CN1771711B - 用于网络设备内的本地团体表示的安全分布系统 - Google Patents

Abstract

该系统的每一个网络设备(x)通过包含以下元素，具有对其所属的团体的本地表示：可证明身份(id_x)或用于产生或获得可证明身份的装置；对象(MT(x)，UT(x)，DT(x))，能够记忆与所述设备具有信任关系的团体的设备的身份；以及用于建立用于信任关系同步的协议的装置。

Description

用于网络设备内的本地团体表示的安全分布系统

技术领域

本发明涉及数字网络，特别是当其为动态的、演进的、异类的时，并且当其包含无线部分时。

背景技术

定义：

当设备能够移动、能够处于接通/断开、能够达到或无法达到时，网络是动态的。

当新设备可以加入网络、早先设备能够确定地从网络中消失或被盗取时，网络是演进的。

当并非所有设备能够直接配对地通信时，网络是异类的。

团体是由主要用户所负责的设备构成的网络。主要用户是人员组中的单个用户或特定用户。仅主要用户能够对团体设备进行认证，以便执行系统所需的确认操作。

遵循其特征属性来定义团体的边界：

-团体中的任何设备能够验证其属于该团体；

-团体中的任何设备能够验证是否另一设备也属于该团体或并不属于该团体；

-仅主要用户能够执行诸如插入设备或从团体中移除设备等边界操作。

现有技术

大多数现有技术产生于公司广域数字网领域、Ad-Hoc网络(即，没有预先存在的基础设施的网络，通常为了人员组的特定用途而构造-Ad-hoc网络持续时间不会超过组持续时间)、数字家庭网络、无线和移动网络。

第一团体对应于以下基本模型：团体边界等于网络边界。如果设备可通过网络达到，则其为团体的成员。相反，无法通过网络达到的任何设备不是团体的成员。

这样的团体完全对应于孤立的局域网(LAN)，由于在需要连接非信任网络(例如因特网)之前，其在公司中使用。

在这样的团体中，边界的安全性依赖于两个主要因素：

-仅授权用户能够使用设备和网络；

-非信任设备不能够插入在网络上。

两种因素均由于主要用户(被称为网络管理者)的作用和处于安全地位的设备和网络的位置而增强。

这些团体并不适合于以下情况：网络是移动的，或者需要穿过非信任设备。管理任务也是非常苛求的，并且通常不能够由典型家庭主要用户访问。最后，安全模型并非是耐故障的，由于一旦其成员之一妥协，则全部团体会妥协。

当出现了对非信任网络上的通信的需要时，前面的范例并不充分。边界必须以不同的方式来物化，将会考虑穿过非信任网络(例如，因特网)的可能性。

这产生了诸如安全路由器和防火墙等边界组件、以及专用寻址域的概念。这样的组件通过允许和拒绝穿过边界访问来增强正确边界属性。典型的结构是允许外出连接和禁止入内连接的二极管防火墙。

这样的团体的边界安全主要依赖于边界组件检测外部连接是否已授权的能力。在网络内，安全性依赖于相同的两种因素(已授权访问和没有非信任设备插入)。

这些团体并不适合于网络是非常演进的情况或当大量设备具有游牧行为时。

当设备需要从外部网络位置访问该团体时，穿过网络团体实际上以游牧行为开始。防火墙与认证服务器一起有助于增强边界属性。

诸如IPv6(因特网协议的新版本，如在“RFC 2460 InternetProtoCol，Version 6(IPv6) Specification.S.Deering，R.Hinden.December 1998”)等协议和某些VPN(虚拟专用网)技术包括移动性和安全性功能，有助于确保团体边界。这些包括HIP(在“R.MOskowitz，Host Identity Payload And Protocol，draft-ietf-moskowitz-hip-05.txt，October 2001”中描述，可在以下地址处得到：http：//homebase.htt-consult.com/～hip/draft-moskowitz-hip-05.txt)和SUCV(在“C.Montenegro andC.Castelluccia.Statistically Unique and CryptographicallyVerifiable(SUCV)identifiers and addresses.In NDSS’02，Feb.2002”中描述)。然而，在这种情况下，复杂性不可由典型家庭用户来管理。然而，这些技术依赖于设备同质性(例如，每一个设备均具有有效IPv6地址)。

F.Stajano提出了更为一般性的方法：Resurrecting Duckling(参见“F.Stajano The Resurrecting Ducking-What Next？LectureNotes in Computer Science，2133：204-211，2001”和“F.Stajanoand R.Anderson.The Resurrecting ducking：Security issues forad-hoc  wireless  networks.In 7^th International Workshop onSecurity ProtoCols，pages 172-194，1999.”。然而，在该方法中，无论何时当将新设备添加到团体中时，主要用户必须对操作进行验证。而且，设备从团体中排除在一般情况下并非容易的操作。

当管理团体边界和使团体边界安全时的主要问题在于：

-至少相对于家庭用户需要的复杂度和用户友好度的缺乏。这对于防火墙(甚至是个人防火墙)而言大多数情况如此，如果要实现公平安全等级，则仍较为复杂；

-对异质性的需要：当并非所有设备能够配对地通信时，大多数现有方法会失败；

-当设备妥协或被盗取时鲁棒性的缺乏。更精确地，设备的在后撤消(排除)在大多数现有方法中并非简单的动作。

发明内容

为了克服以上所提到的问题，本发明提出了一种网络设备内的本地团体表示的安全和分布管理的系统，其特征在于每一个网络设备(x)包括：

可证明身份，或用于产生或获得可证明身份的装置；

对象，能够记忆与所述设备具有信任关系的团体的设备的身份；以及

用于建立用于信任关系同步的协议的装置。

附图说明

将参考附图来描述本发明的各种特征和优点及其优选实施例，附图意欲示出本发明，但并非对本发明范围的限定，其中：

图1示出了实现本发明的设备的部分；

图2示出了根据本发明创建的团体的示例；

图3到7示出了在根据本发明的设备z中执行的优选协议的流程图；

图8到12是示出了在实现图3到7中所说明的协议的设备之间的不同的可能情形的时间图。

具体实施方式

在以下描述中，将使用以下符号：

a、b、c、d、x、y、z、t、j设备变量名；

id_x设备x的可证明身份；

Λ设备的团体；

MT(x)、UT(x)、DT(x)设备集合

S_x(id_y)设备y受设备x信任的证明。如果已知id_x，则能够对证明进行验证。已知id_x，能够验证S_x(id_y)由x产生且能够恢复id_y。

本发明基于以下元素：

1、团体的每一个设备x具有可证明身份id_x，或者能够产生或接收可证明身份。

2、团体的每一个设备x记忆对象MT(x)、UT(x)和DT(x)中的团体的设备之间的信任关系，MT(x)、UT(x)和DT(x)分别包含：

-MT(x)：x信任的设备和信任x的设备的集合；

-UT(x)：x信任的设备的集合

-DT(x)：x不信任的设备的集合。

3、团体中的每一个设备还记忆从团体的其他设备j接收到的、x受到j信任的证明S_j(id_x)。

4、在团体的每一个设备中实现用于信任关系同步的协议。

5、用户能够验证或无效一些设备之间的信任关系。

首先，本发明允许对团体边界的分布和安全增强。

其次，本发明使团体设备和主要用户之间的交互的数量和复杂度最小。

优选地，对象MT(x)、UT(x)和DT(x)由包含作为集合的一部分的设备j的可证明身份id_j的列表来实现。

例如，如果设备x信任设备y和受到y的信任，则MT(x)将包含id_y。MT(x)还可能会包含一些密码材料，例如密钥，允许团体的设备安全地交换数据。在上述示例中，MT(x)可以包含在设备x和y之间共享的对称密钥K_xy。

在本发明的优选实施例中，可以将证明S_j(id_x)的列表存储在MT(x)中，每一个证明S_j(id_x)利用信任x和受x信任的设备的身份id_j来存储。在变体实施例中，证明S_j(id_x)存储在另一数据列表中。

按照相同的方式，如果设备x信任设备z而并不必须受z信任，则UT(x)将包含id_z。UT(x)还可以包含一些密码材料。

DT(x)还包含x不信任的设备j的身份id_j。其还可能会包含诸如密码材料等其他数据。

基本团体操作为：

·团体的初始化，表示为初始化：

初始化操作对应于团体的创建，通常具有单个设备；

·将设备插入团体中，表示为插入：

当新设备进入团体时，会出现该插入操作。该新设备应该能够将团体的其他设备识别为属于该团体，而团体的其他成员应该将该新设备识别为团体的成员；

·设备从团体中的移除，表示为移除：

当设备废弃时，将使用移除操作。该操作将从团体中提取设备，但是将不会修改信任关系。特别地，在两个设备y和z在假定两个设备均与设备x具有信任关系时构建信任关系的情况下，设备x已经被移除的事实不会造成影响。

然后，该移除操作并不需要与其他团体设备的任何信息传输。特别地，该操作在单个设备团体的情况下是有效的。

移除设备x在于：

-破坏x身份(id_x)和x证明该身份的能力；

-复位所有信任关系，即，使所有集合MT(x)、UT(x)、DT(x)为空。

在移除之后，设备x不能够广播其身份(其已经被破坏)。该设备不能够参与团体设备传输，这是由于团体设备不会接受与未识别设备的传输；

-设备从团体中排除，表示为排除：

当设备已经丢失或被盗取时，或者当将设备从另一团体转售给另一用户时，将使用排除操作。在这种情况下，设备自身是不可用的。而且，在被排除的设备将变为不可能的信任假设的基础上，能够构建新的信任关系。

为了排除设备x，用户必须选择已经与x具有信任关系(即，其身份id_x属于UT(y)或MT(y))的另一可用设备y。用户要求y将{id_x}添加到其的不信任设备DT(y)的列表中。

同步操作将确保设备x不被信任的信息的扩散。根据团体的设备多少时候一次进行交互，该信息可能在某些设备上扩散得较快，而在所有设备上扩散得较慢。

因此，根据本发明，能够通过仅使用团体的一个其他设备y来从团体中排除设备x。

图1示出了在用于实现本发明的设备中包含哪些元件。

设备x典型地包含CPU(中央处理单元)10、用户接口11、存储器12，所述存储器12用于存储从团体的其他设备j接收到的x受到j信任的证明S_j(id_x)的列表。该设备还包含与团体的其他设备通信的至少一个网络接口131、132。一个设备可以包含多个网络接口以便允许团体中的异类通信。

图2示出了由多站点家庭网络所表示的设备的团体20的示例。例如，设备为个人计算机21、22、TV机23、存储单元24、PDA(个人数字助理)25等。在图2的情形下，假定设备之间的所有信任关系是彼此信任的。图2示出了设备c将要利用用户的验证，接受团体中的新设备d的时刻。

在本发明的优选实施例中，每一个设备包含负责其安全性的本地代理。代理的首要任务是管理其自身的可证明身份。可证明身份是具有能够由任何人检查同时非常难以冒充的身份。例如，公用/专用密钥对的公共密钥是可证明身份：假装由其公共密钥识别的代理能够通过利用其专用密钥对质询进行签名来证明其。SUCV是为基于可证明身份的思想的IP网络而设计的另一机制。

本地代理负责产生、第三者保存和认可将用来在团体的其他设备之前对其自身进行验证的其可证明身份。

代理还负责对设备进行授权的用户进行本地认证以确保与安全相关的请求是合法的。该本地认证完全独立于其自身的可证明身份，以及独立于在设备之间所进行的键控过程(keying process)。结果，每一个设备可以具有其自身的最适合认证过程(例如，通过在设备上输入PIN或通过生物统计学)。

最后，代理负责团体管理。其处理并保持存储在上述对象MT、UT和DT中的团体成员的其自身列表。根据所选的实现，这些对象可以存储在单个列表或存储在不同列表中。该列表或这些列表描述了代理所具有的其团体的本地知识。通过安全地更新对象MT、UT和DT的内容，代理管理其团体。

能够以两种不同的方式对对象MT、UT和DT进行更新：代理信任其拥有者(即，拥有设备的用户)以确定哪一个设备能够进入其团体。其还信任其已知为属于其团体的代理(即，在其MT或UT中具有其可证明身份的代理)，以便向其介绍该团体的新成员。属于相同团体的代理使其信息彼此以安全的方式同步，以使其各个对象MT、UT和DT保持为最新。

能够以多种不同的方式来物理地实现该代理。

其可以是在设备中下载或嵌入的软件。其还可以是在插入在设备中的智能卡中运行的软件。还可以通过包含软件的芯片或芯片组来实现该代理。

现在将更精确地描述在根据本发明的设备z中所实现的协议。参考图3到7对该协议进行描述。

除了先前所述的符号之外，在这些图中使用了以下符号：

？y，P(y)是否存在设备y，从而针对y，满足条件P

起始点

序列指令

超时指令(如果未指定，则返回步骤3)

二进制条件

端点

图3中的步骤1是当主要用户仅得到没有身份id_z的设备z时所使用的起始点。

步骤1之后跟随着步骤2，在步骤2期间，执行设备z的初始化的所有所需操作。这包括：软件代码插入(对于芯片实现是不需要的)、密码密钥材料的创建、设备z的可证明身份id_z的创建、将列表MT(z)、UT(z)和DT(z)建立为空。应该注意，一个初始化操作可能必须需要主要用户的干预。步骤2之后跟随着步骤100。

该协议还能够以步骤3开始，步骤3是针对已经初始化的设备z的正常起始点。步骤3之后也跟随着步骤100。

步骤100包含设备z检测另一设备t是否属于相同的团体Λ所需的所有操作和条件。在子步骤101到104(图4中)给出了这些操作的细节。

在步骤101，设备z通过任意可用方式(包括有线或无线协议)将信息发送到可能属于相同网络的所有其他设备。该广播信息是id_z和MT(z)。

步骤101之后自动跟随着步骤102，在步骤102期间，设备z等待并监听所有其网络接口，直到其从设备t获得了身份id_t和对象MT(t)为止(情况1)，或者直到超时期满为止(情况2)。在家庭网络的情况下的典型超时持续时间是一分钟或两分钟。如果情况1出现，则该协议继续步骤103，否则(情况2)，其返回到步骤101。

如果已经从设备t接收到信息id_t和MT(t)，则激活步骤103。在该步骤期间，设备z验证其是否不信任t。如果是这样，则该过程停止，并且以步骤3再次开始，否则，其继续步骤104。

在步骤104，即，如果设备z并非不信任设备t，则设备z验证身份id_t是否属于MT(z)，并且其身份id_z是否属于MT(t)。如果这两个验证均为成功的，则该过程继续步骤400(图3中)，否则，其继续步骤200。

如果设备z已经检测到设备t并不(已经)属于相同的团体，则激活步骤200。该步骤包含设备z检测其是否能够进入与设备t的团体相同的团体所需的所有操作和条件。在子步骤201到209(图5中)中给出了这些操作的细节。

在步骤201，设备z验证是否存在设备x，从而使id_x属于列表MT(z)和MT(t)的交集。如果这样，则接下来的步骤将为202，否则其将为204。

在步骤202，设备z向设备t询问S_x(id_t)，即，设备t受设备x信任的证明。在设备z在典型持续时间1分钟的超时期满之前从设备t中接收到S_x(id_t)，则该过程继续步骤203。否则，如果在设备z接收到S_x(id_t)之前超时期满，则该过程停止，并且在步骤3处再次开始(图3)。

在步骤203，设备z从设备t接收S_x(id_t)并对其进行验证。此时，设备z知道id_x(包含在MT(z))中，并且其已经预先接收到id_t(在步骤102)。因此，该验证在于：使用基于S_x(id_t)的设备x公共身份id_x，以便恢复id_t且将其与预先接收到的id_t进行比较。如果这两个身份id_t相匹配，则验证是成功的，且下一激活步骤将为300(图3)。否则，该验证不是成功的，且该过程停止并在步骤3处再次开始。

如果并不存在任何设备x从而使id_x属于列表MT(z)和MT(t)的交集，则激活步骤204。在该步骤期间，设备z验证是否存在设备x从而使id_x属于列表UT(z)和MT(t)的交集。如果是这样，则下一激活步骤将为205，否则，其将为209。

在步骤205，设备z向设备t询问S_x(id_t)，并且如果在典型持续时间1分钟的超时期满之前其接收到S_x(id_t)，则下一激活步骤将为206。否则，如果在设备z接收到S_x(id_t)之前超时期满，则该过程停止，并且在步骤3处再次开始(图3)。

步骤206类似于步骤203，并且不将另外描述。如果步骤206的验证成功，则该过程继续步骤207，否则，其停止并在步骤3处再次开始(图3)。

在步骤207(如果设备z已经成功验证了S_x(id_t)，则激活)，设备z向设备t询问UT(t)(要在典型持续时间1分钟的超时内接收)，该过程继续步骤208。如果在接收到UT(t)之前超时期满，则该过程停止并在步骤3处再次开始(图3)。

在步骤208，设备z验证是否存在设备y从而使id_y属于UT(z)和MT(z)的交集。如果是这样，则该过程继续步骤300(图3)，否则，其停止且在步骤3处再次开始。

如果不存在任何设备x从而使id_x属于UT(z)和MT(z)的交集，则在步骤204之后激活步骤209。在这种情况下，请求主要用户验证，以转到下一步骤300。该主要用户验证应该出现在典型持续时间1分钟的超时内。如果超时期满，则该过程停止且在步骤3处再次开始(图3)。

应该注意，在步骤202、205和209处所使用的超时具有1分钟的典型持续时间，但是用户可以配置该持续时间。

当设备z具有其能够接受在其团体Λ中的设备t的证明时，激活图3中的步骤300。该步骤包含设备z接受其团体中的设备t所需的所有操作和条件。在图6的子步骤301到303中给出了这些操作的细节。

在步骤301，列表UT(z)和MT(z)如下更新：将id_t移除到UT(z)并插入在MT(z)中。该步骤之后跟随着步骤302。

在步骤302，设备z发送设备t受到设备z到t的信任的证明S_z(id_t)。然后，在步骤303，设备z等待来自t的S_t(id_z)，并且存储其以便稍后使用(用于向其他设备证明z受到t的信任)。然后，如果在接收到S_t(id_z)之前没有典型持续时间1分钟的超时期满，该过程继续步骤400(图3)。在超时期满的情况下，该过程停止且在步骤3处再次开始。

在图4的步骤104之后(当设备z和t已经属于相同的团体时)或者在图6的步骤303之后(当设备z具有其能够接受在其团体中的设备z的证明时)，自动地激活步骤400(图3)。该步骤400包含设备z和设备t共享并更新团体信息所需的所有操作和条件。在图7的子步骤401到402中给出了这些操作的细节。

在步骤401，列表DT(z)和UT(z)如下更新：将DT(t)的元素添加到DT(z)中，将MT(t)的元素添加到UT(z)中，将DT(t)的元素移除到UT(z)。该步骤之后跟随着步骤402。

在步骤402，设备z向设备t提供其所拥有的所有团体信息。然后，停止该过程且在步骤3处再次开始。

图8到12示出了团体的演进的示例。首先，在其团体中仅存在单独的一个设备a。然后，用户将插入设备b，然后是设备d、再然后是设备c(按照该次序)。更精确地：

·图8示出了当设备b进入设备a的团体的操作；

·图9示出了当设备d进入设备a的团体的操作；

·图10示出了当设备c进入设备b的团体(也是设备a的团体)的操作；

·图11示出了当设备c和d在没有任何用户交互的情况下建立信任关系时的操作(使用图5中的步骤204到208)。

·图12示出了当设备a和c在没有任何用户交互的情况下建立信任关系时的操作(使用图5中的步骤201到203)。

本发明表现出以下优点。

本发明适用于高度动态、演进和异类的团体。现有技术的解决方案并不适用于这样的情况，或者对于主要用户而言非常苛求，该主要用户应该是网络管理者，而非诸如家庭用户。

由于较低的管理需要，本发明对于大型网络而言非常方便。

不需要将会在插入、移除或排除期间发挥特定作用的诸如控制器等中央设备。这对于一些设备在网络中不可用而言，使得本发明更为鲁棒。在电子芯片内实现的情况下，不需要特定的控制器版本：芯片全是无差别的。

本发明允许对与团体相关的任何信息的安全分布。这些包括但并不局限于：配置信息、时间和时标信息、第三方协议密钥、第三方移动代理、抗病毒签名文件……。

本发明应用于各种技术，这是由于在大多数类型的联网设备中能够插入代理。

本发明应用于先前所构造的团体、以及新构造的团体：如果其支持足够的计算和存储能力，可以将代理插入在早先设备中。

本发明允许对丢失、被盗取或妥协设备的简单排除。现有技术的解决方案的其他状态并未提供排除不再能够访问的设备的较为容易的装置。

本发明确保了团体设备之间正确的信息同步和扩散。这一点允许第三方密码材料的传输，以便由其他协议或系统使用。作为非限定性的示例列表，本发明能够传输：

-用作密钥的共享秘密；

-将通过可能不安全的协议(例如FTP)传输的文件的密码摘要。这些文件可以是软件补丁、病毒列表、自动安全进程……；

-新版本的软件代理的密码签名(如本发明所使用的)。

Claims (8)

1.一种适配为属于联网设备内的团体的设备，其特征在于所述设备(z)包括：

可证明身份(id_z)和/或用于产生或获得可证明身份的装置；

用于存储与所述设备(z)具有信任关系的团体的设备有关的信息的装置(12)；

用于存储与过去与所述设备(z)具有信任关系而现在不再具有所述信任关系的团体的设备有关的信息的装置(12)；以及

用于信任关系同步的装置。

2.根据权利要求1所述的设备，其特征在于与设备有关的信息包括所述设备的可证明身份。

3.根据权利要求1所述的设备，其特征在于所述设备(z)还设计来存储从团体的其他设备(t)接收到的、所述设备(z)受其他设备(t)信任的证明(S_t(id_z))。

4.根据权利要求1所述的设备，其特征在于所述用于信任关系同步的装置包括：用于与团体的其他设备交换与团体的其他设备信任和/或不信任的设备有关的信息。

5.根据权利要求4所述的设备，其特征在于所述设备(z)包括：

第一对象(MT(z))，能够包含受所述设备(z)信任和信任所述设备(z)的设备的可证明身份；

第二对象(UT(z))，能够包含受所述设备(z)信任的设备的可证明身份；以及

第三对象(DT(z))，能够包含所述设备(z)不信任的设备的可证明身份。

6.根据权利要求5所述的设备，其特征在于所述设备能够修改所述第一对象(MT(z))和/或所述第二对象(UT(z))和/或所述第三对象(DT(z))的内容，作为从团体的其他设备接收到的信息的函数。

7.根据权利要求5所述的设备，其特征在于所述第一对象(MT(z))和/或所述第二对象(UT(z))和/或所述第三对象(DT(z))还能够包含密码材料。

8.根据权利要求5或6所述的设备，其特征在于：如果要排除的另一设备的可证明身份包含在所述设备(z)的第一对象(MT(z))或第二对象(UT(z))中，则所述设备(z)还能够排除所述团体的另一设备，所述排除操作在于：从所述第一(MT(z))或第二对象(UT(z))中移除要排除的所述另一设备的可证明身份，并且将要排除的所述另一设备的可证明身份插入到所述设备(z)的所述第三对象(DT(z))中。

Images