中,响应确定器530被配置用于使用来自凭证请求、凭证数据502和位置数据504的信息来执行密码函数以确定响应。为了这样做,在说明性实施例中,响应确定器530包括密码分析器532。密码分析器532被配置用于执行密码函数(诸如组合来自凭证请求消息、凭证数据502和位置数据504的信息的密码散列)以确定对凭证请求的响应。应理解的是,密码分析器532可以被具体化为硬件、固件、软件、虚拟化硬件、模拟架构、和/或其组合。
现参照图6,在使用时,终端节点150可以建立环境600。说明性环境600包括网络通信器610和凭证验证器620。环境600中的部件中的每一个都可以被具体化为固件、软件、硬件或其组合。例如,环境600的各个部件和逻辑可以形成终端节点150的CPU 202或其他硬件部件的一部分或以其他方式由所述CPU或这些其他硬件部件建立。由此,在一些实施例中,环境600的部件中的任何一个或多个部件可以被具体化为电气设备的电路或集合(例如,网络通信器电路610、凭证验证电路620等)。在说明性实施例中,环境600另外包括密钥数据602,所述密钥数据可以被具体化为验证密钥,诸如与定位器节点140相关联的、可用于对由定位器节点140中的一个或多个生成的包括在来自网关节点120的认证消息中的位置信息进行验证的验证密钥。
在说明性实施例中,如以上讨论的可以被具体化为硬件、固件、软件、虚拟化硬件、模拟结构和/或其组合的网络通信器610被配置用于与网关节点120通信,以认证与秘密持有者节点130和定位器节点140中的至少一个相关联的用户并且响应于对所述用户的认证来提供对源的访问,所述源诸如银行账户信息、数据库、网站、或其他数据和/或服务。为了这样做,在说明性实施例中,网络通信器610包括请求发送器612和响应接收器614。
请求发送器612被配置用于将认证请求传输至网关节点120,以提示网关节点120接收来自秘密持有者节点130和定位器节点140的凭证信息(例如,基于凭证数据402、502的响应)。响应接收器614被配置用于接收来自网关节点120的认证消息并且将所述认证消息提供至凭证验证器620以进行分析。应理解的是,请求发送器612和响应接收器614中的每一个都可以分别被具体化为硬件、固件、软件、虚拟化硬件、模拟架构、和/或其组合。例如,请求发送器612可以被具体化为硬件部件,而响应接收器614被具体化为虚拟化硬件部件或硬件、固件、软件、虚拟化硬件、模拟架构和/或其组合的一些其他组合。
在说明性实施例中,如以上讨论的可以被具体化为硬件、固件、软件、虚拟化硬件、模拟架构和/或其组合的凭证验证器620被配置用于从响应接收器614接收认证消息并且验证所述认证消息。为了这样做,凭证验证器包括密码分析器622,所述密码分析器可以被配置用于使用密钥数据和认证消息来执行密码操作以验证认证消息。
现参照图7,在使用时,网关节点120可以执行用于对来自各节点110的信息进行整合的方法700,以使得用户能够对终端节点150进行认证。方法700开始于框702,在所述框中,网关节点120判定是否对来自节点110的信息进行整合。在说明性实施例中,网关节点120可以响应于来自用户、另一设备或在预定时间处这样做的请求来确定执行整合。另外或可替代地,网关节点120可以基于其他因素来确定执行整合。无论如何,如果网关节点120确定执行整合,则方法700前进至框704,在所述框中,网关节点120针对每个用户生成密钥。这样做时,在说明性实施例中,网关节点120生成ElGamal系统密钥,如在框706中所指示的。在说明性实施例中,网关节点120在框708中生成多方密钥并且在框710中生成公钥。在一个实施例中,其中网关节点120用于执行加法整合,网关节点120生成密钥,如下:
SK=SK1+SKD (等式1)
在等式1中,SK表示密钥,SK1表示在秘密持有者节点130之间共享的密钥的一部分,并且SKD表示由独裁者节点(例如,独裁者节点134)存储的密钥的一部分。网关节点120可以生成公钥,如下:
y=gSKmod p (等式2)
在等式2中,y表示公钥,p为素数,并且g为1mod p的原根。
在另一实施例中,其中网关节点120用于执行乘法整合,网关节点120生成如以上描述的公钥并且生成如下密钥:
SK=SK1·SKD (等式3)
在等式3中,SK表示密钥,SK1表示在秘密持有者节点130之间共享的密钥的一部分,并且SKD表示存储在独裁者节点(例如,独裁者节点134)上的密钥的一部分。
在生成密钥之后,方法700前进至框712,在所述框中,网关节点120确定密钥份额。这样做时,在说明性实施例中,网关节点120将生成的密钥SK分布在节点110之间,如在框714中所指示的。在说明性实施例中,网关节点120将多方密钥的份额分布在秘密持有者节点130与独裁者节点(例如,独裁者节点134)之间,如在框716中所指示的。网关节点120可以基于多项式函数来分布份额,如在框718中所指示的。作为示例,在加法整合实施例中,网关节点120使用多项式函数F(x)将密钥SK分布在节点之间,如下:
deg F(x)=k-1 (等式4)
F(0)=SK1=SK-SKD (等式5)
F(x)=fk-1xk-1+fk-1xk-1+…+f1x+SK1 (等式6)
网关节点120为每个秘密持有者节点130指定秘密份额SSi,如下:
SSi=F(x=IDi)=fk-1IDi k-1+fk-2IDi k-2+…+f1IDi+SK1mod q (等式7)
在这个实施例中,网关节点120指定SKD作为独裁者节点134的秘密份额。
在网关节点120用于执行乘法整合的实施例中,除了用于将密钥分布在秘密持有者节点130与独裁者节点134之间的多项式不同之外,网关节点120执行类似的操作,如下:
F(0)=SK1=SK·(SKD)-1 (等式8)
在确定密钥份额之后,方法700前进至框720,在所述框中,网关节点120生成验证密钥。这样做时,在说明性实施例中,网关节点120为秘密持有者节点130生成验证密钥,如在框722中所指示的。另外,在说明性实施例中,网关节点120为定位器节点140生成验证密钥,如在框724中所指示的。在说明性实施例中,网关节点120将秘密持有者节点130和定位器节点140的验证密钥存储在网关节点中(例如,在密钥数据304中),如在框726中所指示的。另外,在说明性实施例中,网关节点120向终端节点150提供定位器节点140的验证密钥以进行存储(例如,存储在密钥数据602中)。在说明性实施例中,网关节点120可以通过不同的通道从不同的节点110获得值。由此,在说明性实施例中,网关节点120验证由每个节点110执行的计算,以总体上提高通信和认证过程的可靠性。网关节点120可以为每个秘密持有者节点130生成验证密钥,如下:
在以上等式中,VKi是第i个秘密持有者节点130的验证密钥,v是随机常数,并且SSi是第i个秘密持有者节点130的秘密份额。进一步,在说明性实施例中,网关节点120为每个定位器节点140生成验证密钥,如下:
在以上等式中,SLi是第i个定位器节点的密钥。
现参照图8,在生成验证密钥之后,方法700前进至框730,在所述框中,网关节点120接收来自终端节点150的认证请求,诸如提供用于认证秘密持有者节点130和定位器节点140的用户的信息的认证请求。在说明性实施例中,如在框732中所指示的,网关节点120接收认证请求,所述认证请求包括基于用于用户的公钥(例如,在框710中生成的公钥)的消息对。所述消息可以包括两个消息a和b,如下:
a=gkmod p (等式11)
b=m ykmod p (等式12)
在以上等式中,y表示公钥,p为素数,并且g为是1mod p的原根,如参照图2所描述的。进一步,k是小于p-1的随机整数。
在接收到来自终端节点150的认证请求之后,方法700前进至框734,在所述框中,网关节点120基于认证请求将凭证请求广播至节点110以进行认证。这样做时,网关节点120可以将所述对中的两个消息之一(例如,“a”消息)广播至秘密持有者节点130和定位器节点140,如在框736中所指示的。另外,网关节点120可以将两个消息之一(例如,“a”消息)广播至独裁者节点(例如,独裁者节点134),如在框738中所指示的。换言之,在网关节点120用于执行加法整合的实施例中,网关节点120将消息广播至秘密持有者节点130、独裁者节点134、和定位器节点140,而在网关节点120用于执行乘法整合的实施例中,网关节点120将消息发送至除了独裁者节点(例如,独裁者节点134)之外的定位器节点140和所有的秘密持有者节点130。
在广播凭证请求之后,方法700前进至框740,在所述框中,网关节点120接收来自节点110的响应。这样做时,网关节点120可以接收来自定位器节点140的响应,如在框742中所指示的。在说明性实施例中,网关节点120接收多方响应,所述多方响应包括定位器节点信息(例如,定位器节点标识、位置信息、时间戳等)和验证签名,所述验证签名是由定位器节点140基于定位器节点信息的散列和定位器节点140的私钥SKLi来计算的,如参照图11更加详细地描述的。
在框746中,网关节点120可以接收来自秘密持有者节点130的响应。这样做时,如在框748中所指示的,网关节点120可以接收来自每个秘密持有者节点130的部分解密消息的份额。在框750中,网关节点120可以接收来自独裁者节点(例如,独裁者节点134)的响应。这样做时,网关节点120可以接收来自每个独裁者节点134的部分解密消息的份额。在说明性实施例中,每个秘密持有者节点130计算部分解密认证消息的份额Partai并且将其发送至网关节点120,如下:
进一步,在说明性实施例中,每个独裁者节点(例如,独裁者节点134)计算部分解密认证消息的份额PartD并且将其发送至网关节点120,如以下:
另外,网关节点120可以根据响应生成确认签名,如在框754中所指示的。在网关节点120用于执行加法整合的实施例中,网关节点120可以生成确认签名,如下:
VVi=VVi,1,VVi,2 (等式15)
为了实施以上等式,网关节点120选择随机数r并且执行以下等式:
v′=vr mod p (等式16)
t=ar mod p (等式18)
VVi,1=Hash(v,a,v′i,Partai,v′,t) (等式19)
VVi,2=SSi*VVi,1+r (等式20)
现参照图9,在网关节点120已经接收到来自节点110的响应之后,方法700前进至框756,在所述框中,网关节点120组合所述响应以确定部分解密的认证消息。这样做时,在框758中,网关节点120可以使用以上所描述的确认签名来验证响应。在说明性实施例中,网关节点120判定每个接收的响应Partai是否满足以下等式:
在以上比较中,v’i等于VKi。在框760中,在验证响应满足以上等式之后,网关节点120可以使用插值程序来计算用于函数F(0)的插值的拉格朗日系数λx_i,如下:
在以上等式中,xi等于IDi,并且i是参与响应以上框734中描述的广播的凭证请求的秘密持有者节点130的数量。
在一些实施例中,诸如网关节点120用于执行乘法整合而不是加法整合的实施例,网关节点120可以向独裁者节点134提供部分认证值aPr’,如下:
在将值aPr’发送至独裁者节点134之后,网关节点120可以接收来自独裁者节点134的认证值aPr,如在框764中所指示的。独裁者节点134可以计算认证值aPr,如下:
在网关节点120用于执行加法整合的实施例中,网关节点120根据等式23计算认证值aPr’。在框766中,网关节点120根据来自节点110的响应来确定返回值ret,如下:
如在框768中所指示的,网关节点120可以另外基于独裁者节点认证值来确定返回值(例如,独裁者节点134根据部分认证值aPr’确定认证值aPr的那些实施例)。
在组合响应以确定部分解密的认证消息之后,在框770中,网关节点将所述部分解密的认证消息提供至终端节点150。这样做时,在说明性实施例中,网关节点120将返回值ret提供至终端节点150,如在框772中所指示的。进一步,如在框774中所指示的,网关节点120使用如下确定的验证信息VL将来自每个定位器节点140的定位器节点信息LIi提供至终端节点150:
VL=XOR(VLi) (等式26)
现参照图10,在使用时,终端节点150可以执行用于对连接至网关节点120的节点110的用户进行认证的方法1000。方法1000开始于框1002,在所述框中,终端节点150判定是否执行认证。终端节点150可以响应于检测到用户已经请求对受终端节点150保护的一个或多个源进行访问或者基于其他因素而确定执行认证。无论如何,响应于确定执行认证,方法1000前进至框1004,在所述框中,终端节点150生成认证请求。这样做时,如在框1006中所指示的,在说明性实施例中,终端节点150生成认证请求,所述认证请求包括基于用户的公钥(例如,在框710中由网关节点120生成的公钥)的消息对(例如,消息a和b)。在说明性实施例中,终端节点150依照以上描述的等式11和12生成消息对。在其他实施例中,终端节点150可以生成包括其他信息的请求。无论如何,在生成认证请求之后,在框1008中终端节点150将认证请求发送至网关节点120。
随后,在框1010中,终端节点150接收来自网关节点120的认证消息,所述认证消息基于来自连接至网关节点120的节点110(例如,秘密持有者节点130、独裁者节点134、和定位器节点140)的组合响应。这样做时,如在框1012中所指示的,终端节点150根据组合的响应来接收由网关节点120生成的返回值。另外,如在框1014中所指示的,终端节点150接收来自网关节点120的定位器节点信息。在终端节点150已经接收到来自网关节点120的认证消息之后,方法1000前进至框1016,在所述框中,终端节点150验证认证消息。这样做时,如在框1018中所指示的,终端节点150验证返回值。另外,如在框1020中所指示的,终端节点150验证定位器节点信息。例如,在说明性实施例中,终端节点150检查验证信息VL的值,如下:
VL=?=XOR(Hash(LIi,SKLi)) (比较27)
进一步对于以上示例,在说明性实施例中,如果以上条件为真,则终端节点检查包括在认证消息中的返回值,如下:
m=?=ret mod p (比较28)
如果以上条件为真,则终端节点150确定认证消息被验证。在框1022中,终端节点150根据认证消息是否被验证而采取动作。如果认证消息未被验证,则终端节点150拒绝对源的访问,如在框1024中所指示的。否则,终端节点150提供对源的访问(例如,提供来自库的信息、提供用于管理银行账户的服务等),如在框1026中所指示的。
现参照图11,在使用时,诸如秘密持有者节点130、独裁者节点134、或定位器节点140等节点110可以执行用于生成对凭证请求的响应的方法1100。方法1100开始于框1102,在所述框中,节点110判定是否已经从网关节点120接收到凭证请求。若是,则方法1100前进至框1104,在所述框中,节点110生成对凭证请求的响应。这样做时,节点110可以生成认证消息的份额,如在框1106中所指示的。如在框1108中所指示的,如果节点110是秘密持有者节点130,则节点110可以生成秘密持有者节点份额,如以上参照图8的框746和748所描述的。如果节点110是独裁者节点(例如,独裁者节点134),如框1110中所指示的,则节点110可以生成独裁者节点份额,如以上参照图8的框750和752所描述的。可替代地,如在框1112中所指示的,如果节点110是定位器节点140,则节点110可以生成定位器节点信息和验证签名,如以上参照图8的框742和744所描述的。
在生成对凭证请求的响应之后,节点110提供对网关节点120的响应。另外,如果节点110是独裁者节点(例如,独裁者节点134),则节点110可以建立独裁者节点认证值,如框1116中所指示的。这样做时,节点110可以接收来自网关节点120的部分认证值aPr’,如在框1118中所指示的。这个操作与图9的框762中的网关节点120的操作相对应。随后,节点110可以基于部分认证值来生成独裁者节点认证值aPr,如在框1120中所指示的。在说明性实施例中,节点110根据以上参照图9的框764描述的等式24来计算独裁者节点认证值。随后,节点110可以将独裁者节点认证值aPr提供至网关节点120,如在框1122中所指示的。
现参照图12,在一些实施例中,节点110中的一些或全部可以被具体化为物联网设备1200并且可能与其他设备一起形成网状网络,所述网状网络可以被称在云网络1252的边缘处操作的雾1250。雾1250可以被认为是大规模互连网络,其中多个IoT设备1200例如通过无线电链路1204彼此通信,(所有这些都未在图12中标记以简化附图并用于阐明)。这可以使用由Open Connectivity FoundationTM(OCF)于2015年12月23日发布的开放互连联盟(OIC)标准规范1.0来执行。这个标准允许设备发现彼此并且建立互连通信。也可以使用其他互连协议,包括例如,最佳的链路状态路由(OLSR)协议、或用于移动自组联网的更好方法(B.A.T.M.A.N.)等。
在图12的示例实施例中示出了三种类型的IoT设备1200:网关1210、数据聚合器1212和凭证提供方(例如,秘密持有者节点和/或定位器节点)1214,但可以使用IoT设备1200和功能的任何组合。网关1210可以是边缘设备,所述边缘设备在云1252与雾1250之间提供通信并且还可以为从凭证提供方1214获得的数据提供后端处理功能。数据聚合器1212可以从任何数量的凭证提供方1214收集数据并且执行后端处理功能以进行分析。可以通过网关1210沿着云1252传递结果、原始数据或两者。凭证提供方1214可以是例如能够既收集数据又处理所述数据的全IoT设备1900。在一些情况下,凭证提供方1214可能在例如收集数据并允许数据聚合器1212或网关1210处理所述数据的功能上更受限制。
来自任何IoT设备1200的通信可以沿着任何IoT设备1200之间的最方便路径传递,以到达网关1210。在这些网络中,互连的数量提供了大量的冗余,即使在多个IoT设备1200丢失的情况下,也允许维持通信。进一步,网状网络的使用可以允许使用功率非常低或位于距基础设施一定距离的IoT设备1200,因为连接到另一IoT设备1200的范围可以远小于连接到网关1210的范围。
可以将IoT设备1200的雾1250设备呈现给云1252中的诸如服务器1220等设备,作为位于云1252的边缘的单个设备(例如雾1250设备)。在这个示例中,来自雾1250设备的数据在未被识别为是来自雾1250内的特定IoT设备1200的情况下可以被发送。例如,即使提供数据的特定IoT设备1900可能未被特定地识别,但数据也可以指示用于支持认证过程的凭证数据。
在一些实施例中,可以使用命令式编程风格来配置IoT设备1200,例如,其中,每个IoT设备1200具有特定功能和通信伙伴。然而,可以以声明性编程风格来配置形成雾1250设备的IoT设备1200,以便允许IoT设备1200重新配置它们的操作和通信,比如以响应于条件、查询和设备故障来确定所需的源。作为示例,来自服务器1220的认证请求可以导致选择IoT设备1200的雾1250提供回答请求所需的凭证数据。来自设备的数据在由雾1250设备发送到服务器1220以回答请求之前,然后可以通过凭证提供方1214、数据聚合器1212或网关1210的任何组合而被聚合和分析。进一步,如果IoT设备1200中的一些不可操作,则雾1250设备中的其他IoT设备1200可以提供相似数据(如果可用的话)。
示例
以下提供了在本文中所公开的技术的说明性示例。所述技术的实施例可以包括下文描述的示例中的任何一者或多者以及其任何组合。
示例1包括网关节点,所述网关节点包括网络通信器,所述网络通信器用于(i)接收来自终端节点的用于对连接至所述网关节点的多个异构节点中的一个或多个异构节点的用户进行认证的请求,以及(ii)将凭证请求广播至所述多个节点;以及响应组合器,所述响应组合器用于组合来自所述多个节点的响应以生成组合的认证消息;并且其中,所述网络通信器进一步用于将所述组合的认证消息发送至所述终端节点以进行认证。
示例2包括如示例1所述的主题,并且其中,所述响应组合器进一步用于根据来自所述多个节点的所述响应来生成确认签名;并且其中,组合所述响应包括根据所述确认签名来验证所述响应。
示例3包括如示例1和2中任一项所述的主题,并且其中,所述响应组合器进一步用于接收来自定位器节点的响应,所述响应包括位置信息以及用于验证所述位置信息的验证签名。
示例4包括如示例1至3中任一项所述的主题,并且其中,接收来自所述终端节点的所述请求包括接收包括由所述终端节点生成的两条消息的请求;广播凭证请求包括广播包括所述两条消息之一的凭证请求;并且所述响应组合器进一步用于基于包括在所述凭证请求中的所述消息来接收由所述节点中的每一个生成的部分解密消息的多个份额。
示例5包括如示例1至4中任一项所述的主题,并且进一步包括密钥生成器,所述密钥生成器用于生成与所述用户相关联的多方密钥和公钥。
示例6包括如示例1至5中任一项所述的主题,并且其中,所述密钥生成器进一步用于将所述多方密钥分布在所述多个节点之间。
示例7包括如示例1至6中任一项所述的主题,并且其中,将所述多方密钥分布在所述节点之间包括基于多项式函数将所述多方密钥的份额分布在秘密持有者节点与至少一个独裁者节点之间。
示例8包括如示例1至7中任一项所述的主题,并且其中,生成所述密钥和所述公钥包括生成ElGamal系统密钥。
示例9包括如示例1至8中任一项所述的主题,并且其中,接收来自所述终端节点的所述请求包括接收基于针对所述用户生成的所述公钥的消息集。
示例10包括如示例1至9中任一项所述的主题,并且进一步包括密钥生成器,所述密钥生成器用于为所述节点中的所述每一个生成验证密钥;并且将所述验证密钥存储在所述网关节点中。
示例11包括如示例1至10中任一项所述的主题,并且其中,生成所述验证密钥包括为一个或多个秘密持有者节点以及至少一个定位器节点中的每一个生成验证密钥;并且其中,所述密钥生成器进一步用于将所述至少一个定位器节点的所述验证密钥发送至所述终端节点以进行存储。
示例12包括如示例1至11中任一项所述的主题,并且其中,组合所述响应进一步包括将部分认证值提供至独裁者节点;基于所述部分认证值从所述独裁者节点接收独裁者节点认证值;并且基于所述独裁者节点认证值来确定返回值,其中将所述组合的认证消息发送至所述终端节点包括将所述返回值发送至所述终端节点。
示例13包括如示例1至12中任一项所述的主题,并且其中,组合所述响应包括根据所述响应来确定拉格朗日系数;并且基于所述拉格朗日系数来确定返回值,其中,将所述组合的认证消息发送至所述终端节点包括将所述返回值发送至所述终端节点。
示例14包括如示例1至13中任一项所述的主题,并且其中,接收来自所述多个异构节点的所述响应包括接收来自定位器节点的位置信息;并且将所述组合的认证消息提供至所述终端节点包括将所述位置信息发送至所述终端节点。
示例15包括一种用于组合来自网络中的多个节点的数据以认证用户的方法,所述方法包括通过网关节点接收来自终端节点的用于对连接至所述网关节点的多个节点中的一个或多个节点的用户进行认证的请求;由所述网关节点将凭证请求广播至所述多个节点;由所述网关节点组合来自所述多个节点的响应以生成组合的认证消息;以及由所述网关节点将所述组合的认证消息发送至所述终端节点以进行认证。
示例16包括如示例15所述的主题,并且进一步包括由所述网关节点根据来自所述多个节点的所述响应来生成确认签名;并且其中,组合所述响应包括根据所述确认签名来验证所述响应。
示例17包括如示例15和16中任一项所述的主题,并且进一步包括接收来自定位器节点的响应,所述响应包括位置信息以及用于验证位置信息的验证签名。
示例18包括如示例15至17中任一项所述的主题,并且其中,接收来自所述终端节点的所述请求包括接收包括由所述终端节点生成的两条消息的请求;并且广播凭证请求包括广播包括所述两条消息之一的凭证请求,所述方法进一步包括基于包括在所述凭证请求中的所述消息来接收由所述节点中的每一个生成的部分解密消息的多个份额。
示例19包括如示例15至18中任一项所述的主题,并且进一步包括生成与所述用户相关联的多方密钥和公钥。
示例20包括如示例15至19中任一项所述的主题,并且进一步包括将所述多方密钥分布在所述多个节点之间。
示例21包括如示例15至20中任一项所述的主题,并且其中,将所述多方密钥分布在所述节点之间包括基于多项式函数将所述多方密钥的份额分布在秘密持有者节点与至少一个独裁者节点之间。
示例22包括如示例15至21中任一项所述的主题,并且其中,生成所述密钥和所述公钥包括生成ElGamal系统密钥。
示例23包括如示例15至22中任一项所述的主题,并且其中,接收来自所述终端节点的所述请求包括接收基于针对所述用户生成的所述公钥的消息集。
示例24包括如示例15至23中任一项所述的主题,并且进一步包括由所述网关节点为所述节点中的所述每一个生成验证密钥;并且将所述验证密钥存储在所述网关节点中。
示例25包括如示例15至24中任一项所述的主题,并且其中,生成所述验证密钥包括为一个或多个秘密持有者节点以及至少一个定位器节点中的每一个生成验证密钥,所述方法进一步包括由所述网关节点将所述至少一个定位器节点的所述验证密钥发送至所述终端节点以进行存储。
示例26包括如示例15至25中任一项所述的主题,并且其中,组合所述响应进一步包括由所述网关节点将部分认证值提供至独裁者节点;由所述网关节点基于所述部分认证值并且从所述独裁者节点接收独裁者节点认证值;并且由所述网关节点基于所述独裁者节点认证值来确定返回值,其中将所述组合的认证消息发送至所述终端节点包括将所述返回值发送至所述终端节点。
示例27包括如示例15至26中任一项所述的主题,并且其中,组合所述响应包括根据所述响应来确定拉尔朗日系数;并且基于所述拉格朗日系数来确定返回值,其中,将所述组合的认证消息发送至所述终端节点包括将所述返回值发送至所述终端节点。
示例28包括如示例15至27中任一项所述的主题,并且其中,接收来自所述多个节点的所述响应包括接收来自定位器节点的位置信息;并且将所述组合的认证消息提供至所述终端节点包括将所述位置信息发送至所述终端节点。
示例29包括一种或多种机器可读存储介质,所述一种或多种机器可读存储介质包括存储于其上的多条指令,所述指令当被执行时使网关节点执行如示例15至28中任一项所述的方法。
示例30包括一种网关节点,所述网关节点包括:用于接收来自终端节点的用于对连接至所述网关节点的多个节点中的一个或多个节点的用户进行认证的请求的装置;用于将凭证请求广播至所述多个节点的装置;用于组合来自所述多个节点的响应以生成组合的认证消息的装置;以及用于将所述组合的认证消息发送至所述终端节点以进行认证的装置。
示例31包括如示例30所述的主题,并且进一步包括用于根据来自所述多个节点的所述响应来生成确认签名的装置;并且其中,用于组合所述响应的所述装置包括用于根据所述确认签名来验证所述响应的装置。
示例32包括如示例30和31中任一项所述的主题,并且进一步包括用于接收来自定位器节点的响应的装置,所述响应包括位置信息以及用于验证所述位置信息的验证签名。
示例33包括如示例30至32中任一项所述的主题,并且其中,用于接收来自所述终端节点的所述请求的所述装置包括用于接收包括由所述终端节点生成的两条消息的请求的装置;并且用于广播凭证请求的所述装置包括用于广播包括所述两条消息之一的凭证请求的装置,所述网关节点进一步包括用于基于包括在所述凭证请求中的所述消息来接收由所述节点中的每一个生成的部分解密消息的多个份额的装置。
示例34包括如示例30至33中任一项所述的主题,并且进一步包括用于生成与所述用户相关联的多方密钥和公钥的装置。
示例35包括如示例30至34中任一项所述的主题,并且进一步包括用于将所述多方密钥分布在所述多个节点之间的装置。
示例36包括如示例30至35中任一项所述的主题,并且其中,用于将所述多方密钥分布在所述节点之间的所述装置包括用于基于多项式函数将所述多方密钥的份额分布在秘密持有者节点与至少一个独裁者节点之间的装置。
示例37包括如示例30至36中任一项所述的主题,并且其中,用于生成所述密钥和所述公钥的所述装置包括用于生成ElGamal系统密钥的装置。
示例38包括如示例30至37中任一项所述的主题,并且其中,用于接收来自所述终端节点的所述请求的所述装置包括用于接收基于针对所述用户生成的所述公钥的消息集的装置。
示例39包括如示例30至38中任一项所述的主题,并且进一步包括用于为所述节点中的所述每一个生成验证密钥的装置;以及用于将所述验证密钥存储在所述网关节点中的装置。
示例40包括如示例30至39中任一项所述的主题,并且其中,用于生成所述验证密钥的所述装置包括用于为一个或多个秘密持有者节点以及至少一个定位器节点中的每一个生成验证密钥的装置,所述网关节点进一步包括用于将所述至少一个定位器节点的所述验证密钥发送至所述终端节点以进行存储的装置。
示例41包括如示例30至40中任一项所述的主题,并且其中,用于组合所述响应的所述装置进一步包括:用于将部分认证值提供至独裁者节点的装置;用于基于所述部分认证值从所述独裁者节点接收独裁者节点认证值的装置;以及用于基于所述独裁者节点认证值来确定返回值的装置,其中,用于将所述组合的认证消息发送至所述终端节点的所述装置包括用于将所述返回值发送至所述终端节点的装置。
示例42包括如示例30至41中任一项所述的主题,并且其中,用于组合所述响应的所述装置包括:用于根据所述响应来确定拉尔朗日系数的装置;以及用于基于所述拉格朗日系数来确定返回值的装置,其中,用于将所述组合的认证消息发送至所述终端节点的所述装置包括用于将所述返回值发送至所述终端节点的装置。
示例43包括如示例30至42中任一项所述的主题,并且其中,用于接收来自所述多个节点的所述响应的所述装置包括用于接收来自定位器节点的位置信息的装置;并且用于将所述组合的认证消息提供至所述终端节点的所述装置包括用于将所述位置信息发送至所述终端节点的装置。
示例44包括一种终端节点,所述终端节点包括网络通信器,所述网络通信器用于:(i)针对用户生成认证请求;(ii)向连接至所述终端节点的网关节点发送所述认证请求,其中,所述网关节点连接至与所述用户相关联的多个异构节点;并且(iii)接收来自所述网关节点的认证消息,其中,所述认证消息基于来自所述节点的响应的组合;以及凭证验证器,所述凭证验证器判定所述认证消息是否被验证。
示例45包括如示例44所述的主题,并且其中,所述凭证验证器进一步用于响应于确定所述认证消息被验证而向用户提供对源的访问。
示例46包括如示例44和45中任一项所述的主题,并且其中,所述凭证验证器进一步用于响应于确定所述认证消息未被验证而拒绝用户对源的访问。
示例47包括如示例44至46中任一项所述的主题,并且其中,生成认证请求包括生成包括基于所述用户的公钥的消息对的认证请求。
示例48包括如示例44至47中任一项所述的主题,并且其中,接收认证消息包括根据所述节点的所述组合的响应来接收由所述网关节点生成的返回值。
示例49包括如示例44至48中任一项所述的主题,并且其中,验证所述认证消息包括验证由所述网关节点生成的所述返回值。
示例50包括如示例44至49中任一项所述的主题,并且其中,接收认证消息包括接收包括来自连接至所述网关节点的定位器节点的位置信息的认证消息。
示例51包括如示例44至50中任一项所述的主题,并且其中,验证所述认证消息包括验证所述位置信息。
示例52包括一种用于认证用户的方法,所述方法包括:由终端节点针对用户生成认证请求;由所述终端节点将认证请求发送至连接至所述终端节点的网关节点,其中,所述网关节点连接至与所述用户相关联的多个异构节点;由所述终端节点接收来自所述网关节点的认证消息,其中,所述认证消息基于来自所述节点的响应的组合;以及由所述终端节点判定所述认证消息是否被验证。
示例53包括如示例52所述的主题,并且进一步包括响应于确定所述认证消息被验证而向用户提供对源的访问。
示例54包括如示例52和53中任一项所述的主题,并且进一步包括响应于确定所述认证消息未被验证而拒绝用户对源的访问。
示例55包括如示例52至54中任一项所述的主题,并且其中,生成认证请求包括生成包括基于所述用户的公钥的消息对的认证请求。
示例56包括如示例52至55中任一项所述的主题,并且其中,接收认证消息包括根据所述节点的所述组合的响应来接收由所述网关节点生成的返回值。
示例57包括如示例52至56中任一项所述的主题,并且其中,验证所述认证消息包括验证由所述网关节点生成的所述返回值。
示例58包括如示例52至57中任一项所述的主题,并且其中,接收认证消息包括接收包括来自连接至所述网关节点的定位器节点的位置信息的认证消息。
示例59包括如示例52至58中任一项所述的主题,并且其中,验证所述认证消息包括验证所述位置信息。
示例60包括一种或多种机器可读存储介质,所述一种或多种机器可读存储介质包括存储于其上的多条指令,所述指令当被执行时使终端节点执行如示例52至60中任一项所述的方法。
示例61包括一种终端节点,所述终端节点包括:用于针对用户生成认证请求的装置;用于将认证请求发送至连接至所述终端节点的网关节点的装置,其中,所述网关节点连接至与所述用户相关联的多个异构节点;用于接收来自所述网关节点的认证消息的装置,其中,所述认证消息基于来自所述节点的响应的组合;以及用于判定所述认证消息是否被验证的装置。
示例62包括如示例61所述的主题,并且进一步包括用于响应于确定所述认证消息被验证而向用户提供对源的访问的装置。
示例63包括如示例61和62中任一项所述的主题,并且进一步包括用于响应于确定所述认证消息未被验证而拒绝用户对源访问的装置。
示例64包括如示例61至63中任一项所述的主题,并且其中,用于生成认证请求的所述装置包括用于生成包括基于所述用户的公钥的消息对的认证请求的装置。
示例65包括如示例61至64中任一项所述的主题,并且其中,用于接收认证消息的所述装置包括用于根据所述节点的所述组合的响应来接收由所述网关节点生成的返回值的装置。
示例66包括如示例61至65中任一项所述的主题,并且其中,用于验证所述认证消息的所述装置包括用于验证由所述网关节点生成的所述返回值的装置。
示例67包括如示例61至66中任一项所述的主题,并且其中,用于接收认证消息的所述装置包括用于接收包括来自连接至所述网关节点的定位器节点的位置信息的认证消息的装置。
示例68包括如示例61至67中任一项所述的主题,并且其中,用于验证所述认证消息的所述装置包括用于验证所述位置信息的装置。
示例69包括一种节点,所述节点包括:网络通信器,所述网络通信器用于接收来自连接至所述节点的网关节点的凭证请求;以及响应确定器,所述响应确定器用于生成对所述凭证请求的响应以与来自至少一个其他节点的第二响应组合,其中,所述网络通信器进一步用于将所述响应提供至所述网关节点以用于认证所述节点的用户。
示例70包括如示例69所述的主题,并且其中,所述网络通信器进一步用于接收来自所述网关节点的多方密钥的份额;并且其中,生成所述响应包括根据所述多方密钥生成认证消息的一部分。
示例71包括如示例69和70中任一项所述的主题,并且其中,所述响应生成器进一步用于:根据从所述网关节点接收的所述多方密钥的所述份额来建立独裁者节点认证值;并且将所述独裁者节点认证值提供至所述网关节点。
示例72包括如示例69至71中任一项所述的主题,并且其中,建立所述独裁者节点认证值包括:接收来自所述网关节点的部分认证值;并且基于所述部分认证值来生成所述独裁者节点认证值。
示例73包括如示例69至72中任一项所述的主题,并且其中,生成对所述凭证请求的所述响应包括基于所接收的所述多方密钥的份额生成指示所述用户的位置的位置信息以及用于验证所述位置信息的验证签名。
示例74包括一种用于提供用于认证用户的凭证集的一部分的方法,所述方法包括由节点接收来自连接至所述节点的网关节点的凭证请求;由所述节点生成对所述凭证请求的响应以与来自至少一个其他节点的第二响应组合;并且由所述节点将所述响应提供至所述网关节点,以用于认证所述节点的用户。
示例75包括如示例74所述的主题,并且进一步包括由所述节点从所述网关节点接收多方密钥的份额,其中,生成所述响应包括根据所述多方密钥生成认证消息的一部分。
示例76包括如示例74和75中任一项所述的主题,并且进一步包括:由所述节点根据从所述网关节点接收的所述多方密钥的所述份额来建立独裁者节点认证值;以及由所述节点将所述独裁者节点认证值提供给所述网关节点。
示例77包括如示例74至76中任一项所述的主题,并且其中,建立独裁者节点认证值包括:接收来自所述网关节点的部分认证值;以及基于所述部分认证值来生成所述独裁者节点认证值。
示例78包括如示例74至77中任一项所述的主题,并且其中,生成对所述凭证请求的所述响应包括基于所接收的所述多方密钥的份额来生成指示所述用户的位置的位置信息以及用于验证所述位置信息的验证签名。
示例79包括一种或多种机器可读存储介质,所述一种或多种机器可读存储介质包括存储于其上的多条指令,所述指令当被执行时使节点执行如示例74至78中任一项所述的方法。
示例80包括一种节点,所述节点包括:用于接收来自连接至所述节点的网关节点的凭证请求的装置;用于生成对所述凭证请求的响应以与来自至少一个其他节点的第二响应组合的装置;以及用于将所述响应提供至所述网关节点以用于认证所述节点的用户的装置。
示例81包括如示例80所述的主题,并且进一步包括用于从所述网关节点接收多方密钥的份额的装置,其中,用于生成所述响应的所述装置包括用于根据所述多方密钥生成认证消息的一部分的装置。
示例82包括如示例80和81中任一项所述的主题,并且进一步包括:用于根据从所述网关节点接收的所述多方密钥的所述份额来建立独裁者节点认证值的装置;以及用于将所述独裁者节点认证值提供至所述网关节点的装置。
示例83包括如示例80至82中任一项所述的主题,并且其中,建立独裁者节点认证值包括:用于接收来自所述网关节点的部分认证值的装置;以及用于基于所述部分认证值来生成所述独裁者节点认证值的装置。
示例84包括如示例80至83中任一项所述的主题,并且其中,用于生成对所述凭证请求的所述响应的所述装置包括用于基于所接收的所述多方密钥的份额生成指示所述用户的位置的位置信息以及用于验证所述位置信息的验证签名的装置。

Claims (25)

1.一种网关节点,包括:
网络通信器,用于(i)接收来自终端节点的用于对连接至所述网关节点的多个异构节点中的一个或多个异构节点的用户进行认证的请求,以及(ii)将凭证请求广播至所述多个节点;以及
响应组合器,用于组合来自所述多个节点的响应以生成组合的认证消息;并且
其中,所述网络通信器进一步用于将所述组合的认证消息发送至所述终端节点以进行认证。
2.如权利要求1所述的网关节点,其特征在于,所述响应组合器进一步用于:
根据来自所述多个节点的所述响应来生成确认签名;以及
其中,组合所述响应包括根据所述确认签名来验证所述响应。
3.如权利要求1所述的网关节点,其特征在于,所述响应组合器进一步用于接收来自定位器节点的响应,所述响应包括位置信息以及用于验证所述位置信息的验证签名。
4.如权利要求1所述的网关节点,其特征在于:
接收来自所述终端节点的所述请求包括接收包括由所述终端节点生成的两条消息的请求;
广播凭证请求包括广播包括所述两条消息之一的凭证请求;以及
所述响应组合器进一步用于基于包括在所述凭证请求中的所述消息来接收由所述节点中的每一个节点生成的部分解密消息的多个份额。
5.如权利要求1所述的网关节点,其特征在于,进一步包括密钥生成器,所述密钥生成器用于生成与所述用户相关联的多方密钥和公钥。
6.如权利要求5所述的网关节点,其特征在于,所述密钥生成器进一步用于将所述多方密钥分布在所述多个节点之间。
7.如权利要求6所述的网关节点,其特征在于,将所述多方密钥分布在所述节点之间包括基于多项式函数将所述多方密钥的份额分布在秘密持有者节点与至少一个独裁者节点之间。
8.如权利要求5所述的网关节点,其特征在于,生成所述密钥和所述公钥包括生成ElGamal系统密钥。
9.如权利要求5所述的网关节点,其特征在于,接收来自所述终端节点的所述请求包括接收基于针对所述用户生成的所述公钥的消息集。
10.如权利要求1所述的网关节点,其特征在于,进一步包括:
密钥生成器,用于针对所述节点中的所述每一个节点生成验证密钥;并且
将所述验证密钥存储在所述网关节点中。
11.如权利要求10所述的网关节点,其特征在于,生成所述验证密钥包括为一个或多个秘密持有者节点以及至少一个定位器节点中的每一个生成验证密钥;并且
其中,所述密钥生成器进一步用于将所述至少一个定位器节点的所述验证密钥发送至所述终端节点以进行存储。
12.如权利要求1所述的网关节点,其特征在于,组合所述响应进一步包括:
将部分认证值提供至独裁者节点;
基于所述部分认证值从所述独裁者节点接收独裁者节点认证值;以及
基于所述独裁者节点认证值来确定返回值,
其中,将所述组合的认证消息发送至所述终端节点包括将所述返回值发送至所述终端节点。
13.一种用于组合来自网络中的多个节点的数据以认证用户的方法,所述方法包括:
由网关节点接收来自终端节点的用于对连接至所述网关节点的多个节点中的一个或多个节点的用户进行认证的请求;
由所述网关节点将凭证请求广播至所述多个节点;
由所述网关节点组合来自所述多个节点的响应以生成组合的认证消息;以及
由所述网关节点将所述组合的认证消息发送至所述终端节点以进行认证。
14.如权利要求13所述的方法,其特征在于,进一步包括:
由所述网关节点根据来自所述多个节点的所述响应来生成确认签名;并且
其中,组合所述响应包括根据所述确认签名来验证所述响应。
15.如权利要求13所述的方法,其特征在于,进一步包括接收来自定位器节点的响应,所述响应包括位置信息以及用于验证所述位置信息的验证签名。
16.如权利要求13所述的方法,其特征在于:
接收来自所述终端节点的所述请求包括接收包括由所述终端节点生成的两条消息的请求;并且
广播凭证请求包括广播包括所述两条消息之一的凭证请求,
所述方法进一步包括:
基于包括在所述凭证请求中的所述消息来接收由所述节点中的每一个节点生成的部分解密消息的多个份额。
17.如权利要求13所述的方法,其特征在于,进一步包括生成与所述用户相关联的多方密钥和公钥。
18.如权利要求17所述的方法,其特征在于,进一步包括将所述多方密钥分布在所述多个节点之间。
19.如权利要求18所述的方法,其特征在于,将所述多方密钥分布在所述节点之间包括基于多项式函数将所述多方密钥的份额分布在秘密持有者节点与至少一个独裁者节点之间。
20.如权利要求17所述的方法,其特征在于,生成所述密钥和所述公钥包括生成ElGamal系统密钥。
21.如权利要求17所述的方法,其特征在于,接收来自所述终端节点的所述请求包括接收基于针对所述用户生成的所述公钥的消息集。
22.如权利要求13所述的方法,其特征在于,进一步包括:
由所述网关节点为所述节点中的所述每一个节点生成验证密钥;以及
将所述验证密钥存储在所述网关节点中。
23.如权利要求22所述的方法,其特征在于,生成所述验证密钥包括为一个或多个秘密持有者节点以及至少一个定位器节点中的每一个生成验证密钥,
所述方法进一步包括由所述网关节点将所述至少一个定位器节点的所述验证密钥发送至所述终端节点以进行存储。
24.一种或多种机器可读存储介质,包括存储于其上的多条指令,所述指令当被执行时使网关节点执行如权利要求13至23中任一项所述的方法。
25.一种网关节点,包括用于执行如权利要求13至23中任一项所述的方法的装置。
CN201680088899.4A 2016-09-30 2016-09-30 用于异构型网络中的多个设备认证的技术 Active CN109644126B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/IB2016/001520 WO2018060754A1 (en) 2016-09-30 2016-09-30 Technologies for multiple device authentication in a heterogeneous network

Publications (2)

Publication Number Publication Date
CN109644126A true CN109644126A (zh) 2019-04-16
CN109644126B CN109644126B (zh) 2022-05-13

Family

ID=57421898

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201680088899.4A Active CN109644126B (zh) 2016-09-30 2016-09-30 用于异构型网络中的多个设备认证的技术

Country Status (4)

Country Link
US (2) US11438147B2 (zh)
CN (1) CN109644126B (zh)
DE (1) DE112016007301T5 (zh)
WO (1) WO2018060754A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112199649A (zh) * 2020-09-28 2021-01-08 扬州大学 基于区块链的移动边缘计算下的匿名身份验证方法
CN114079566A (zh) * 2020-08-05 2022-02-22 阿里巴巴集团控股有限公司 物联网设备认证方法、设备及存储介质

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11438147B2 (en) * 2016-09-30 2022-09-06 Intel Corporation Technologies for multiple device authentication in a heterogeneous network
US11296873B2 (en) * 2017-06-07 2022-04-05 Nchain Licensing Ag Methods and systems to establish trusted peer-to-peer communications between nodes in a blockchain network
US11503468B2 (en) * 2018-10-08 2022-11-15 Sygnali Llc System and method for continuously validating and authenticating a host and sensor pair
US11736456B2 (en) * 2020-09-29 2023-08-22 International Business Machines Corporation Consensus service for blockchain networks
WO2024076104A1 (en) * 2022-10-04 2024-04-11 Samsung Electronics Co., Ltd. Pin join notification for supporting implicit joining personal iot network

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002021766A1 (en) * 2000-09-04 2002-03-14 The University Of Melbourne A wireless distributed authentication system
CN101436969A (zh) * 2007-11-15 2009-05-20 华为技术有限公司 网络接入方法、装置及系统
US20090235347A1 (en) * 2008-03-12 2009-09-17 Yahoo! Inc. Method and system for securely streaming content
CN104025542A (zh) * 2011-08-31 2014-09-03 汤姆逊许可公司 用于终端用户设备的配置数据的安全的备份和恢复的方法以及使用该方法的设备
CN104507082A (zh) * 2014-12-16 2015-04-08 南京邮电大学 一种基于哈希双向认证的无线传感网络定位安全方法
CN105227538A (zh) * 2014-03-07 2016-01-06 优倍快网络公司 云设备的识别和认证
US20160323110A1 (en) * 2014-05-21 2016-11-03 Amazon Technologies, Inc. Web of trust management in a distributed system

Family Cites Families (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5937066A (en) 1996-10-02 1999-08-10 International Business Machines Corporation Two-phase cryptographic key recovery system
US6055508A (en) * 1998-06-05 2000-04-25 Yeda Research And Development Co. Ltd. Method for secure accounting and auditing on a communications network
US6687823B1 (en) * 1999-05-05 2004-02-03 Sun Microsystems, Inc. Cryptographic authorization with prioritized and weighted authentication
US7200752B2 (en) * 2000-11-13 2007-04-03 Thomson Licensing Threshold cryptography scheme for message authentication systems
US7383570B2 (en) * 2002-04-25 2008-06-03 Intertrust Technologies, Corp. Secure authentication systems and methods
US7448077B2 (en) * 2002-05-23 2008-11-04 International Business Machines Corporation File level security for a metadata controller in a storage area network
JP2005100255A (ja) 2003-09-26 2005-04-14 Hitachi Software Eng Co Ltd パスワード変更方法
US9842204B2 (en) * 2008-04-01 2017-12-12 Nudata Security Inc. Systems and methods for assessing security risk
US8352729B2 (en) * 2008-07-29 2013-01-08 International Business Machines Corporation Secure application routing
WO2010047801A1 (en) * 2008-10-22 2010-04-29 Azigo, Inc. Brokered information sharing system
TWI389536B (zh) * 2008-11-07 2013-03-11 Ind Tech Res Inst 階層式金鑰為基礎之存取控制系統與方法,以及其認證金鑰交換方法
US8688940B2 (en) 2008-12-18 2014-04-01 Sandisk Technologies Inc. Method for using a CAPTCHA challenge to protect a removable mobile flash memory storage device
US8856879B2 (en) * 2009-05-14 2014-10-07 Microsoft Corporation Social authentication for account recovery
CN102142961B (zh) * 2010-06-30 2014-10-08 华为技术有限公司 一种网关、节点和服务器进行鉴权的方法、装置及系统
BR112013007246B1 (pt) * 2010-09-27 2021-11-30 Wsou Investments, Llc Método e provedor de serviço para recuperar uma conta de usuário, método e sistema de gerenciamento de identidade para obter um token de recuperação de conta e meios de armazenamento legíveis por computador
US8490166B2 (en) * 2010-12-29 2013-07-16 Facebook, Inc. Identifying a user account in a social networking system
US9348981B1 (en) * 2011-01-23 2016-05-24 Google Inc. System and method for generating user authentication challenges
US8522327B2 (en) * 2011-08-10 2013-08-27 Yahoo! Inc. Multi-step captcha with serial time-consuming decryption of puzzles
US9037864B1 (en) * 2011-09-21 2015-05-19 Google Inc. Generating authentication challenges based on social network activity information
US20130097697A1 (en) * 2011-10-14 2013-04-18 Microsoft Corporation Security Primitives Employing Hard Artificial Intelligence Problems
US8955065B2 (en) * 2012-02-01 2015-02-10 Amazon Technologies, Inc. Recovery of managed security credentials
FR2990094A1 (fr) * 2012-04-26 2013-11-01 Commissariat Energie Atomique Methode et systeme d'authentification des noeuds d'un reseau
AU2013317705B2 (en) * 2012-09-21 2017-11-16 Myriota Pty Ltd Communication system and method
FR3002670B1 (fr) * 2013-02-27 2016-07-15 Oberthur Technologies Procede et systeme de traitement cryptographique utilisant une donnee sensible
EP2979462B1 (en) * 2013-03-29 2019-05-22 Mobileum Inc. Method and system for facilitating lte roaming between home and visited operators
US8971540B2 (en) * 2013-05-30 2015-03-03 CertiVox Ltd. Authentication
US8966614B2 (en) * 2013-05-31 2015-02-24 University Of Ontario Institute Of Technology Systems, methods, and computer program products for providing video-passwords for user authentication
US9256725B2 (en) * 2014-02-26 2016-02-09 Emc Corporation Credential recovery with the assistance of trusted entities
CN106416120B (zh) * 2014-05-26 2019-12-27 诺基亚技术有限公司 用于处理信息的装置、方法以及计算机可读介质
GB2513260B (en) 2014-06-27 2018-06-13 PQ Solutions Ltd System and method for quorum-based data recovery
FR3028701B1 (fr) 2014-11-13 2017-12-22 Inria Inst Nat Rech Informatique & Automatique Dispositif de generation de rushes cinematographiques par analyse video
US10061914B2 (en) * 2014-11-14 2018-08-28 Mcafee, Llc Account recovery protocol
US10397195B2 (en) * 2015-07-17 2019-08-27 Robert Bosch Gmbh Method and system for shared key and message authentication over an insecure shared communication medium
WO2017168194A1 (en) 2016-04-01 2017-10-05 Intel Corporation Technologies for multifactor threshold authentification
US11438147B2 (en) * 2016-09-30 2022-09-06 Intel Corporation Technologies for multiple device authentication in a heterogeneous network
WO2020005328A2 (en) * 2018-02-09 2020-01-02 Orbs Ltd. Decentralized application platform for private key management
US10944776B2 (en) * 2018-07-13 2021-03-09 Ribbon Communications Operating Company, Inc. Key performance indicator anomaly detection in telephony networks
US11283623B1 (en) * 2019-06-03 2022-03-22 Wells Fargo Bank, N.A. Systems and methods of using group functions certificate extension
US20210368341A1 (en) * 2020-08-10 2021-11-25 Ching-Yu LIAO Secure access for 5g iot devices and services
US20230156704A1 (en) * 2022-01-13 2023-05-18 Intel Corporation Harq-ack transmission supporting multi-cell scheduling

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002021766A1 (en) * 2000-09-04 2002-03-14 The University Of Melbourne A wireless distributed authentication system
CN101436969A (zh) * 2007-11-15 2009-05-20 华为技术有限公司 网络接入方法、装置及系统
US20090235347A1 (en) * 2008-03-12 2009-09-17 Yahoo! Inc. Method and system for securely streaming content
CN104025542A (zh) * 2011-08-31 2014-09-03 汤姆逊许可公司 用于终端用户设备的配置数据的安全的备份和恢复的方法以及使用该方法的设备
CN105227538A (zh) * 2014-03-07 2016-01-06 优倍快网络公司 云设备的识别和认证
US20160323110A1 (en) * 2014-05-21 2016-11-03 Amazon Technologies, Inc. Web of trust management in a distributed system
CN104507082A (zh) * 2014-12-16 2015-04-08 南京邮电大学 一种基于哈希双向认证的无线传感网络定位安全方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
BART PRENEEL: "Threshold-Based Location-Aware Access Control", 《HTTPS://WWW.COSIC.ESAT.KULEUVEN.BE/PUBLICATIONS/ARTICLE-1486》 *
ERINN ATWATER: "Shatter, SECURITY PRIVACY IN WIRELESS AND MOBILE NETWORKS", 《ACM》 *
ROEL PEETERS: "Security Architecture for Things That Think", 《HTTP://WWW.IACR.ORG/PHDS/》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114079566A (zh) * 2020-08-05 2022-02-22 阿里巴巴集团控股有限公司 物联网设备认证方法、设备及存储介质
CN112199649A (zh) * 2020-09-28 2021-01-08 扬州大学 基于区块链的移动边缘计算下的匿名身份验证方法
CN112199649B (zh) * 2020-09-28 2021-06-18 扬州大学 基于区块链的移动边缘计算下的匿名身份验证方法

Also Published As

Publication number Publication date
WO2018060754A1 (en) 2018-04-05
US11438147B2 (en) 2022-09-06
US11949780B2 (en) 2024-04-02
DE112016007301T5 (de) 2019-06-19
CN109644126B (zh) 2022-05-13
US20220360432A1 (en) 2022-11-10
US20210203485A1 (en) 2021-07-01

Similar Documents

Publication Publication Date Title
CN109644126A (zh) 用于异构型网络中的多个设备认证的技术
CN112970236B (zh) 协作风险感知认证
CN110635911B (zh) 针对移动应用的本机单点登录(sso)的方法、设备和介质
CN106464698B (zh) 经由信任链保护无线网状网络
CN106576043A (zh) 病毒式可分配可信消息传送
CN110024347A (zh) 安全构建网络结构
CN110879879A (zh) 物联网身份认证方法、装置、电子设备、系统及存储介质
Chen et al. Private reputation retrieval in public–a privacy‐aware announcement scheme for VANETs
Gurabi et al. Hardware based two-factor user authentication for the internet of things
Chen et al. A full lifecycle authentication scheme for large-scale smart IoT applications
EP3364594B1 (en) Using a single certificate request to generate credentials with multiple ecqv certificates
Kumar et al. An empirical evaluation of various digital signature scheme in wireless sensor network
Duan et al. Design of anonymous authentication scheme for vehicle fog services using blockchain
CN103685216A (zh) 信息处理设备及其系统和方法、程序以及客户端终端
CN109981558B (zh) 智能家居设备的认证方法、设备及系统
CN108141434B (zh) 经由设备通知提供多因素认证凭证
Kamarudin et al. IBE_Trust Authentication for e-health mobile monitoring system
CN116015695A (zh) 资源访问方法、系统、装置、终端及存储介质
Hegde et al. Secure search scheme for encrypted data in the VANET cloud with random query trapdoor
Zhang Secure mobile service-oriented architecture
US20210195418A1 (en) A technique for authenticating data transmitted over a cellular network
US9043592B1 (en) Communicating trust models to relying parties
CN112367192B (zh) 虚拟组网自动组建的方法、装置及系统
CN115037484B (zh) 数字藏品的领用方法、装置及电子设备
Chifor et al. A Participatory Verification security scheme for the Internet of Things

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant