JP2014520444A - 半接続状態デバイスのグループとの仮想ペアリングのための方法および装置 - Google Patents
半接続状態デバイスのグループとの仮想ペアリングのための方法および装置 Download PDFInfo
- Publication number
- JP2014520444A JP2014520444A JP2014514444A JP2014514444A JP2014520444A JP 2014520444 A JP2014520444 A JP 2014520444A JP 2014514444 A JP2014514444 A JP 2014514444A JP 2014514444 A JP2014514444 A JP 2014514444A JP 2014520444 A JP2014520444 A JP 2014520444A
- Authority
- JP
- Japan
- Prior art keywords
- node
- epoch
- group
- group node
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/61—Time-dependent
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
本特許出願は、その開示全体が参照により本明細書に明確に組み込まれる、2010年6月11日に出願された「Method and Apparatus for Virtual Pairing with a Group of Semi-Connected Devices」と題する米国仮特許出願第61/354,135号の優先権を主張する。
1つの特徴は、グループノードと中心ノードとの間のセッションごとの通信を必要とせずにクライアントノードとグループノードとの間のセッション鍵を確立するためのシステム、装置および方法を提供する。
KR = CMAC(KM, Gnode_ID || Epoch_ID)
ただし、Gnode_IDはグループノード識別情報であり得、Epoch_IDは次のエポックに関連する値であり得、KMは、クライアントノードと中心ノードとの間で共有される共有秘密鍵であり得、CMACは、暗号ベースのメッセージ認証コード(CMAC)アルゴリズムであり得る。
図1に、ワイヤレスネットワーク通信システム100を示す。この例では、クライアントノード102と、グループノード104a〜104cのセットと、中心ノード106とが示されており、クライアントノード102は、グループノード104a〜104cのうちの1つまたは複数を介して中心ノード106と間接的に通信し得る。中心ノード106は固定局またはサーバであり得る。グループノード104a〜104cは、携帯用バッテリー電源式デバイスおよび/または固定電子デバイスのいずれかであり得る。クライアントノード102は、たとえば、限られたメモリ量と限られたバッテリーエネルギーとを含んでいる、小型で安価な低電力ワイヤレスデバイスであり得る。クライアントノード102は、たとえば、Bluetooth(登録商標)、Bluetooth(登録商標) Low Energy、WiFi、ZigBee(登録商標)、近距離通信、および/または他のワイヤレス通信方法を通してグループノード104a〜104cと通信し得る。
図2は、グループノード104と中心ノード106との間のセッションごとの通信を必要とせずにクライアントノード102とグループノード104との間のセッション鍵が確立される通信システム100の動作の一例を示す流れ図である。最初に、中心ノード106とクライアントノード102とが、200において、グループノード104を中間物として使用して共有秘密鍵KMを確立し得る。たとえば、クライアントノード102が通信システム100に入ったとき、クライアントノード102と中心ノード106との間で共有秘密鍵KMが確立され得る。共有秘密鍵KMは、中間物として働くグループノード104が共有秘密鍵の値を知ることがないように、たとえば、楕円曲線ディフィーヘルマンプロトコルを使用して確立され得る。共有秘密鍵が確立されると、中心ノード106は共有秘密鍵KM202aを記憶し得、クライアントノード102は同じ鍵KM202bを記憶し得る。中心ノード106は、システム100中の各クライアントノードと一意の共有秘密鍵を確立する。好ましい実施形態では、共有秘密鍵KMがグループノード104に知られない。共有秘密鍵KMは、通信システム100中の各クライアントノードが中心ノード106との異なる秘密鍵を共有するように、クライアントノード固有であり得る。クライアントノード102はクライアントノード識別子Cnode_IDに関連付けられ得る。
KR = CMAC(KM, Gnode_ID || Epoch_ID)
ただし、Gnode_IDはグループノード104の識別情報であり、Epoch_IDは確立されたエポック値であり、KMは、クライアントノード102と中心ノード106との間で共有される共有秘密鍵であり、CMACは暗号ベースのメッセージ認証コード(CMAC)アルゴリズムである(212)。ただし、制限付き鍵KRを生成することは、上記の式に示す特定の入力および引数に限定されない。たとえば、限定はしないが、ハッシュベースのメッセージ認証コード(HMAC)、暗号ブロック連鎖メッセージ認証コード(CBC-MAC)、ハッシング、または暗号化を含む、入力と引数とを組み合わせ、および/または好適な暗号特性を有する他の演算も使用され得る。KMはクライアントノード識別子Cnode_IDに固有であり得、したがって、制限付き鍵KRは、クライアントノードと、グループノード識別情報Gnode_IDと、エポック識別情報Epoch_IDとに固有であり得る。
図3は、グループノード104と中心ノード106との間のセッションごとの通信を必要とせずにクライアントノード102とグループノード104との間のセッション鍵が確立される通信システム100の動作の一例を示す流れ図である。中心ノード106およびクライアントノード102はそれぞれ、グループノード104に知られ得ない共有秘密鍵KM302a、302bへのアクセスを有し得る。共有秘密鍵KMは、通信システム100中の各クライアントノードが中心ノード106との異なる秘密鍵を共有するように、クライアントノード固有であり得る。クライアントノード102はクライアントノード識別子Cnode_IDに関連付けられ得る。
KR = CMAC(KM, Gnode_ID || Epoch_ID)
ただし、Gnode_IDはグループノード104の識別情報であり、Epoch_IDは確立されたエポック値であり、KMは、クライアントノード102と中心ノード106との間で共有される共有秘密鍵であり、CMACは暗号ベースのメッセージ認証コード(CMAC)アルゴリズムである(316)。上記で説明したように、他の入力、引数、および/またはコーディング方式が使用され得る。
図4は、グループノード104と中心ノード106との間のセッションごとの通信を必要とせずにクライアントノード102とグループノード104との間のセッション鍵が確立される通信システム100の動作の一例を示す流れ図である。中心ノード106およびクライアントノード102はそれぞれ、グループノード104に知られない共有秘密鍵KM402a、402bへのアクセスを有し得る。共有秘密鍵KMは、通信システム100中の各クライアントノードが中心ノード106との異なる秘密鍵を共有するように、クライアントノード固有であり得る。クライアントノード102はクライアントノード識別子Cnode_IDに関連付けられ得る。
図5に、一例によるクライアントノード102の機能ブロック図を示す。クライアントノード102は、たとえば、通信バス512を介して、互いにすべて通信可能に結合され得る、処理回路(たとえば、プロセッサ、処理モジュール、特定用途向け集積回路(ASIC)など)502、メモリ回路(たとえば、メモリ、メモリデバイス、メモリモジュールなど)504、キャッシュ506、および/または通信インターフェース508を含み得る。
図6に、クライアントノードとグループノードとの間のセッション鍵を確立するためのクライアントノードにおいて動作可能な例示的な方法を示すフローチャート600を示す。最初に、クライアントノードが、602において、現在エポックに関連するエポック識別値を取得し、エポック識別値を取得することは、ノード実時間に基づいてエポック識別値を計算すること、またはエポック識別値をグループノードとネゴシエートすることのうちの1つを含む。次に、クライアントノードは、604において、共有秘密鍵と、エポック識別値と、グループノードに関連するグループノード識別情報とを使用して制限付き鍵を計算し、共有秘密鍵はクライアントノードと中心ノードとに知られる。次いで、クライアントノードは、606において、セッション鍵確立プロトコルにおいて制限付き鍵をマスター鍵として使用してセッション鍵を導出するためにグループノードとのセッション鍵確立プロトコルを実行する。また、セッション鍵を検証するために、クライアントノード102とグループノード104とによって鍵検証プロセスが使用され得る。
(図7Aと図7Bとを含む)図7に、エポックを定義するために実時間を使用してクライアントノードとグループノードとの間のセッション鍵を確立するためのクライアントノードの動作の一例を示す。最初に、クライアントノードが、702において、グループノードからメッセージを受信し、メッセージはグループノードの実時間Gnode_timeとグループノード識別情報Gnode_IDとを含む。次に、クライアントノードは、704において、グループノードの実時間がクライアントノードの実時間Cnode_timeに近いかどうかを判断する。これは、グループノードの実時間をクライアントノードの実時間と比較することによって判断され得、グループノードの実時間がクライアントノードの実時間の所定の時間しきい値内にある場合、制限付き鍵KRが確立される。グループノードの実時間がしきい値内にない場合、706においてセッションを中止する。
(図8Aと図8Bとを含む)図8に、クライアントノードがセッションを開始する、エポックを定義するために実時間を使用せずにクライアントノードとグループノードとの間のセッション鍵を確立するためのクライアントノードの動作の一例を示す。最初に、クライアントノードが、802において、任意のグループノードとの最新の正常に確立されたセッションにおいて使用される最新の既知のエポック識別値に等しいクライアントノードエポック値Epoch_IDCNを、クライアントノードが通信することになる指定のグループノードに送る/送信する。クライアントノードは、次いで804において、グループノードからエポック値Epoch_IDGN_Selectを受信する。受信したエポック値Epoch_IDGN_Selectは、(エポック時間において直近の)グループノードに送信されたクライアントノードエポック値と、グループノードにおける最大エポック値Epoch_IDGNとのうちの大きいほうでなければならない。806において、受信したエポック識別情報Epoch_IDGN_Selectが、グループノードに送信されたクライアントノードエポック識別情報よりも小さい場合、クライアントノードは、808においてセッション確立を中止する。そうでない場合、810において、(本明細書では「有効エポック識別情報」とも呼ぶ)エポック識別値Epoch_IDは、送信されたクライアントノードエポック値と、受信されたエポック識別情報Epoch_IDGN_Selectとのうちの大きいほうに等しい。
(図9Aと図9Bとを含む)図9に、エポックを定義するために実時間が使用されず、グループノードがセッションを開始する、クライアントノードとグループノードとの間のセッション鍵を確立するためのクライアントノードの動作の一例を示す。最初に、クライアントノードが、902において、グループノードからグループノードエポック値Epoch_IDGNを受信し、Epoch_IDGNはグループノードにおける最大エポック値に関連する。次いで、エポック識別値Epoch_IDが計算され得る。エポック識別値Epoch_IDは、904において、受信したグループノードエポック値と、クライアントノードエポック値Epoch_IDCNとのうちの(エポック時間において直近の)より大きい値に等しくなる。クライアントノードエポック値は、任意のグループノードとの最新の正常に確立されたセッションにおいて使用される最新の既知のエポック識別値に等しくなり得る。
図10に、一例によるグループノード104の機能ブロック図を示す。グループノード104は、クライアントノード102と中心ノード106との間で間接通信を行い得る。グループノード104は、たとえば、通信バス1012を介して、互いにすべて通信可能に結合され得る、処理回路(たとえば、プロセッサ、処理モジュール、ASICなど)1002、メモリ回路(たとえば、メモリ、メモリデバイス、メモリモジュールなど)1004、キャッシュ1006、第1の通信インターフェース1008、および/または第2の通信インターフェース1010を含み得る。
図11に、グループノードとクライアントノードとの間のセッション鍵を確立するためのグループノードにおいて動作可能な例示的な方法を示すフローチャート1100を示す。最初に、グループノードが、1102において、中心ノードからエポックに関連するプロキシトークンの第1のセットを受信し、プロキシトークンの第1のセットが、クライアントノードに関連するプロキシトークンを含み、プロキシトークンがクライアントノード識別情報と制限付き鍵とを含む。次に、グループノードは、1104において、プロキシトークンの第1のセットをプロキシトークンの予備セットとして記憶する。次いで、グループノードは、1106において、エポックの開始時にプロキシトークンのアクティブセットをプロキシトークンの予備セットと交換し、プロキシトークンの予備セットがプロキシトークンの次のアクティブセットになる。次に、グループノードは、1108において、セッション鍵確立プロトコルにおいて制限付き鍵をマスター鍵として使用してセッション鍵を導出するためにクライアントノードとのセッション鍵確立プロトコルを実行する。
図12に、エポックを定義するために実時間を使用する、中心ノードに対するグループノードの動作の一例を示す。グループノードが、1202において、中心ノードからプロキシトークンのセットを(すなわち、通信システムにおいて中心ノードから各クライアントノードのためのプロキシトークンを)受信し、セット中の各プロキシトークンはクライアントノード識別情報と制限付き鍵とを有する。グループノードは、次いで1204において、プロキシトークンのセットをプロキシトークンの予備セットとして記憶する。グループノードは、次いで1206において、次のエポックの開始まで待つ。次に、グループノードは、1208において、プロキシトークンのアクティブセットを廃棄し、それらをプロキシトークンの予備セットと交換して、プロキシトークンの予備セットがプロキシトークンの次のアクティブセットになる。次いで1210において、セッション鍵を導出するためにクライアントノードとの標準セッション鍵確立プロトコルを実行し、グループノードは制限付き鍵をマスター鍵として使用する。
図14に、エポックを定義するために実時間を使用しない、中心ノードに対するグループノードの動作の一例を示す。グループノードが、1402において、中心ノードからプロキシトークンのセットを(すなわち、通信システムにおいて中心ノードから各クライアントノードのためのプロキシトークンを)受信し、各プロキシトークンはクライアントノード識別情報と制限付き鍵とを有する。グループノードは、次いで1404において、プロキシトークンのセットをプロキシトークンの予備セットとして記憶する。1406においてコミットメッセージを受信すると、グループノードは、1408において、プロキシトークンのアクティブセットを廃棄し、それらをプロキシトークンの予備セットと交換して、プロキシトークンの予備セットがプロキシトークンの次のアクティブセットになる。次いで1410において、セッション鍵を導出するためにクライアントノードとの標準セッション鍵確立プロトコルを実行し、グループノードは制限付き鍵をマスター鍵として使用する。
図16に、一例による中心ノード106の機能ブロック図を示す。中心ノード106は、グループノード104a〜104cを介してクライアントノード102と間接的に通信し得る。中心ノード106は、たとえば、通信バス1608を介して、互いにすべて通信可能に結合され得る、処理回路(たとえば、プロセッサ、処理モジュール、ASICなど)1602、メモリ回路(たとえば、メモリ、メモリデバイス、メモリモジュールなど)1604、および/または通信インターフェース1606を含み得る。
図17に、第1のグループノードとクライアントノードとの間の通信セッションを確立するための中心ノードにおいて動作可能な例示的な方法を示すフローチャート1700を示す。最初に、中心ノードが、1702において、第2のグループノードが障害を受けたと判断し、第1のグループノードは第1のグループノード識別子を有する。次に、中心ノードは、1704において、障害を受けていないグループノードのリストから、障害を受けた第2のグループノードを削除し、障害を受けていないグループノードのリストは、中心ノードに記憶され、第1のグループノードを含む。次に、中心ノードは、障害を受けていないグループノードのリスト上の各障害を受けていないグループノードに、次のエポックに関連する複数のプロキシトークンを送信し得る。複数のプロキシトークンは、第1のグループノードに関連する第1のプロキシトークンを含み、第1のグループノードに送信され、第1のプロキシトークンはクライアントノード識別情報と制限付き鍵とを含む。次のエポックは次のエポック識別値に関連し、制限付き鍵は、次のエポック識別値、第1のグループノード識別子、およびクライアントノードと中心ノードとの間で前に確立された共有鍵から計算される(1706)。
図18に、エポックを定義するために実時間を使用してグループノードとクライアントノードとの間の通信セッションを確立するための中心ノードの動作の一例を示す。中心ノードが、1802において、次のエポックの開始の前の所定の時間まで待つ。中心ノードは、次いで1804において、次のエポックのためのエポック識別値を計算する。次に、中心ノードは、1806において、障害を受けていないグループノードとクライアントノードとの各組合せについて制限付き鍵KRを計算し、次のエポックのためのエポック識別値を使用してプロキシタプルを構築する。各障害を受けていないグループノードのために、中心ノードは、1808において、そのグループノードのプロキシタプルを送る。
KR = CMAC(KM, Gnode_ID || Epoch_ID)
ただし、Gnode_IDはグループノード識別情報であり得、Epoch_IDは次のエポック値であり得、KMは、クライアントノードと中心ノードとの間で共有される共有秘密鍵であり得、CMACは、暗号ベースのメッセージ認証コード(CMAC)アルゴリズムであり得る。
図19に、エポック識別情報が実時間に関係しない、グループノードとクライアントノードとの間の通信セッションを確立するための中心ノードの動作の一例を示す。中心ノードが、1902において、次のエポックのための時間またはイベントを選定し、次いで、その時間またはイベントが起こるのを待つ。その時間またはイベントが起こると、1904において、エポック識別値カウンタを増分する。次に、中心ノードは、1906において、障害を受けていないグループノードとクライアントノードとの各組合せについて制限付き鍵KRを計算し、次のエポックのためのエポック識別情報を使用してプロキシタプルを構築する。各障害を受けていないグループノードのために、1908において、コミットメッセージを送り、コミットメッセージはエポックの開始を示す。
KR = CMAC(KM, Gnode_ID || Epoch_ID)
ただし、Gnode_IDはグループノード識別情報であり得、Epoch_IDは次のエポックに関連する値であり得、KMは、クライアントノードと中心ノードとの間で共有される共有秘密鍵であり得、CMACは、暗号ベースのメッセージ認証コード(CMAC)アルゴリズムであり得る。
100 通信システム
100 システム
102 クライアントノード
102 クライアント
104 グループノード
104a グループノードA
104a〜104c グループノード
106 中心ノード
201 エポックA
202a 共有秘密鍵
202b 鍵
203 エポックB
218a 交換セット
301 エポックA
302a 共有秘密鍵
302b 共有秘密鍵
303 エポックB
304 実時間
401 エポックA
402a 共有秘密鍵
402b 共有秘密鍵
403 エポックB
408 コミットメッセージ
412 ネゴシエーション
502 処理回路
504 メモリ回路
506 キャッシュ
508 通信インターフェース
510 ワイヤレス接続
512 通信バス
1002 処理回路
1004 メモリ回路
1004 メモリ
1006 キャッシュ
1008 第1の通信インターフェース
1010 第2の通信インターフェース
1012 通信バス
1014 ワイヤレス接続
1602 処理回路
1604 メモリ回路
1606 通信インターフェース
1608 通信バス
Claims (47)
- クライアントノードとグループノードとの間のセッション鍵を確立するための前記クライアントノードにおいて動作可能な方法であって、前記方法は、
現在エポックに関連するエポック識別値を取得するステップであって、前記エポック識別値を取得するステップが、ノード実時間に基づいて前記エポック識別値を計算するステップ、または前記エポック識別値を前記グループノードとネゴシエートするステップのうちの1つを含む、取得するステップと、
共有秘密鍵と、前記エポック識別値と、前記グループノードに関連するグループノード識別情報とを使用して制限付き鍵を計算するステップであって、前記共有秘密鍵が前記クライアントノードと中心ノードとに知られる、計算するステップと、
セッション鍵確立プロトコルにおいて前記制限付き鍵をマスター鍵として使用して前記セッション鍵を導出するために前記グループノードとの前記セッション鍵確立プロトコルを実行するステップと
を含む、方法。 - 前記クライアントノードと前記グループノードと前記中心ノードとの間で時間を大まかに同期させるステップ
をさらに含み、前記現在エポックに関連する前記エポック識別値を取得するステップは、
前記グループノードからグループノード実時間と前記グループノード識別情報とを受信するステップと、
前記グループノード実時間をクライアントノード実時間と比較するステップと、
前記グループノード実時間が前記クライアントノード実時間の最大時間しきい値差内にあると判断するステップと、
前記ノード実時間から前記エポック識別値を計算するステップと
を含む、
請求項1に記載の方法。 - 前記現在エポックに関連する前記エポック識別値を取得するステップは、
前記グループノードからグループノードエポック値と前記グループノード識別情報とを受信するステップと、
前記グループノードエポック値をクライアントノードエポック値と比較するステップであって、前記クライアントノードエポック値が、任意のグループノードとの最新の正常に確立されたセッションにおいて使用される最新の既知のエポック識別値に等しい、比較するステップと、
前記エポック識別値を前記グループノードエポック値と前記クライアントノードエポック値とのうちの大きいほうとして計算するステップと、
前記計算されたエポック識別値を前記グループノードに送信するステップと
を含む、請求項1に記載の方法。 - 前記現在エポックに関連する前記エポック識別値を取得するステップは、
前記グループノードにクライアントノードエポック値を送信するステップであって、前記クライアントノードエポック値が、任意のグループノードとの最新の正常に確立されたセッションにおいて使用される最新の既知のエポック識別値に等しい、送信するステップと、
前記グループノードから前記エポック識別値と前記グループノード識別情報とを受信するステップと、
前記受信されたエポック識別値が、送信された前記クライアントノードエポック値に等しいかまたはそれよりも大きいことを検証するステップと
を含む、請求項1に記載の方法。 - 鍵検証プロトコルを使用して前記セッション鍵を検証するステップをさらに含む、請求項1に記載の方法。
- 前記グループノードと前記中心ノードとの間の通信リンクが、前記現在エポック中に間欠的にのみ利用可能である、請求項1に記載の方法。
- 前記制限付き鍵がエポック固有である、請求項1に記載の方法。
- 前記制限付き鍵がグループノード固有である、請求項7に記載の方法。
- 前記制限付き鍵が前記中心ノードによって前記グループノードに与えられる、請求項1に記載の方法。
- 前記中心ノードが、障害を受けていないグループノードのリストを維持し、障害を受けたグループノードが前記リストから削除される、請求項1に記載の方法。
- 複数のセッション鍵を導出するために前記制限付き鍵が前記現在エポック中に複数回使用される、請求項1に記載の方法。
- 前記現在エポックは、持続時間が固定でなく、新しいエポックの開始時に満了する、請求項1に記載の方法。
- 前記エポック識別値が、前記中心ノードによって生成される連続整数であり、前記中心ノードによって前記新しいエポックの前記開始時に増分される、請求項12に記載の方法。
- 前記中心ノードが、前記グループノードにコミットメッセージを送信することによって前記現在エポックの開始を示す、請求項1に記載の方法。
- 前記エポック識別値が実時間から導出される、請求項1に記載の方法。
- 前記共有秘密鍵と、前記エポック識別値と、前記グループノード識別情報とを使用して前記制限付き鍵を計算するステップが、暗号ベースのメッセージ認証コード(CMAC)関数、ハッシュベースのメッセージ認証コード(HMAC)関数、または暗号ブロック連鎖メッセージ認証コード(CBC-MAC)関数のうちの1つを使用して実行される、請求項1に記載の方法。
- 前記現在エポック中に前記グループノードとの作成されたセッションごとの前記制限付き鍵の導出を回避するためにキャッシュ中にタプルを挿入するステップ
をさらに含む、請求項1に記載の方法。 - 前記タプルが前記グループノード識別情報と前記制限付き鍵とを含む、請求項17に記載の方法。
- 前記現在エポックが満了したとき、前記キャッシュがフラッシュされる、請求項17に記載の方法。
- クライアントノードであって、
グループノードと通信するように適応された通信インターフェースと、
前記通信インターフェースに通信可能に結合された処理回路であって、前記処理回路は、
現在エポックに関連するエポック識別値を取得することであって、前記エポック識別値を取得することが、ノード実時間に基づいて前記エポック識別値を計算すること、または前記エポック識別値を前記グループノードとネゴシエートすることのうちの1つを含む、取得することと、
共有秘密鍵と、前記エポック識別値と、前記グループノードに関連するグループノード識別情報とを使用して制限付き鍵を計算することであって、前記共有秘密鍵が前記クライアントノードと中心ノードとに知られる、計算することと、
セッション鍵確立プロトコルにおいて前記制限付き鍵をマスター鍵として使用してセッション鍵を導出するために前記グループノードとの前記セッション鍵確立プロトコルを実行することと
を行うように適応された、処理回路と
を含む、クライアントノード。 - 前記処理回路が、前記クライアントノードと前記グループノードと前記中心ノードとの間で時間を大まかに同期させるようにさらに適応され、前記現在エポックに関連する前記エポック識別値を前記取得することは、
前記グループノードからグループノード実時間と前記グループノード識別情報とを受信することと、
前記グループノード実時間をクライアントノード実時間と比較することと、
前記グループノード実時間が前記クライアントノード実時間の最大時間しきい値差内にあると判断することと、
前記ノード実時間から前記エポック識別値を計算することと
を前記処理回路に行わせる、請求項20に記載のクライアントノード。 - 前記現在エポックに関連する前記エポック識別値を前記取得することは、
前記グループノードからグループノードエポック値と前記グループノード識別情報とを受信することと、
前記グループノードエポック値をクライアントノードエポック値と比較することであって、前記クライアントノードエポック値が、任意のグループノードとの最新の正常に確立されたセッションにおいて使用される最新の既知のエポック識別値に等しい、比較することと、
前記エポック識別値を前記グループノードエポック値と前記クライアントノードエポック値とのうちの大きいほうとして計算することと、
前記計算されたエポック識別値を前記グループノードに送信することと
を前記処理回路に行わせる、請求項20に記載のクライアントノード。 - 前記現在エポックに関連する前記エポック識別値を前記取得することは、
前記グループノードにクライアントノードエポック値を送信することであって、前記クライアントノードエポック値が、任意のグループノードとの最新の正常に確立されたセッションにおいて使用される最新の既知のエポック識別値に等しい、送信することと、
前記グループノードから前記エポック識別値と前記グループノード識別情報とを受信することと、
前記受信されたエポック識別値が、送信された前記クライアントノードエポック値に等しいかまたはそれよりも大きいことを検証することと
を前記処理回路に行わせる、請求項20に記載のクライアントノード。 - クライアントノードであって、
現在エポックに関連するエポック識別値を取得するための手段であって、前記エポック識別値を取得することが、ノード実時間に基づいて前記エポック識別値を計算すること、または前記エポック識別値をグループノードとネゴシエートすることのうちの1つを含む、取得するための手段と、
共有秘密鍵と、前記エポック識別値と、グループノードに関連するグループノード識別情報とを使用して制限付き鍵を計算するための手段であって、前記共有秘密鍵が前記クライアントノードと中心ノードとに知られる、計算するための手段と、
セッション鍵確立プロトコルにおいて前記制限付き鍵をマスター鍵として使用してセッション鍵を導出するために前記グループノードとの前記セッション鍵確立プロトコルを実行するための手段と
を含む、クライアントノード。 - 前記クライアントノードと前記グループノードと前記中心ノードとの間で時間を大まかに同期させるための手段
をさらに含み、前記現在エポックに関連する前記エポック識別値を取得するための手段は、
前記グループノードからグループノード実時間と前記グループノード識別情報とを受信するための手段と、
前記グループノード実時間をクライアントノード実時間と比較するための手段と、
前記グループノード実時間が前記クライアントノード実時間の最大時間しきい値差内にあると判断するための手段と、
前記ノード実時間から前記エポック識別値を計算するための手段と
を含む、
請求項24に記載のクライアントノード。 - 前記現在エポックに関連する前記エポック識別値を取得するための手段は、
前記グループノードからグループノードエポック値と前記グループノード識別情報とを受信するための手段と、
前記グループノードエポック値をクライアントノードエポック値と比較するための手段であって、前記クライアントノードエポック値が、任意のグループノードとの最新の正常に確立されたセッションにおいて使用される最新の既知のエポック識別値に等しい、比較するための手段と、
前記エポック識別値を前記グループノードエポック値と前記クライアントノードエポック値とのうちの大きいほうとして計算するための手段と、
前記計算されたエポック識別値を前記グループノードに送信するための手段と
を含む、請求項24に記載のクライアントノード。 - 前記現在エポックに関連する前記エポック識別値を取得するための手段は、
前記グループノードにクライアントノードエポック値を送信するための手段であって、前記クライアントノードエポック値が、任意のグループノードとの最新の正常に確立されたセッションにおいて使用される最新の既知のエポック識別値に等しい、送信するための手段と、
前記グループノードから前記エポック識別値と前記グループノード識別情報とを受信するための手段と、
前記受信されたエポック識別値が、送信された前記クライアントノードエポック値に等しいかまたはそれよりも大きいことを検証するための手段と
を含む、請求項24に記載のクライアントノード。 - クライアントノードとグループノードとの間のセッション鍵を確立するための前記クライアントノードにおいて動作可能な1つまたは複数の命令を有するプロセッサ可読記憶媒体であって、前記命令は、少なくとも1つのプロセッサによって実行されたとき、
現在エポックに関連するエポック識別値を取得することであって、前記エポック識別値を取得することが、ノード実時間に基づいて前記エポック識別値を計算すること、または前記エポック識別値を前記グループノードとネゴシエートすることのうちの1つを含む、取得することと、
共有秘密鍵と、前記エポック識別値と、前記グループノードに関連するグループノード識別情報とを使用して制限付き鍵を計算することであって、前記共有秘密鍵が前記クライアントノードと中心ノードとに知られる、計算することと、
セッション鍵確立プロトコルにおいて前記制限付き鍵をマスター鍵として使用して前記セッション鍵を導出するために前記グループノードとの前記セッション鍵確立プロトコルを実行することと
を前記プロセッサに行わせる、プロセッサ可読記憶媒体。 - 前記プロセッサによって実行されたとき、
前記クライアントノードと前記グループノードと前記中心ノードとの間で時間を大まかに同期させること
を前記プロセッサにさらに行わせる追加の命令を有し、前記現在エポックに関連する前記エポック識別値を取得することは、
前記グループノードからグループノード実時間と前記グループノード識別情報とを受信することと、
前記グループノード実時間をクライアントノード実時間と比較することと、
前記グループノード実時間が前記クライアントノード実時間の最大時間しきい値差内にあると判断することと、
前記ノード実時間から前記エポック識別値を計算することと
を含む、
請求項28に記載のプロセッサ可読記憶媒体。 - 前記現在エポックに関連する前記エポック識別値を取得することは、
前記グループノードからグループノードエポック値と前記グループノード識別情報とを受信することと、
前記グループノードエポック値をクライアントノードエポック値と比較することであって、前記クライアントノードエポック値が、任意のグループノードとの最新の正常に確立されたセッションにおいて使用される最新の既知のエポック識別値に等しい、比較することと、
前記エポック識別値を前記グループノードエポック値と前記クライアントノードエポック値とのうちの大きいほうとして計算することと、
前記計算されたエポック識別値を前記グループノードに送信することと
を含む、請求項28に記載のプロセッサ可読記憶媒体。 - 前記現在エポックに関連する前記エポック識別値を取得することは、
前記グループノードにクライアントノードエポック値を送信することであって、前記クライアントノードエポック値が、任意のグループノードとの最新の正常に確立されたセッションにおいて使用される最新の既知のエポック識別値に等しい、送信することと、
前記グループノードから前記エポック識別値と前記グループノード識別情報とを受信することと、
前記受信されたエポック識別値が、送信された前記クライアントノードエポック値に等しいかまたはそれよりも大きいことを検証することと
を含む、請求項28に記載のプロセッサ可読記憶媒体。 - グループノードとクライアントノードとの間のセッション鍵を確立するための前記グループノードにおいて動作可能な方法であって、前記方法は、
中心ノードからエポックに関連するプロキシトークンの第1のセットを受信するステップであって、プロキシトークンの前記第1のセットが、前記クライアントノードに関連するプロキシトークンを含み、前記プロキシトークンがクライアントノード識別情報と制限付き鍵とを含む、受信するステップと、
プロキシトークンの前記第1のセットをプロキシトークンの予備セットとして記憶するステップと、
前記エポックの開始時にプロキシトークンのアクティブセットをプロキシトークンの前記予備セットと交換するステップであって、プロキシトークンの前記予備セットがプロキシトークンの次のアクティブセットになる、交換するステップと、
セッション鍵確立プロトコルにおいて前記制限付き鍵をマスター鍵として使用して前記セッション鍵を導出するために前記クライアントノードとの前記セッション鍵確立プロトコルを実行するステップと
を含む、方法。 - 前記エポックに関連するエポック識別値を取得するステップと、
前記エポック識別値に基づいて前記制限付き鍵を取り出すステップと
をさらに含む、請求項32に記載の方法。 - 前記エポックに関連する前記エポック識別値を取得するステップは、
クライアントノード実時間を受信するステップと、
前記クライアントノード実時間をグループノード実時間と比較するステップと、
前記グループノード実時間が前記クライアントノード実時間の最大時間しきい値差内にあると判断するステップと、
ノード実時間に基づいて前記エポック識別値を計算するステップと
を含む、請求項33に記載の方法。 - 前記エポック識別値に基づいて前記制限付き鍵を取り出すステップは、
プロキシトークンの前記予備セットが前記エポック識別値に対応するのかプロキシトークンの前記アクティブセットが前記エポック識別値に対応するのかを判断するステップと、
プロキシトークンの前記予備セットが前記エポック識別値に関連する場合、プロキシトークンの前記予備セットから前記制限付き鍵を取得するステップと、
プロキシトークンの前記アクティブセットが前記エポック識別値に関連する場合、プロキシトークンの前記アクティブセットから前記制限付き鍵を取得するステップと
をさらに含む、請求項33に記載の方法。 - 前記中心ノードと前記グループノードと前記クライアントノードとの間で時間を大まかに同期させるステップと、
現在時間に関連するエポック識別値を取得するステップと、
前記エポック識別値と前記クライアントノード識別情報とに基づいてプロキシトークンの前記第1のセットから前記クライアントノードの前記制限付き鍵を選択するステップと
をさらに含む、請求項32に記載の方法。 - 前記エポックに関連するエポック識別値と、プロキシトークンの前記第1のセットとを含む、少なくとも1つのメッセージを前記中心ノードから受信するステップと、
前記エポックの前記開始時を示すコミットメッセージを前記中心ノードから受信するステップと
をさらに含む、請求項32に記載の方法。 - 前記グループノードと前記中心ノードとの間の通信リンクが、前記エポック中に間欠的にのみ利用可能である、請求項32に記載の方法。
- 中心ノードと通信するように適応された第1の通信インターフェースと、
クライアントノードと通信するように適応された第2の通信インターフェースと、
前記第1の通信インターフェースと前記第2の通信インターフェースとに通信可能に結合された処理回路であって、前記処理回路は、
前記中心ノードからエポックに関連するプロキシトークンの第1のセットを受信することであって、プロキシトークンの前記第1のセットが、前記クライアントノードに関連するプロキシトークンを含み、前記プロキシトークンがクライアントノード識別情報と制限付き鍵とを含む、受信することと、
プロキシトークンの前記第1のセットをプロキシトークンの予備セットとして記憶することと、
前記エポックの開始時にプロキシトークンのアクティブセットをプロキシトークンの前記予備セットと交換することであって、プロキシトークンの前記予備セットがプロキシトークンの次のアクティブセットになる、交換することと、
セッション鍵確立プロトコルにおいて前記制限付き鍵をマスター鍵として使用してセッション鍵を導出するために前記クライアントノードとの前記セッション鍵確立プロトコルを実行することと
を行うように適応された、処理回路と
を含む、グループノード。 - 中心ノードからエポックに関連するプロキシトークンの第1のセットを受信するための手段であって、プロキシトークンの前記第1のセットが、クライアントノードに関連するプロキシトークンを含み、前記プロキシトークンがクライアントノード識別情報と制限付き鍵とを含む、受信するための手段と、
プロキシトークンの前記第1のセットをプロキシトークンの予備セットとして記憶するための手段と、
前記エポックの開始時にプロキシトークンのアクティブセットをプロキシトークンの前記予備セットと交換するための手段であって、プロキシトークンの前記予備セットがプロキシトークンの次のアクティブセットになる、交換するための手段と、
セッション鍵確立プロトコルにおいて前記制限付き鍵をマスター鍵として使用してセッション鍵を導出するために前記クライアントノードとの前記セッション鍵確立プロトコルを実行するための手段と
を含む、グループノード。 - グループノードとクライアントノードとの間のセッション鍵を確立するための前記グループノードにおいて動作可能な1つまたは複数の命令を有するプロセッサ可読記憶媒体であって、前記命令は、少なくとも1つのプロセッサによって実行されたとき、
中心ノードからエポックに関連するプロキシトークンの第1のセットを受信することであって、プロキシトークンの前記第1のセットが、前記クライアントノードに関連するプロキシトークンを含み、前記プロキシトークンがクライアントノード識別情報と制限付き鍵とを含む、受信することと、
プロキシトークンの前記第1のセットをプロキシトークンの予備セットとして記憶することと、
前記エポックの開始時にプロキシトークンのアクティブセットをプロキシトークンの前記予備セットと交換することであって、プロキシトークンの前記予備セットがプロキシトークンの次のアクティブセットになる、交換することと、
セッション鍵確立プロトコルにおいて前記制限付き鍵をマスター鍵として使用して前記セッション鍵を導出するために前記クライアントノードとの前記セッション鍵確立プロトコルを実行することと
を前記プロセッサに行わせる、プロセッサ可読記憶媒体。 - 第1のグループノードとクライアントノードとの間の通信セッションを確立するための中心ノードにおいて動作可能な方法であって、前記方法は、
第2のグループノードが障害を受けたと判断するステップであって、前記第1のグループノードが第1のグループノード識別子を有する、判断するステップと、
障害を受けていないグループノードのリストから前記障害を受けた第2のグループノードを削除するステップであって、障害を受けていないグループノードの前記リストが、前記中心ノードに記憶され、前記第1のグループノードを含む、削除するステップと、
障害を受けていないグループノードの前記リスト上の各障害を受けていないグループノードに、次のエポックに関連する複数のプロキシトークンを送信するステップであって、前記複数のプロキシトークンが、前記第1のグループノードに関連し前記第1のグループノードに送信される第1のプロキシトークンを含み、前記第1のプロキシトークンがクライアントノード識別情報と制限付き鍵とを含み、前記次のエポックが次のエポック識別値に関連し、前記制限付き鍵が、前記次のエポック識別値、前記第1のグループノード識別子、および前記クライアントノードと前記中心ノードとの間で前に確立された共有鍵から計算される、送信するステップと
を含む、方法。 - 前記第1のプロキシトークンが、前記次のエポックの開始より前に送信される、請求項42に記載の方法。
- 前記第1のグループノードにコミットメッセージを送信するステップであって、前記コミットメッセージが前記次のエポックの前記開始を示す、送信するステップ
をさらに含む、請求項43に記載の方法。 - 第1のグループノードとクライアントノードとの間の通信セッションを確立するための中心ノードであって、前記中心ノードは、
前記第1のグループノードと通信するように適応された通信インターフェースと、
前記通信インターフェースに結合された処理回路であって、
第2のグループノードが障害を受けたと判断することであって、前記第1のグループノードが第1のグループノード識別子を有する、判断することと、
障害を受けていないグループノードのリストから前記障害を受けた第2のグループノードを削除することであって、障害を受けていないグループノードの前記リストが、前記中心ノードに記憶され、前記第1のグループノードを含む、削除することと、
障害を受けていないグループノードの前記リスト上の各障害を受けていないグループノードに、次のエポックに関連する複数のプロキシトークンを送信することであって、前記複数のプロキシトークンが、前記第1のグループノードに関連し前記第1のグループノードに送信される第1のプロキシトークンを含み、前記第1のプロキシトークンがクライアントノード識別情報と制限付き鍵とを含み、前記次のエポックが次のエポック識別値に関連し、前記制限付き鍵が、前記次のエポック識別値、前記第1のグループノード識別子、および前記クライアントノードと前記中心ノードとの間で前に確立された共有鍵から計算される、送信することと
を行うように適応された処理回路と
を含む、中心ノード。 - 第1のグループノードとクライアントノードとの間の通信セッションを確立するための中心ノードであって、前記中心ノードは、
第2のグループノードが障害を受けたと判断するための手段であって、前記第1のグループノードが第1のグループノード識別子を有する、判断するための手段と、
障害を受けていないグループノードのリストから前記障害を受けた第2のグループノードを削除するための手段であって、障害を受けていないグループノードの前記リストが、前記中心ノードに記憶され、前記第1のグループノードを含む、削除するための手段と、
障害を受けていないグループノードの前記リスト上の各障害を受けていないグループノードに、次のエポックに関連する複数のプロキシトークンを送信するための手段であって、前記複数のプロキシトークンが、前記第1のグループノードに関連し前記第1のグループノードに送信される第1のプロキシトークンを含み、前記第1のプロキシトークンがクライアントノード識別情報と制限付き鍵とを含み、前記次のエポックが次のエポック識別値に関連し、前記制限付き鍵が、前記次のエポック識別値、前記第1のグループノード識別子、および前記クライアントノードと前記中心ノードとの間で前に確立された共有鍵から計算される、送信するための手段と
を含む、中心ノード。 - 第1のグループノードとクライアントノードとの間の通信セッションを確立するための中心ノードにおいて動作可能な1つまたは複数の命令を有するプロセッサ可読記憶媒体であって、前記命令は、少なくとも1つのプロセッサによって実行されたとき、
第2のグループノードが障害を受けたと判断することであって、前記第1のグループノードが第1のグループノード識別子を有する、判断することと、
障害を受けていないグループノードのリストから前記障害を受けた第2のグループノードを削除することであって、障害を受けていないグループノードの前記リストが、前記中心ノードに記憶され、前記第1のグループノードを含む、削除することと、
障害を受けていないグループノードの前記リスト上の各障害を受けていないグループノードに、次のエポックに関連する複数のプロキシトークンを送信することであって、前記複数のプロキシトークンが、前記第1のグループノードに関連し前記第1のグループノードに送信される第1のプロキシトークンを含み、前記第1のプロキシトークンがクライアントノード識別情報と制限付き鍵とを含み、前記次のエポックが次のエポック識別値に関連し、前記制限付き鍵が、前記次のエポック識別値、前記第1のグループノード識別子、および前記クライアントノードと前記中心ノードとの間で前に確立された共有鍵から計算される、送信することと
を前記プロセッサに行わせる、プロセッサ可読記憶媒体。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/157,048 | 2011-06-09 | ||
US13/157,048 US9602276B2 (en) | 2010-06-11 | 2011-06-09 | Method and apparatus for virtual pairing with a group of semi-connected devices |
PCT/US2011/040099 WO2012170039A1 (en) | 2011-06-09 | 2011-06-10 | Method and apparatus for virtual pairing with a group of semi-connected devices |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014520444A true JP2014520444A (ja) | 2014-08-21 |
JP5878630B2 JP5878630B2 (ja) | 2016-03-08 |
Family
ID=44627443
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014514444A Expired - Fee Related JP5878630B2 (ja) | 2011-06-09 | 2011-06-10 | 半接続状態デバイスのグループとの仮想ペアリングのための方法および装置 |
Country Status (6)
Country | Link |
---|---|
US (1) | US9602276B2 (ja) |
EP (1) | EP2719113B1 (ja) |
JP (1) | JP5878630B2 (ja) |
KR (1) | KR101553488B1 (ja) |
CN (1) | CN103597773B (ja) |
WO (1) | WO2012170039A1 (ja) |
Families Citing this family (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012205088A (ja) * | 2011-03-25 | 2012-10-22 | Toshiba Corp | ノード及びグループ鍵更新方法 |
US20140223514A1 (en) * | 2013-02-01 | 2014-08-07 | Junaid Islam | Network Client Software and System Validation |
US9648125B2 (en) * | 2013-10-04 | 2017-05-09 | Akamai Technologies, Inc. | Systems and methods for caching content with notification-based invalidation |
US9641640B2 (en) * | 2013-10-04 | 2017-05-02 | Akamai Technologies, Inc. | Systems and methods for controlling cacheability and privacy of objects |
JP6179815B2 (ja) * | 2014-01-10 | 2017-08-16 | パナソニックIpマネジメント株式会社 | 暗号化データ通信装置、暗号化データ通信方法、プログラム、及び、記録媒体 |
EP2913955A1 (en) * | 2014-02-28 | 2015-09-02 | Gemalto SA | Method to authenticate two devices to establish a secure channel |
US9705892B2 (en) * | 2014-06-27 | 2017-07-11 | Intel Corporation | Trusted time service for offline mode |
US9436819B2 (en) | 2014-09-23 | 2016-09-06 | Intel Corporation | Securely pairing computing devices |
WO2016178088A2 (en) * | 2015-05-07 | 2016-11-10 | Cyber-Ark Software Ltd. | Systems and methods for detecting and reacting to malicious activity in computer networks |
JP2017111750A (ja) * | 2015-12-18 | 2017-06-22 | 富士通株式会社 | 情報処理装置、共有メモリ管理方法及び共有メモリ管理プログラム |
WO2017214380A1 (en) * | 2016-06-08 | 2017-12-14 | University Of Florida Research Foundation, Incorporated | Practical end-to-end cryptographic authentication for telephony over voice channels |
JP6468567B2 (ja) | 2016-09-01 | 2019-02-13 | 日本電信電話株式会社 | 鍵交換方法、鍵交換システム |
US10554480B2 (en) | 2017-05-11 | 2020-02-04 | Verizon Patent And Licensing Inc. | Systems and methods for maintaining communication links |
EP3656145B1 (en) * | 2017-07-17 | 2023-09-06 | Sonova AG | Encrypted audio streaming |
CN112074890B (zh) * | 2018-04-25 | 2024-03-22 | 日本电信电话株式会社 | 秘密聚合最大值系统和方法、秘密聚合最小值系统和方法、秘密计算装置、以及记录介质 |
US11093627B2 (en) * | 2018-10-31 | 2021-08-17 | L3 Technologies, Inc. | Key provisioning |
US11461244B2 (en) * | 2018-12-20 | 2022-10-04 | Intel Corporation | Co-existence of trust domain architecture with multi-key total memory encryption technology in servers |
CN112751821B (zh) * | 2020-07-29 | 2022-12-13 | 上海安辰网络科技有限公司 | 一种数据传输方法、电子设备和一种存储介质 |
CN114095166A (zh) * | 2021-11-23 | 2022-02-25 | 北京京东方技术开发有限公司 | 生成节点临时身份标识的方法、节点及系统 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040203357A1 (en) * | 2002-12-11 | 2004-10-14 | Shary Nassimi | Automatic bluetooth inquiry mode headset |
JP2009542118A (ja) * | 2006-06-22 | 2009-11-26 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | 階層的な決定論的ペアワイズキーの事前配布方式 |
JP2010045692A (ja) * | 2008-08-15 | 2010-02-25 | Ntt Docomo Inc | 移動通信方法、無線基地局及び移動局 |
WO2010041164A2 (en) * | 2008-10-06 | 2010-04-15 | Philips Intellectual Property & Standards Gmbh | A method for operating a network, a system management device, a network and a computer program therefor |
US20100220856A1 (en) * | 2009-02-27 | 2010-09-02 | Johannes Petrus Kruys | Private pairwise key management for groups |
US20100296655A1 (en) * | 2008-03-10 | 2010-11-25 | Nds Limited | Key distribution system |
US20100329463A1 (en) * | 2009-06-24 | 2010-12-30 | Cisco Technology, Inc. | Group key management for mobile ad-hoc networks |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7843830B1 (en) * | 2005-05-05 | 2010-11-30 | Force 10 Networks, Inc | Resilient retransmission of epoch data |
US8194859B2 (en) * | 2005-09-01 | 2012-06-05 | Qualcomm Incorporated | Efficient key hierarchy for delivery of multimedia content |
US7936878B2 (en) | 2006-04-10 | 2011-05-03 | Honeywell International Inc. | Secure wireless instrumentation network system |
US20080037791A1 (en) * | 2006-08-09 | 2008-02-14 | Jakobsson Bjorn M | Method and apparatus for evaluating actions performed on a client device |
US9015487B2 (en) | 2009-03-31 | 2015-04-21 | Qualcomm Incorporated | Apparatus and method for virtual pairing using an existing wireless connection key |
US8555063B2 (en) | 2009-09-30 | 2013-10-08 | Qualcomm Incorporated | Method for establishing a wireless link key between a remote device and a group device |
US8429404B2 (en) | 2009-09-30 | 2013-04-23 | Intel Corporation | Method and system for secure communications on a managed network |
-
2011
- 2011-06-09 US US13/157,048 patent/US9602276B2/en not_active Expired - Fee Related
- 2011-06-10 WO PCT/US2011/040099 patent/WO2012170039A1/en unknown
- 2011-06-10 JP JP2014514444A patent/JP5878630B2/ja not_active Expired - Fee Related
- 2011-06-10 CN CN201180071493.2A patent/CN103597773B/zh not_active Expired - Fee Related
- 2011-06-10 EP EP11727604.8A patent/EP2719113B1/en not_active Not-in-force
- 2011-06-10 KR KR1020147000569A patent/KR101553488B1/ko not_active IP Right Cessation
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040203357A1 (en) * | 2002-12-11 | 2004-10-14 | Shary Nassimi | Automatic bluetooth inquiry mode headset |
JP2009542118A (ja) * | 2006-06-22 | 2009-11-26 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | 階層的な決定論的ペアワイズキーの事前配布方式 |
US20100296655A1 (en) * | 2008-03-10 | 2010-11-25 | Nds Limited | Key distribution system |
JP2010045692A (ja) * | 2008-08-15 | 2010-02-25 | Ntt Docomo Inc | 移動通信方法、無線基地局及び移動局 |
WO2010041164A2 (en) * | 2008-10-06 | 2010-04-15 | Philips Intellectual Property & Standards Gmbh | A method for operating a network, a system management device, a network and a computer program therefor |
US20100220856A1 (en) * | 2009-02-27 | 2010-09-02 | Johannes Petrus Kruys | Private pairwise key management for groups |
US20100329463A1 (en) * | 2009-06-24 | 2010-12-30 | Cisco Technology, Inc. | Group key management for mobile ad-hoc networks |
Non-Patent Citations (1)
Title |
---|
JPN6015011985; Yang Xiao, Venkata Krishna Rayi, Bo Sun, Xiaojiang Du, Fei Hu, Michael Galloway: '"A survey of key management schemes in wireless sensor networks"' Computer Communications Volume 30, Issues 11-12, 20070910, p.2314-2341, [online] * |
Also Published As
Publication number | Publication date |
---|---|
CN103597773B (zh) | 2016-06-15 |
US9602276B2 (en) | 2017-03-21 |
CN103597773A (zh) | 2014-02-19 |
EP2719113B1 (en) | 2018-05-30 |
US20110305333A1 (en) | 2011-12-15 |
WO2012170039A1 (en) | 2012-12-13 |
KR20140019867A (ko) | 2014-02-17 |
KR101553488B1 (ko) | 2015-09-15 |
EP2719113A1 (en) | 2014-04-16 |
JP5878630B2 (ja) | 2016-03-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5878630B2 (ja) | 半接続状態デバイスのグループとの仮想ペアリングのための方法および装置 | |
JP6446032B2 (ja) | ディレクトリー・サービス間における資格証明ハッシュの同期 | |
US9083684B2 (en) | Communication node, key synchronization method, and key synchronization system | |
US9258284B2 (en) | Server, method of group key notification and program | |
US10841106B1 (en) | Combined authentication and encryption | |
Ostad‐Sharif et al. | Design of a lightweight and anonymous authenticated key agreement protocol for wireless body area networks | |
JP2018074435A (ja) | 通信システム及び通信方法 | |
KR20110022064A (ko) | 피어투피어 오버레이 네트워크에서 선택된 위치 공격들의 효력을 감소시키기 위한 방법들 및 장치 | |
US9049012B2 (en) | Secured cryptographic communication system | |
CN106888083B (zh) | 物联网下组密钥生成方法及通信节点 | |
Abdmeziem et al. | Lightweighted and energy-aware MIKEY-Ticket for e-health applications in the context of internet of things | |
CN110620776A (zh) | 一种数据转移信息传输方法及其装置 | |
KR20210126319A (ko) | 키 관리 장치 및 방법 | |
WO2018028359A1 (zh) | 业务处理方法、装置、存储介质及电子装置 | |
CN114448609A (zh) | 组密钥的管理方法、装置、相关设备及存储介质 | |
CN113498058A (zh) | 客户端隐私保护会话恢复 | |
JP6683105B2 (ja) | 通信システム | |
JP7250829B2 (ja) | 認証方法 | |
JPWO2007138876A1 (ja) | 通信ノード認証システム及び方法、通信ノード認証プログラム | |
US11895234B2 (en) | Delayed quantum key-distribution | |
JP6915717B2 (ja) | 通信システム | |
Boudguiga et al. | Server assisted key establishment for WSN: A MIKEY-Ticket approach | |
JP2017111599A (ja) | 認証装置、認証システム及び認証方法 | |
JP2020123960A (ja) | 通信システム | |
CN115514473A (zh) | 数据安全通信的方法、系统、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150330 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20150630 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150729 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160104 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160128 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5878630 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |