CN110999253B - 网状设备及其方法、计算机可读介质以及电子装置 - Google Patents
网状设备及其方法、计算机可读介质以及电子装置 Download PDFInfo
- Publication number
- CN110999253B CN110999253B CN201880054038.3A CN201880054038A CN110999253B CN 110999253 B CN110999253 B CN 110999253B CN 201880054038 A CN201880054038 A CN 201880054038A CN 110999253 B CN110999253 B CN 110999253B
- Authority
- CN
- China
- Prior art keywords
- packet
- information
- src address
- address
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0414—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
描述了一种由网状设备进行的方法。该方法包括:利用与接收的分组的网络标识符(NID)相匹配的隐私密钥来对该分组的第一信息进行去混淆。该方法还包括:基于经去混淆的第一信息来确定是否要对该分组的第二信息进行解密。
Description
相关申请
本申请与以下申请相关并且要求享受来自以下申请的优先权:于2017年8月23日提交的、针对“SYSTEMS AND METHODS FOR OPTIMIZED NETWORK LAYER MESSAGEPROCESSING”的印度临时专利申请No.201741029838。
技术领域
概括地说,本公开内容涉及无线通信。更具体地,本公开内容涉及用于经优化的网络层消息处理的系统和方法。
背景技术
在最近数十年来,对无线通信设备的使用已经变得常见。具体而言,电子技术的发展已经减少了日益复杂并且有用的无线通信设备的成本。成本减少以及消费者需求已经使得对无线通信设备的使用激增,从而使得它们在现代社会中几乎无处不在。随着对无线通信设备的使用已经扩张,对无线通信设备的新的并且改进的特征的需求也随之扩张。更具体而言,执行新功能和/或更快、更高效或更可靠地执行功能的无线通信设备常常是所追求的。
技术的进步已经导致更小且更强大的无线通信设备。例如,目前存在各种无线通信设备,比如均是小型、轻量级并且能够容易被用户携带的便携式无线电话(例如,智能电话)、个人数字助理(PDA)、膝上型计算机平板计算机和寻呼设备。
无线通信设备可以利用一种或多种无线通信技术。例如,无线通信设备可以使用蓝牙技术或其它无线技术进行通信。在一些情况下,无线通信设备可以是网状网络中的节点。目前,网状网络中的网状设备所接收的分组在对照网络密钥被认证之前必须被去混淆并且解密。然而,可以通过基于来自分组的经去混淆的信息来确定是否要执行解密认证,从而优化网络层消息处理。
发明内容
描述了一种由网状设备进行的方法。所述方法包括:利用与接收的分组的网络标识符(NID)相匹配的隐私密钥来对所述分组的第一信息进行去混淆。所述方法还包括:基于经去混淆的第一信息来确定是否要对所述分组的第二信息进行解密。
所述分组可以是蓝牙低能网状分组。所述第一信息可以包括序列号(SEQ)和/或源(SRC)地址中的至少一项。所述第二信息可以包括目的地(DST)信息和有效载荷。
确定是否要对所述第二信息进行解密可以包括:确定所述分组的所述SRC地址是有效的。确定所述分组的所述SRC地址是有效的可以包括:确定所述SRC地址不是未被指派的组地址或虚拟地址。确定所述分组的所述SRC地址是有效的可以包括:确定所述SRC地址不属于所述网状设备。如果所述SRC地址是无效的,则所述方法还可以包括:使用具有与所述分组的所述NID相匹配的NID的所有已知网络来确定所述分组的所述SRC地址是否是有效的。如果所述SRC地址是无效的,则所述分组可以在不对所述第二信息进行解密的情况下被丢弃。
如果所述SRC地址是有效的,则确定是否要对所述第二信息进行解密还可以包括:确定在网络消息高速缓存中是否已经存在所述分组的SEQ和所述SRC地址。如果在所述网络消息高速缓存中已经存在所述分组的所述SEQ和所述SRC地址,则所述分组可以在不对所述第二信息进行解密的情况下被丢弃。如果在所述网络消息高速缓存中不存在所述分组的所述SEQ和所述SRC地址,则所述第二信息可以被解密。
还描述一种网状设备。所述网状设备包括:处理器;存储器,其与所述处理器相通信;以及被存储在所述存储器中的指令。所述指令可由所述处理器执行以进行以下操作:利用与接收的分组的NID相匹配的隐私密钥来对所述分组的第一信息进行去混淆。所述指令还可执行以进行以下操作:基于经去混淆的第一信息来确定是否要对所述分组的第二信息进行解密。
还描述了一种存储计算机可执行代码的非暂时性有形计算机可读介质。所述计算机可读介质包括:用于使得网状设备利用与接收的分组的NID相匹配的隐私密钥来对所述分组的第一信息进行去混淆的代码。所述计算机可读介质还包括:用于使得所述网状设备基于经去混淆的第一信息来确定是否要对所述分组的第二信息进行解密的代码。
还描述一种装置。所述装置包括:用于利用与接收的分组的NID相匹配的隐私密钥来对所述分组的第一信息进行去混淆的单元。所述装置还包括:用于基于经去混淆的第一信息来确定是否要对所述分组的第二信息进行解密的单元。
附图说明
图1是示出其中可以实现经优化的网络层消息处理的无线通信系统的一种配置的框图;
图2是示出用于经优化的网络层消息处理的方法的流程图;
图3是示出用于经优化的网络层消息处理的另一种方法的流程图;
图4示出了网状网络协议数据单元(PDU)的例子;
图5是示出用于根据蓝牙网状规范的网络层消息处理的方法的流程图;
图6是示出用于经优化的网络层消息处理的方法的流程图;以及
图7示出可以被包括在网状设备内的某些组件。
具体实施方式
现在参照附图描述各种配置,其中相同的附图标记可以指示功能上相似的元素。可以在多种多样的不同配置中布置和设计如本文附图中总体描述并且示出的系统和方法。因此,下文对如在附图中表示的若干配置的更详细的描述并不旨在限制系统和方法的范围(如所要求保护的),而仅是代表这些系统和方法。
图1是示出了其中可以实现经优化的网络层消息处理的无线通信系统的一种配置的框图。无线通信系统可以包括网状设备102和一个或多个远程网状设备104。无线通信系统被广泛地部署以提供诸如语音、数据等的各种类型的通信内容。
一些无线通信设备可以使用多种通信技术。例如,一种通信技术可以用于移动无线系统(MWS)(例如,蜂窝)通信,而另一种通信技术可以用于无线连接(WCN)通信。MWS可以指代较大的无线网络(例如,无线广域网(WWAN)、蜂窝电话网络、长期演进(LTE)网络、全球移动通信系统(GSM)网络、码分多址(CDMA)网络、CDMA2000网络、宽带CDMA(W-CDMA)网络、通用移动电信系统(UMTS)网络、全球微波接入互操作性(WiMAX)网络等)。WCN可以指代相对较小的无线网络(例如,无线局域网(WLAN)、无线个域网(WPAN)、电气与电子工程师协会(IEEE)802.11(Wi-Fi)网络、蓝牙(BT)网络、无线通用串行总线(USB)网络等)。
无线通信系统(例如,多址系统)中的通信可以通过无线链路上的传输来实现。这样的无线链路可以是经由单输入单输出(SISO)、多输入单输出(MISO)或多输入多输出(MIMO)系统来建立的。MIMO系统包括发射机和接收机,其分别被配备有用于数据传输的多个(NT个)发射天线和多个(NR个)接收天线。SISO和MISO系统是MIMO系统的特定实例。如果利用由多个发射和接收天线创建的额外维度,则MIMO系统可以提供改善的性能(例如,更高的吞吐量、更大的容量或改善的可靠性)。
网状设备102是可以被配置为使用蓝牙网状协议或其它网状协议来进行通信的电子设备。网状设备102还可以被称为无线通信设备、无线设备、移动设备、移动站、用户站、客户端、客户端站、用户设备(UE)、远程站、接入终端、移动终端、终端、用户终端、用户单元等。网状设备102的例子包括膝上型计算机或者台式计算机、蜂窝电话、智能电话、无线调制解调器、电子阅读器、平板设备、游戏系统、键盘、小键盘、计算机鼠标、远程控制器、耳机、头戴式耳机、无线扬声器、传感器、路由器、计量仪、物联网(IoT)设备、医疗设备等。
在一种实现中,网状设备102可以使用蓝牙协议进行通信。蓝牙设备可以被配置为与具有蓝牙收发机的一个或多个目标设备建立链路。蓝牙是具有主-从结构的基于分组的协议。蓝牙在工业、科学和医疗(ISM)2.4GHz短距离射频频带(例如,2400–2483.5MHz)中进行操作。蓝牙使用被称为跳频扩展频谱的无线电技术,其中,发送的数据被划分为分组106,并且每个分组106是在指定的蓝牙频率(例如,信道)上发送的。
可以基于主设备轮询系统来实现蓝牙网络中的通信。主设备轮询系统可以利用时分双工(TDD),其中,蓝牙设备可以向目标设备发送分组106。例如,远程蓝牙设备可以在配对期间或在连接请求期间向蓝牙设备发送分组106。在一种实现中,蓝牙设备可以是主设备,而目标蓝牙设备可以是从设备。在主设备轮询系统中,发送分组106的主设备给予从无线设备用于发送返回的能力。
蓝牙无线通信标准通常用于在短距离内在固定或移动的启用蓝牙的设备之间交换通信。在一些配置中,本文公开的系统和方法可以应用于蓝牙低能(BLE)设备。LE指代蓝牙标准的“低能”扩展。BLE扩展集中于能量受限的应用,例如,电池供电的设备、传感器应用等。BLE扩展还可以被称为蓝牙智能。
以下描述使用与蓝牙和蓝牙LE标准相关联的术语。然而,这些概念可以适用于涉及调制和发送数字数据的其它技术和标准。因此,虽然依据蓝牙标准提供了一些描述,但是可以更一般地在可能不符合蓝牙标准的无线通信设备中实现本文公开的系统和方法。
应当注意的是,蓝牙网状协议可以用在非蓝牙设备(例如,WiFi-蓝牙网关)上。这些非蓝牙设备可以实现网状,以在传输控制协议(TCP)和/或用户数据报协议(UDP)上远程地接收分组106(例如,网络协议数据单元(PDU)),并且然后可以在BLE上发送分组106。
网状网络100可以包括多个节点。在一种实现中,节点可以被称为物联网(IoT)设备、IOT节点或者网状节点,这取决于在其之下的技术。网状网络100还可以被称为IoT网络。在一种方法中,网状网络100可以将蓝牙低能用作底层无线电技术来在设备之间进行通信。
在蓝牙网状简档网络中,发送蓝牙设备可以向接收蓝牙设备发送分组106(也被称为网络PDU)。蓝牙网状联网规范定义了对于实现针对BLE无线技术的互操作网状联网的要求。结合图4描述了根据蓝牙网状简档的网络PDU的例子。
在BLE网状术语中,发送或接收网状设备102可以被称为网状承载。承载是在其上发送或接收网状网络PDU的协议。例如,可以通过网状承载来发送或接收BLE通告、BLE通用属性(GATT)连接、TCP/UDP等。
在网络层消息接收的情况下,蓝牙网状简档规范声明需要对所接收的分组106进行去混淆、解密并且对照网络密钥134进行认证。结合图5描述了蓝牙网状简档规范中的用于网络层消息接收的指定方法。
可以以不同的方式来分发网络密钥134。在第一种方法中,网状设备102可以被设置有一个或多个网络密钥134。对基本信息(例如,单播地址和网络密钥134)进行认证并且向网状设备102提供该基本信息的过程被称为设置或进行设置。网状设备102必须被设置有网络密钥134,以变成网状网络100中的节点。一旦被设置,节点就可以在网状网络100中发送或接收消息。网络密钥134可以用于在网络层处保护和认证消息。
用于向网状设备102提供网络密钥134的第二种方法是通过配置模型(一旦网状设备102被设置有网络密钥134)。例如,网状设备102可以被配置有使用第一网络密钥134的一个或多个另外的网络密钥134。
分组106包括网络标识符(NID)字段108。NID字段108可以包含7比特网络标识符,其允许对用于对分组106进行认证和加密的隐私密钥136和加密密钥138的查找。在一些实现中,可以以明文发送NID 108。
网状设备102可以知晓多个网络密钥134。可以根据网络密钥134来推导出NID108,以使得每个网络密钥134生成一个网络ID 108。然而,应当注意的是,多个网络可以具有相同的NID 108。可以结合隐私密钥136和加密密钥138,根据网络密钥134来推导出NID值108。可以根据网络密钥134来推导出加密密钥138。即使隐私密钥136被损害,也可以根据网络密钥134,使用密钥推导函数来推导出隐私密钥136,以保护网络密钥134。
隐私密钥136用于对分组106中的信息(即,第一信息110)进行混淆和去混淆。混淆是应用于信息以有意地使得在不知道所应用的算法的情况下难以对信息进行反向的过程。去混淆是将经混淆的信息变换回其原始的未被混淆的形式的过程。去混淆可以使用用于对信息进行混淆的隐私密钥136来执行。
在一些实现中,混淆可以用作隐私机制,其利用高级加密标准(AES),以使用隐私密钥136来对源(SRC)地址116、序列号(SEQ)114和其它报头信息(例如,网络控制消息指示(CTL)、存活时间(TTL)值112)进行编码。混淆的意图是使得跟踪节点更加困难。然而,应当注意的是,混淆并不需要秘密(例如,加密密钥138)来理解数据。
另一方面,加密密钥138可以用于对分组106中的信息(即,第二信息118)进行加密和解密。经加密的信息与经混淆的信息相比更为安全。可以仅使用秘密加密密钥138来对经加密的信息进行解密。然而,相比对信息进行去混淆而言,对信息进行解密的过程可能需要更多的计算资源。
根据蓝牙网状简档规范,在确定是接受还是丢弃接收的分组106之前,既对分组106中的信息进行去混淆,也对其进行解密。例如,参照图5,在步骤508中(“网络密钥验证消息完整性检查(MIC)”),网状设备102必须使用AES电码本(ECB)以及隐私密钥136来对CTL、TTL 112、SEQ 114和/或SRC 116进行去混淆。该步骤还包括网状设备102使用以下项:使用具有加密密钥138的AES-CCM对目的地(DST)120和/或有效载荷122的解密认证。
因为多个网络可能具有相同的NID 108,所以需要识别正确的网络密钥134。换言之,当网状设备102接收到分组106时,NID 108可能对于多个已知网络而言是相同的。在这种情况下,网状设备102可能不知道哪个网络密钥134(以及因此隐私密钥136和加密密钥138)应当用于处理(例如,去混淆和/或解密)分组106。
根据规范,SRC地址116应当是单播地址,其中,最高有效位是“0”。当网状设备102利用错误的隐私密钥136(即,由于使用错误的网络密钥134)对分组106进行去混淆时,存在关于SRC地址116的最高有效位(MSB)可能是“1”(其指示组地址或虚拟地址)或“0”(其指示单播地址)的百分之50的机会。当SRC地址116具有设置为“1”的MSB时,这指示分组106是无效分组,并且无法用于进一步的处理。然而,根据网状简档规范,即使网状设备102在去混淆之后知晓这种情况,网状设备102也在丢弃分组106之前进一步进行解密和认证。
在具有作为单播地址的SRC地址116的有效分组106的情况下,在对照已知网络的成功认证之后,网状设备102可以通过将分组106与网络消息高速缓存130的内容进行比较,来检查其是否已经被较早地处理。根据规范,序列号(SEQ)114对于元素(SRC 116)而言是唯一的。每个新网络层分组106将具有新的SEQ 114。因为在对分组106的去混淆之后SEQ 114和SRC 116是可用的,所以如果SEQ 114和/或SRC 116已经存在于网络消息高速缓存130中,则对整个分组106进行解密是不必要的。
在以上场景中,对分组106的冗余解密导致不必要的处理。这种处理浪费功率以及延迟新分组处理。通过确定基于经去混淆的信息来确定是否对分组106的信息进行解密,可以实现益处。
网状设备102可以包括分组去混淆模块124。分组去混淆模块124可以使用与接收的分组106的网络标识符(NID)108相匹配的第一隐私密钥136来对分组106的第一信息110进行去混淆。经混淆的第一信息110可以包括分组106的TTL值112、SEQ 114和SRC 116。
网状设备102可以被设置有或配置有多个网络密钥134,其与分组106的NID 108相匹配。网状设备102可以从多个设置/配置的网络密钥134中选择网络密钥134。网状设备102可以使用所选择的网络密钥134来获得第一隐私密钥136。分组去混淆模块124可以使用第一隐私密钥136对分组106的第一信息110(例如,TTL值112、SEQ 114和SRC 116)进行去混淆。
网状设备102还可以包括SRC验证器126。SRC验证器126可以检查SRC地址116是否是有效的。在一种方法中,SRC验证器126可以确定SRC地址116是否不是未被指派的组地址或虚拟地址。在未被指派的地址的情况下,SRC地址116可以具有空值(例如,SRC 116字段的所有比特都是0)。在组地址或虚拟地址的情况下,SRC验证器126可以确定SRC地址116的MSB是否是1(其指示组地址或虚拟地址)。因此,如果SRC地址116是全零或者如果SRC 116的MSB是1,则SRC 116是无效的。
SRC验证器126还可以确定分组106是否源自于网状设备102。例如,分组106可以是由网状网络100中的节点发送的,但是同一节点然后可能从远程网状设备104接收作为被中继的消息的分组106。在这种情况下,分组106的SRC地址116将属于网状设备102。因此,如果SRC地址116不是网状设备102自身的元素地址之一,则SRC验证器126可以确定SRC地址116是有效的。
如果SRC地址116是无效的,则网状设备102可以尝试利用具有匹配的NID 108的下一个网络密钥134对第一信息110进行去混淆。例如,网状设备102可以从已知网络密钥134中选择与NID 108相匹配的第二网络密钥134。网状设备102然后可以使用与第二网络密钥134相关联的第二隐私密钥136对第一信息110进行去混淆。网状设备102然后可以尝试对SRC地址116进行验证,如上所描述的。
网状设备102可以重复关于选择相匹配的网络密钥134的这一过程,直到SRC地址116被验证或所有相匹配的网络密钥134都已经被使用为止。如果使用已知网络密钥134没有获得有效的SRC地址116,则网状设备102可以丢弃分组106,而不对第二信息118进行解密,这节省了处理时间和能量。
如果SRC地址116是有效的,则网状设备102可以检查在网络消息高速缓存130中是否已经存在SEQ 114和/或SRC地址116。例如,如果网状设备102已经接收到分组106,则网状设备102可以将分组106保存在网络消息高速缓存130中。网状设备102可以检查SRC地址116是否已经在网络消息高速缓存130中。如果是的话,网状设备102可以进行检查以确定SEQ114是否指示分组106是新的。换言之,如果所接收的分组106的SEQ 114与经高速缓存的分组106的SEQ 114相同或小于经高速缓存的分组106的SEQ 114,则在网络消息高速缓存130中已经存在经高速缓存的分组106。在这种情况下,网状设备102可以丢弃所接收的分组106,而不对第二信息118进行解密。
如果在网络消息高速缓存130中不存在所接收的分组106,则网状设备102可以继续对分组106进行解密和认证。网状设备102可以包括分组解密模块128,其对分组106的第二信息118(例如,DST 120和/或有效载荷122)进行解密。
在对第二信息118进行解密后,网状设备102可以确定目的地(DST)120是否是有效的。DST 120字段可以是16比特的值,其标识分组106所指向的一个或多个元素。DST 120地址可以是单播地址、组地址或虚拟地址。DST 120字段可以是由源节点设置的,并且未被作为中继节点操作的节点中的网络层改变。网状设备102可以确定DST 120是否是有效的单播地址、组地址或虚拟地址。如果DST 120是无效的,则网状设备102可以丢弃所接收的分组106。
如果DST 120是有效的,则网状设备102可以将所接收的分组106添加到网络消息高速缓存130中。网状设备102可以将所接收的分组106转发给上层132以用于另外的处理。
本文描述的系统和方法提供了与用于网络层消息处理的现有方法相比的优势。当利用具有相匹配的NID 108的错误网络(例如,网络密钥134)进行处理时,对于50%的分组106,可以通过在去混淆之后立即验证SRC地址116来避免解密认证。对于所有重复或中继的分组106,可以通过在去混淆之后立即将分组106的SEQ 114和/或SRC地址116与网络消息高速缓存130的内容进行比较,来避免解密认证。这带来功率节省和改进的处理速度。
图2是示出用于经优化的网络层消息处理的方法200的流程图。该方法200可以由连接到网状网络110中的一个或多个远程网状设备104的网状设备102来实现。
网状设备102可以从远程网状设备104接收202分组106。分组106可以是蓝牙低能网状分组。
网状设备102可以利用与所接收的分组106的网络标识符(NID)108相匹配的隐私密钥136来对分组106的第一信息110进行去混淆204。例如,网状设备102可以选择与分组106的NID 108相匹配的已知网络密钥134。在一些实现中,网状设备102可以使用AES-ECB以及与所选择的网络密钥134相关联的隐私密钥136来对第一信息110进行去混淆204。分组106的第一信息110可以包括序列号(SEQ)114和/或源(SRC)地址116中的至少一项。
网状设备102可以基于经去混淆的第一信息110来确定206是否要对分组106的第二信息118进行解密。第二信息118可以包括分组106的目的地(DST)120信息和有效载荷122。
确定是否要对第二信息118进行解密可以包括确定分组106的SRC地址116是否是有效的。网状设备102可以通过确定SRC地址116不是未被指派的组地址或单播地址,来确定SRC地址116是有效的。网状设备102还可以通过确定SRC地址116不属于网状设备102(例如,分组106没有被中继回网状设备102),来确定SRC地址116是有效的。
如果网状设备102确定SRC地址116是无效的,则网状设备102可以选择与分组106的NID 108相匹配的第二隐私密钥136。网状设备102然后可以利用第二隐私密钥136来对所接收的分组106的第一信息110进行去混淆,以确定SRC地址116是否是有效的。在使用与分组106的NID 108相匹配的所有已知网络密钥134之后,如果SRC地址116是无效的,则丢弃分组106,而不对第二信息118进行解密。
如果SRC地址116是有效的,则网状设备102可以确定在网络消息高速缓存130中是否已经存在分组106的SEQ 114和SRC地址116。如果在在网络消息高速缓存130中已经存在分组106的SEQ 114和SRC地址116,则可以丢弃分组106,而不对第二信息118进行解密。如果在网络消息高速缓存130中不存在分组106的SEQ 114和SRC地址116,则对第二信息118进行解密。
图3是示出用于经优化的网络层消息处理的另一种方法300的流程图。该方法300可以由连接到网状网络100中的一个或多个远程网状设备104的网状设备102来实现。
网状设备102可以接收302分组106。分组106可以是从远程网状设备104接收的。分组106可以是蓝牙低能网状分组。例如,分组106可以是网络PDU。
网状设备102可以确定304与分组106的NID相匹配的网络密钥134。网状设备102可以知晓多个网络密钥134。例如,网状设备102可以被设置有或配置有多个网络密钥134。网络密钥134可以与给定的NID 108相关联。网状设备102可以确定来自分组106的NID 108。使用分组NID 108,网状设备102可以选择与NID 108相匹配的网络密钥134。
网状设备102可以利用相匹配的网络密钥134的第一隐私密钥136来对所接收的分组106的第一信息110进行去混淆306。例如,网状设备102可以使用相匹配的网络密钥134来推导出隐私密钥136。在一种实现中,网状设备102可以使用AES-ECB以及与所选择的网络密钥134相关联的隐私密钥136来对第一信息110进行去混淆306。分组106的第一信息110可以包括序列号(SEQ)114和/或源(SRC)地址116中的至少一项。
网状设备102可以确定308SRC地址116是否是有效的。例如,网状设备102可以通过确定SRC地址116不是未被指派的组地址或虚拟地址,来确定SRC地址116是有效的。网状设备102还可以通过确定SRC地址116不属于网状设备102(例如,分组106没有被中继回网状设备102),来确定SRC地址116是有效的。
如果SRC地址116不是有效的,则网状设备102可以确定310是否存在与分组106的NID 108相匹配的另一网络密钥134。如果网状设备102选择用于分组106的不正确的网络密钥134,则去混淆过程可能导致无效的SRC地址116。在这种情况下,网状设备102可以选择与分组106的NID 108相匹配的另一网络密钥134,并且重复利用新的相匹配的网络密钥134的隐私密钥136来对所接收的分组106的第一信息110进行去混淆306。
网状设备102可以尝试使用针对与NID 108相匹配的每个已知网络密钥134的隐私密钥136来对所接收的分组108的第一信息110进行去混淆306。如果没有获得有效的SRC地址116,并且网状设备102确定310不存在与分组106的NID 108相匹配的另外的网络密钥134,则网状设备102可以丢弃312分组106,而不对第二信息118进行解密。
如果网状设备102确定308SRC地址116是有效的,则网状设备102可以确定314在网络消息高速缓存130中是否已经存在分组106的SEQ 114和SRC地址116。如果在网络消息高速缓存130中已经存在分组106的SEQ 114和SRC地址116,则可以丢弃312分组106,而不对第二信息118进行解密。
如果网状设备102确定314在网络消息高速缓存130中不存在分组106的SEQ 114和SRC地址116,则网状设备102可以使用相匹配的网络密钥134的加密密钥138来对第二信息118(例如,DST 120和/或有效载荷122)进行解密316。例如,网状设备102可以使用相匹配的网络密钥134来推导出加密密钥138。然后可以使用加密密钥138来对第二信息118进行解密。
图4示出了网状网络协议数据单元(PDU)406的例子。网络PDU 406可以是结合图1描述的分组106的实现。具体地,网络PDU 406可以根据蓝牙网状简档规范来实现。
网络PDU 406可以包括多个字段。NID字段408可以包含7比特的网络标识符,其允许对用于对该网络PDU 406进行认证和加密的加密密钥138和隐私密钥136的更容易的查找。可以结合加密密钥138和隐私密钥136,根据网络密钥134来推导出NID值。
网络PDU 406还可以包括CTL 442。CTL 442可以是网络控制消息指示。CTL字段可以是1比特的值,其用于确定网络PDU 406是控制消息还是接入消息的一部分。
网络PDU 406还可以包括存活时间(TTL)字段412。使用为零的TTL值允许节点发送其已知将不被中继的网络PDU 406,并且因此接收节点可以确定发送节点相距单个无线电链路。使用为一或更大值的TTL值无法用于这样的确定。
网络PDU 406还可以包括SEQ 414。SEQ字段可以是24比特的整数。SEQ 414可以是对于由给定节点发起的每个新的网络PDU 406而言唯一的值。
网络PDU 406还可以包括SRC 416(也被称为SRC地址)。SRC字段可以是16比特的值,其标识发起该网络PDU 406的元素(例如,网状设备)。SRC 416地址可以是单播地址。SRC字段可以是由源元素设置的,并且未被作为中继节点操作的节点改变。
网络PDU 406还可以包括DST 420。DST字段可以是16比特的值,其标识该网络PDU406所指向的一个或多个元素。该地址可以是单播地址、组地址或虚拟地址。DST字段可以是由源节点设置的,并且未被作为中继节点操作的节点中的网络层改变。
网络PDU 406还可以包括传输PDU 422。从网络层的角度而言,传输PDU字段是一系列八位字节的数据。传输PDU 422可以是结合图1描述的有效载荷122的实现。
网络PDU 406还可以包括网络消息完整性检查(MIC)(例如,NetMIC)444。NetMIC字段可以是32比特或64比特的字段(取决于CTL比特的值),其认证DST 420和传输PDU 422没有被改变。
使用根据(如NID字段408所标识的)单个网络密钥134所推导出的密钥来保护网络PDU 406。然而,相同的NID值可以指代多个网络。CTL 442、TTL 412、SEQ 414和SRC 416可以是经混淆的信息410。网络层可以利用隐私密钥136来对经混淆的信息410进行混淆和去混淆。DST 420和传输PDU 422可以是经加密的信息418。网络层可以利用加密密钥138来对经加密的信息418进行加密和解密。
网状设备的网络层可以使用用于网络PDU 406的序列号来对该网络PDU的DST 420和传输PDU 422进行加密。网络层然后可以对CTL 442、TTL 412、SEQ 414和SRC 416进行混淆,以使得仅有NID 408是以明文可见的。混淆可以用于隐藏来自网络PDU 406中的可能的标识信息。
为了对网络报头(例如,CTL 442、TTL 412、SEQ 414和SRC 416)进行混淆,这些值可以与单个加密函数的结果进行组合,该加密函数被设计为阻止被动窃听者通过侦听网络PDU 406来确定节点的身份。混淆可以是使用来自网络PDU 406内的可用的信息来计算的。这种混淆被设计为辅助阻止简单的被动窃听者跟踪节点。确定攻击者仍然可能发现这种混淆内的模式,这可能导致暴露节点的SRC 416或SEQ 414。混淆并不强制对加密函数的输入是唯一的。
混淆并不保护隐私密钥136免遭损害。然而,即使隐私密钥136被损害,也可以根据网络密钥134,使用密钥推导函数来推导出隐私密钥136,以保护网络密钥134。
图5是示出用于根据蓝牙网状规范的网络层消息处理的方法500的流程图。网状设备102可以接收502分组106。接收网状设备102可以被称为网状承载。
网状设备102确定504NID 108是否是已知的。在接收到分组106时,网状设备102检查NID字段108值的值是否与一个或多个已知(例如,被配置或设置)的NID 108相匹配。如果NID 108字段108值与已知NID 108不匹配,则丢弃506分组106。
如果NID 108是已知的,则网状设备102可以使用网络密钥134(NetKey)来对分组106进行认证508,以验证消息完整性检查(MIC)。在该步骤中,网状设备102必须使用隐私密钥136来对SEQ 114和SRC地址116进行去混淆,并且使用加密密钥138来对DST 120和有效载荷122进行解密。一旦对分组106去混淆和解密,网状设备102就可以使用网络密钥134来对分组106进行认证508。如果网络密钥134没有认证508分组106,则丢弃510分组106。应当注意的是,该步骤需要网状设备102在对分组106进行认证508之前对分组106进行解密。
如果网络密钥134认证了508分组106,则网状设备102可以确定512SRC地址116和DST 120是否是有效的。如果SRC地址116或DST 120是无效的,则丢弃514分组106。
如果SRC地址116和DST 120是有效的,则网状设备102可以确定516分组106是否已经在网络消息高速缓存130中。如果分组106已经在网络消息高速缓存130中,则丢弃518分组106。
如果分组106没有在网络消息高速缓存130中,则网状设备102可以将分组106添加520到网络消息高速缓存130中。网状设备102可以将分组106转发522给上层132以用于进一步处理。
网状设备102可以确定524是否要对分组106进行中继。例如,如果DST 120指示网状设备102是分组106的预期接收者,则网状设备102不对分组106进行中继。如果DST 120指示网状设备102不是分组106的预期接收者,则网状设备102可以对分组106进行中继526。
图6是示出用于经优化的网络层消息处理的方法600的流程图。网状设备102可以接收602分组106。接收网状设备102可以被称为网状承载。
网状设备102可以确定604NID 108是否是已知的。这可以如结合图6所描述地来完成。如果NID字段值与已知NID 108不匹配,则丢弃606分组106。
如果NID 108是已知的,则网状设备102可以利用相匹配的NID 108的隐私密钥136进行去混淆608。例如,网状设备102可以选择与分组106的NID 108相匹配的已知网络密钥134。在一种实现中,网状设备102可以使用AES-ECB以及与所选择的网络密钥134相关联的隐私密钥136来对第一信息110进行去混淆。分组106的第一信息110可以包括序列号(SEQ)114和/或源(SRC)地址116中的至少一项。
网状设备102可以确定610分组106的SRC地址116是否是有效的。例如,网状设备102可以通过确定SRC地址116不是未被指派的组地址或虚拟地址,来确定610SRC地址116是有效的。网状设备102还可以通过确定SRC地址116不属于网状设备102(例如,分组106没有被中继回网状设备102),来确定SRC地址116是有效的。在使用了与分组106的NID 108相匹配的所有已知网络密钥134之后,如果SRC地址116是无效的,则丢弃612分组106,而不对分组106进行解密。
如果SRC地址116是有效的,则网状设备102可以确定614分组106是否已经在网络消息高速缓存130中。例如,如果在网络消息高速缓存130中已经存在分组106的SEQ 114和SRC地址116,则可以丢弃616分组106,而不对第二信息118进行解密。
如果在网络消息高速缓存130中不存在SEQ 114和SRC地址116,则网状设备102可以利用MIC来对分组106进行验证618(即,认证)。在该步骤中,网状设备102可以对分组106进行解密。例如,网状设备102可以使用与所选择的网络密钥134相关联的加密密钥138来对分组106的DST 120和/或有效载荷122进行解密。网状设备102然后可以对分组106进行验证618。如果利用MIC没有验证分组106,则丢弃620分组106。
如果利用MIC验证了618分组106,则网状设备102可以确定622DST 120是否是有效的。如果DST 120是无效的(例如,未被指派的地址),则丢弃624分组106。
如果DST 120是有效的,则网状设备102可以将分组106添加626到网络消息高速缓存130中。网状设备102可以将分组106转发628给上层132以用于进一步处理。
网状设备102可以确定630是否要对分组106进行中继。例如,如果DST 120指示网状设备102是分组106的预期接收者,则网状设备102不对分组106进行中继。如果DST 120指示网状设备102不是分组106的预期接收者,则网状设备102可以对分组106进行中继632。
图7示出可以被包括在网状设备702内的某些组件。网状设备702可以是无线设备、接入终端、移动站、用户设备(UE)、膝上型计算机、台式计算机、平板计算机、无线耳机等。例如,网状设备702可以是图1的网状设备102或远程网状设备104。
网状设备702包括处理器703。处理器703可以是通用单芯片或者多芯片微处理器(例如,高级RISC(精简指令集计算机)机器(ARM))、专用微处理器(例如,数字信号处理器(DSP))、微控制器、可编程门阵列等。处理器703可以被称为中央处理单元(CPU)。虽然在图7的网状设备702中仅示出单个处理器703,但是在替代的配置中,可以使用处理器的组合(例如,ARM和DSP)。
网状设备702还包括与处理器进行电子通信的存储器705(即,处理器可以从存储器读取信息和/或将信息写入存储器中)。存储器705可以是能够存储电子信息的任何电子组件。存储器705可以被配置为随机存取存储器(RAM)、只读存储器(ROM)、磁盘存储介质、光存储介质、RAM中的闪存设备、与处理器包括在一起的机载存储器、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、寄存器以及包括其组合的类似存储器。
可以将数据707a和指令709a存储在存储器705中。指令可以包括一个或多个程序、例程、子例程、函数、过程、代码等。指令可以包括单个计算机可读语句或者许多计算机可读语句。指令709a可以可由处理器703执行以实现本文公开的方法。执行指令709a可以涉及对存储在存储器705中的数据707a的使用。当处理器703执行指令709时,可以将指令709b的各个部分加载到处理器703上,以及可以将数据707b的各个片段加载到处理器703上。
网状设备702还可以包括发射机711和接收机713,以允许经由一个或多个天线717向网状设备702发送信号以及从网状设备702接收信号。发射机711和接收器713可以被统称为收发机715。网状设备702还可以包括(未示出)多个发射机、多个天线、多个接收机和/或多个收发机。
网状设备702可以包括数字信号处理器(DSP)712。网状设备702还可以包括通信接口723。通信接口723可以允许用户与网状设备702进行交互。
网状设备702的各个组件可以通过一个或多个总线耦合在一起,其可以包括功率总线、控制信号总线、状态信号总线、数据总线等。为了清楚起见,在图7中将各个总线示为总线系统719。
在以上描述中,有时已经结合各个术语使用了附图标记。在结合附图标记使用术语的情况下,这可能意味着指代在这些图中的一个或多个图中示出的特定元素。在没有附图标记的情况下使用术语时,这可能意味着总体上指代该术语,而不限于任何特定图。
术语“确定”涵盖各种各样的动作,并且因此,“确定”可以包括计算、运算、处理、推导、调查、查找(例如,在表格、数据库或者另一数据结构中查找)、查明等。此外,“确定”可以包括接收(例如,接收信息)、访问(例如,访问存储器中的数据)等。此外,“确定”可以包括解析、选择、选定、建立等。
除非另外明确地指定,否则短语“基于”并不意味着“仅基于”。换言之,短语“基于”描述“仅基于”以及“至少基于”二者。
术语“处理器”应当被广义地解释为包含通用处理器、中央处理单元(CPU)、微处理器、数字信号处理器(DSP)、控制器、微控制器、状态机等。在一些情况下,“处理器”可以指代专用集成电路(ASIC)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)等。术语“处理器”可以指代处理设备的组合,例如,数字信号处理器(DSP)和微处理器的组合、多个微处理器、一个或多个微处理器结合数字信号处理器(DSP)核、或者任何其它这种配置。
术语“存储器”应当被广义地解释为包含能够存储电子信息的任何电子组件。术语存储器可以指代各种类型的处理器可读介质,例如,随机存储存储器(RAM)、只读存储器(ROM)、非易失性随机存取存储器(NVRAM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除PROM(EEPROM)、闪速存储器、磁性或者光数据存储单元、寄存器等。存储器被认为是与处理器进行电子通信,如果处理器能够从存储器读取信息和/或将信息写入到存储器中的话。作为处理器的组成部分的存储器与处理器进行电子通信。
术语“指令”和“代码”应当被广义地解释为包括任何类型的计算机可读语句。例如,术语“指令”和“代码”可以指代一个或多个程序、例程、子例程、函数、过程等。“指令”和“代码”可以包括单个计算机可读语句或者许多计算机可读语句。
如本文中所使用的,术语“和/或”应当被解释为意指一个或多个项目。例如,短语“A、B和/或C”应当被解释为意指以下各项中的任何项:仅A、仅B、仅C、A和B(但是没有C)、B和C(但是没有A)、A和C(但是没有B)、或所有的A、B和C。
如本文中所使用的,短语“……中的至少一个”应当被解释为意指一个或多个项目。例如,短语“A、B和C中的至少一个”或短语“A、B或C中的至少一个”应当被解释为意指以下各项中的任何项:仅A、仅B、仅C、A和B(但是没有C)、B和C(但是没有A)、A和C(但是没有B)、或所有的A、B和C。如本文中所使用的,短语“……中的一个或多个”应当被解释为意指一个或多个项目。例如,短语“A、B和C中的一个或多个”或短语“A、B或C中的一个或多个”应当被解释为意指以下各项中的任何项:仅A、仅B、仅C、A和B(但是没有C)、B和C(但是没有A)、A和C(但是没有B)、或所有的A、B和C。
本文描述的功能可以用由硬件执行的软件或者固件来实现。所述功能可以作为一个或多个指令存储在计算机可读介质上。术语“计算机可读介质”或“计算机程序产品”指代能够由计算机或者处理器访问的任何有形存储介质。通过举例而非限制的方式,计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或者其它磁性存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望程序代码并且能够被计算机访问的任何其它介质。如本文中所使用的,磁盘(disk)和光盘(disc)包括压缩光盘(CD)、激光光盘、光盘、数字多功能光盘(DVD)、软盘和
光盘,其中磁盘通常磁性地复制数据,而光盘则用激光来光学地复制数据。应当注意的是,计算机可读介质可以是有形和非暂时性的。术语“计算机程序产品”指代与可以由计算设备或者处理器执行、处理或运算的代码或者指令(例如,“程序”)相结合的计算设备或者处理器。如本文中所使用的,术语“代码”可以指代可由计算设备或者处理器执行的软件、指令、代码或数据。
软件或者指令还可以在传输介质上发送。例如,如果利用同轴电缆、光纤光缆、双绞线、数字用户线(DSL)或无线技术(例如,红外线、无线电和微波)从网站、服务器或其它远程源发送软件,则同轴电缆、光纤光缆、双绞线、DSL或者无线技术(例如,红外线、无线电和微波)被包括在传输介质的定义中。
本文公开的方法包括用于实现所描述的方法的一个或多个步骤或动作。这些方法步骤和/或动作可以在不脱离权利要求的范围的情况下彼此互换。换句话说,除非对于所描述的方法的正确操作而言要求步骤或动作的特定次序,否则可以在不脱离权利要求的范围的情况下,修改特定步骤和/或动作的次序和/或使用。
此外,应当明白的是,用于执行本文描述的方法和技术的模块和/或其它合适的单元可以由设备下载和/或以其它方式获得。例如,设备可以耦合到服务器以促进用于执行本文描述的方法的单元的传输。替代地,可以经由存储单元(例如,随机存取存储器(RAM)、只读存储器(ROM)、诸如压缩光盘(CD)或软盘之类的物理存储介质等)提供本文描述的各种方法,从而使得在将存储单元耦合到设备或向设备提供存储单元时,该设备可以获得各种方法。此外,可以利用用于向设备提供本文描述的方法和技术的任何其它适当的技术。
应当理解的是,权利要求不限于以上示出的精确配置和组件。可以在不脱离权利要求的范围的情况下,在本文描述的系统、方法和装置的布置、操作和细节方面进行各种修改、改变和变化。
Claims (18)
1.一种由网状设备进行的方法,包括:
利用与接收的分组的网络标识符NID相匹配的隐私密钥来对所述分组的第一信息进行去混淆;以及
基于经去混淆的第一信息来确定是否要对所述分组的第二信息进行解密,
其中,所述第一信息包括序列号SEQ和源SRC地址;
其中,确定是否要对所述第二信息进行解密包括:确定所述分组的所述SRC地址是有效的;并且
其中,如果所述SRC地址是有效的,则确定是否要对所述第二信息进行解密还包括:确定在网络消息高速缓存中是否已经存在所述分组的所述SEQ和所述SRC地址,其中,如果在所述网络消息高速缓存中已经存在所述分组的所述SEQ和所述SRC地址,则所述分组在不对所述第二信息进行解密的情况下被丢弃。
2.根据权利要求1所述的方法,其中,所述分组是蓝牙低能网状分组。
3.根据权利要求1所述的方法,其中,所述第二信息包括目的地DST信息和有效载荷。
4.根据权利要求1所述的方法,其中,确定所述分组的所述SRC地址是有效的包括:确定所述SRC地址不是未被指派的组地址或者虚拟地址。
5.根据权利要求1所述的方法,其中,确定所述分组的所述SRC地址是有效的包括:确定所述SRC地址不属于所述网状设备。
6.根据权利要求1所述的方法,其中,如果所述SRC地址是无效的,则所述方法还包括:
使用具有与所述分组的所述NID相匹配的NID的所有已知网络来确定所述分组的所述SRC地址是否是有效的。
7.根据权利要求1所述的方法,其中,如果所述SRC地址是无效的,则所述分组在不对所述第二信息进行解密的情况下被丢弃。
8.根据权利要求1所述的方法,其中,如果在所述网络消息高速缓存中不存在所述分组的所述SEQ和所述SRC地址,则所述第二信息被解密。
9.一种网状设备,包括:
处理器;
存储器,其与所述处理器相通信;
被存储在所述存储器中的指令,所述指令可由所述处理器执行以进行以下操作:
利用与接收的分组的网络标识符NID相匹配的隐私密钥来对所述分组的第一信息进行去混淆;以及
基于经去混淆的第一信息来确定是否要对所述分组的第二信息进行解密,
其中,所述第一信息包括序列号SEQ和源SRC地址;
其中,可执行以确定是否要对所述第二信息进行解密的所述指令包括可执行以进行以下操作的指令:确定所述分组的所述SRC地址是有效的;并且
其中,如果所述SRC地址是有效的,则可执行以确定是否要对所述第二信息进行解密的所述指令还包括可执行以进行以下操作的指令:确定在网络消息高速缓存中是否已经存在所述分组的所述SEQ和所述SRC地址,其中,如果在所述网络消息高速缓存中已经存在所述分组的所述SEQ和所述SRC地址,则所述分组在不对所述第二信息进行解密的情况下被丢弃。
10.根据权利要求9所述的网状设备,其中,如果所述SRC地址是无效的,则所述指令还可执行以进行以下操作:
使用具有与所述分组的所述NID相匹配的NID的所有已知网络来确定所述分组的所述SRC地址是否是有效的。
11.根据权利要求9所述的网状设备,其中,如果所述SRC地址是无效的,则所述分组在不对所述第二信息进行解密的情况下被丢弃。
12.根据权利要求9所述的网状设备,其中,如果在所述网络消息高速缓存中不存在所述分组的所述SEQ和所述SRC地址,则所述第二信息被解密。
13.一种存储计算机程序的非暂时性有形计算机可读介质,所述计算机程序可被处理器执行以进行以下操作:
利用与接收的分组的网络标识符NID相匹配的隐私密钥来对所述分组的第一信息进行去混淆;以及
基于经去混淆的第一信息来确定是否要对所述分组的第二信息进行解密,
其中,所述第一信息包括序列号SEQ和源SRC地址;
其中,确定是否要对所述第二信息进行解密包括:确定所述分组的所述SRC地址是有效的;并且
其中,如果所述SRC地址是有效的,则确定是否要对所述第二信息进行解密还包括:确定在网络消息高速缓存中是否已经存在所述分组的所述SEQ和所述SRC地址,其中,如果在所述网络消息高速缓存中已经存在所述分组的所述SEQ和所述SRC地址,则所述分组在不对所述第二信息进行解密的情况下被丢弃。
14.根据权利要求13所述的计算机可读介质,其中,如果所述SRC地址是无效的,则所述分组在不对所述第二信息进行解密的情况下被丢弃。
15.根据权利要求13所述的计算机可读介质,其中,如果在所述网络消息高速缓存中不存在所述分组的所述SEQ和所述SRC地址,则所述第二信息被解密。
16.一种电子装置,包括:
用于利用与接收的分组的网络标识符NID相匹配的隐私密钥来对所述分组的第一信息进行去混淆的单元;以及
用于基于经去混淆的第一信息来确定是否要对所述分组的第二信息进行解密的单元,
其中,所述第一信息包括序列号SEQ和源SRC地址;
其中,所述用于确定是否要对所述第二信息进行解密的单元包括:用于确定所述分组的所述SRC地址是有效的单元;并且
其中,如果所述SRC地址是有效的,则所述用于确定是否要对所述第二信息进行解密的单元还包括:用于确定在网络消息高速缓存中是否已经存在所述分组的所述SEQ和所述SRC地址的单元,其中,如果在所述网络消息高速缓存中已经存在所述分组的所述SEQ和所述SRC地址,则所述分组在不对所述第二信息进行解密的情况下被丢弃。
17.根据权利要求16所述的电子装置,其中,如果所述SRC地址是无效的,则所述分组在不对所述第二信息进行解密的情况下被丢弃。
18.根据权利要求16所述的电子装置,其中,如果在所述网络消息高速缓存中不存在所述分组的所述SEQ和所述SRC地址,则所述第二信息被解密。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IN201741029838 | 2017-08-23 | ||
| IN201741029838 | 2017-08-23 | ||
| US15/835,943 | 2017-12-08 | ||
| US15/835,943 US10666624B2 (en) | 2017-08-23 | 2017-12-08 | Systems and methods for optimized network layer message processing |
| PCT/US2018/042459 WO2019040207A1 (en) | 2017-08-23 | 2018-07-17 | OPTIMIZED NETWORK LAYER MESSAGE PROCESSING |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110999253A CN110999253A (zh) | 2020-04-10 |
| CN110999253B true CN110999253B (zh) | 2021-03-05 |
Family
ID=65435768
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880054038.3A Active CN110999253B (zh) | 2017-08-23 | 2018-07-17 | 网状设备及其方法、计算机可读介质以及电子装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10666624B2 (zh) |
| EP (1) | EP3673631B1 (zh) |
| CN (1) | CN110999253B (zh) |
| TW (1) | TW201921886A (zh) |
| WO (1) | WO2019040207A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4170992A1 (en) * | 2018-03-23 | 2023-04-26 | Telefonaktiebolaget LM Ericsson (publ) | Message cache management in a mesh network |
| CN111669732B (zh) * | 2019-03-06 | 2021-09-07 | 乐鑫信息科技(上海)股份有限公司 | 一种用于在蓝牙Mesh网络中的节点处过滤冗余数据包的方法 |
| US11553336B2 (en) * | 2019-05-23 | 2023-01-10 | SILVAIR Sp. z o.o. | System and method for processing of private beacons in a mesh network |
| CN112654038A (zh) * | 2020-12-15 | 2021-04-13 | 深圳市豪恩安全科技有限公司 | 一种Mesh网络数据解密的方法、装置及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7079537B1 (en) * | 2000-04-25 | 2006-07-18 | Advanced Micro Devices, Inc. | Layer 3 switching logic architecture in an integrated network switch |
| US7441043B1 (en) * | 2002-12-31 | 2008-10-21 | At&T Corp. | System and method to support networking functions for mobile hosts that access multiple networks |
| US8510548B1 (en) * | 2010-09-24 | 2013-08-13 | ReVera Networks Inc. | Method and discovery system for discovering encrypted peer-to-peer (EP2P) nodes associated with a particular EP2P network |
| CN106326693A (zh) * | 2016-08-18 | 2017-01-11 | 广州优视网络科技有限公司 | 应用程序的代码混淆方法及装置 |
| CN106663175A (zh) * | 2014-09-03 | 2017-05-10 | 微软技术许可有限责任公司 | 在保护敏感信息的同时外包文档传输任务 |
| CN106936763A (zh) * | 2015-12-29 | 2017-07-07 | 航天信息股份有限公司 | 数据加密及解密的方法和装置 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3895146B2 (ja) * | 2001-10-22 | 2007-03-22 | 富士通株式会社 | サービス制御ネットワーク、サーバ装置、ネットワーク装置、サービス情報配布方法、及びサービス情報配布プログラム |
| US7748034B2 (en) * | 2005-10-12 | 2010-06-29 | Cisco Technology, Inc. | Strong anti-replay protection for IP traffic sent point to point or multi-cast to large groups |
| US20090178104A1 (en) * | 2008-01-08 | 2009-07-09 | Hemal Shah | Method and system for a multi-level security association lookup scheme for internet protocol security |
| US8934487B2 (en) * | 2009-11-05 | 2015-01-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Network topology concealment using address permutation |
| US20140201527A1 (en) * | 2013-01-17 | 2014-07-17 | Zohar KRIVOROT | Systems and methods for secure and private delivery of content |
| US9425962B2 (en) * | 2013-06-21 | 2016-08-23 | Intel IP Corporation | Low energy Bluetooth system with authentication during connectionless advertising and broadcasting |
| US20150195710A1 (en) | 2014-01-07 | 2015-07-09 | Adam M. Bar-Niv | Apparatus, method and system of obfuscating a wireless communication network identifier |
| GB2523444B (en) * | 2014-02-25 | 2016-05-18 | Qualcomm Technologies Int Ltd | Device authentication |
| US20160165387A1 (en) | 2014-08-26 | 2016-06-09 | Hoang Nhu | Smart home platform with data analytics for monitoring and related methods |
| WO2016042664A1 (ja) | 2014-09-19 | 2016-03-24 | 株式会社東芝 | 管理装置、計測装置、サービス提供装置、プログラム、伝送システムおよび伝送方法 |
| US10003581B2 (en) | 2014-12-09 | 2018-06-19 | Avago Technologies General Ip (Singapore) Pte. Ltd. | Secure connection establishment |
| US10505850B2 (en) | 2015-02-24 | 2019-12-10 | Qualcomm Incorporated | Efficient policy enforcement using network tokens for services—user-plane approach |
| US9923874B2 (en) * | 2015-02-27 | 2018-03-20 | Huawei Technologies Co., Ltd. | Packet obfuscation and packet forwarding |
| US10320766B2 (en) | 2015-11-17 | 2019-06-11 | Google Llc | Wireless network access |
| US10231108B2 (en) | 2015-12-11 | 2019-03-12 | Google Llc | Virtual addressing for mesh networks |
| EP3282675B1 (en) * | 2016-08-11 | 2020-01-29 | Nxp B.V. | Network node and method for identifying a node in transmissions between neighbouring nodes of a network |
| US10855694B2 (en) * | 2017-05-30 | 2020-12-01 | Keysight Technologies Singapore (Sales) Pte. Ltd. | Methods, systems, and computer readable media for monitoring encrypted packet flows within a virtual network environment |
-
2017
- 2017-12-08 US US15/835,943 patent/US10666624B2/en active Active
-
2018
- 2018-07-17 EP EP18750297.6A patent/EP3673631B1/en active Active
- 2018-07-17 WO PCT/US2018/042459 patent/WO2019040207A1/en unknown
- 2018-07-17 CN CN201880054038.3A patent/CN110999253B/zh active Active
- 2018-07-19 TW TW107124928A patent/TW201921886A/zh unknown
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7079537B1 (en) * | 2000-04-25 | 2006-07-18 | Advanced Micro Devices, Inc. | Layer 3 switching logic architecture in an integrated network switch |
| US7441043B1 (en) * | 2002-12-31 | 2008-10-21 | At&T Corp. | System and method to support networking functions for mobile hosts that access multiple networks |
| US8510548B1 (en) * | 2010-09-24 | 2013-08-13 | ReVera Networks Inc. | Method and discovery system for discovering encrypted peer-to-peer (EP2P) nodes associated with a particular EP2P network |
| CN106663175A (zh) * | 2014-09-03 | 2017-05-10 | 微软技术许可有限责任公司 | 在保护敏感信息的同时外包文档传输任务 |
| CN106936763A (zh) * | 2015-12-29 | 2017-07-07 | 航天信息股份有限公司 | 数据加密及解密的方法和装置 |
| CN106326693A (zh) * | 2016-08-18 | 2017-01-11 | 广州优视网络科技有限公司 | 应用程序的代码混淆方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10666624B2 (en) | 2020-05-26 |
| US20190068559A1 (en) | 2019-02-28 |
| TW201921886A (zh) | 2019-06-01 |
| CN110999253A (zh) | 2020-04-10 |
| EP3673631B1 (en) | 2021-08-18 |
| WO2019040207A1 (en) | 2019-02-28 |
| EP3673631A1 (en) | 2020-07-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8010780B2 (en) | Methods and apparatus for providing integrity protection for management and control traffic of wireless communication networks | |
| JP4724751B2 (ja) | ワイヤレス・ネットワーク内で同報される管理制御メッセージを保護するためのワイヤレス通信装置および方法 | |
| CN110999253B (zh) | 网状设备及其方法、计算机可读介质以及电子装置 | |
| TWI753276B (zh) | 在藍芽通訊中使用認證封包的中繼保護 | |
| CA2865580C (en) | Communication protocol for secure communications systems | |
| US20160112411A1 (en) | One time credentials for secure automated bluetooth pairing | |
| KR101615289B1 (ko) | 캐리리스 곱셈을 이용하여 컴퓨팅된 유니버셜 해시 함수를 이용한 메시지 인증 | |
| Fujdiak et al. | Security in low-power wide-area networks: State-of-the-art and development toward the 5G | |
| Glass et al. | Insecurity in public-safety communications: APCO project 25 | |
| CN113455034B (zh) | 一种通信方法及装置 | |
| CN113302961B (zh) | 安全信标 | |
| CN111465007B (zh) | 一种认证方法、装置和系统 | |
| EP3163929B1 (en) | Preventing messaging attacks | |
| CN118740409A (zh) | 应用鉴权方法和装置 | |
| Zbigniew et al. | New hidden and secure data transmission method proposal for military IEEE 802.11 networks | |
| CN116074005A (zh) | 一种安全通信方法和相关设备 | |
| WO2010108513A1 (en) | Wireless-network interface with split architecture |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40025143 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |