RU2420893C2 - Системы и способы для распределения обновлений для ключа с максимальной интенсивностью смены ключа - Google Patents

Системы и способы для распределения обновлений для ключа с максимальной интенсивностью смены ключа Download PDF

Info

Publication number
RU2420893C2
RU2420893C2 RU2009131030/09A RU2009131030A RU2420893C2 RU 2420893 C2 RU2420893 C2 RU 2420893C2 RU 2009131030/09 A RU2009131030/09 A RU 2009131030/09A RU 2009131030 A RU2009131030 A RU 2009131030A RU 2420893 C2 RU2420893 C2 RU 2420893C2
Authority
RU
Russia
Prior art keywords
update
time
per unit
server
group
Prior art date
Application number
RU2009131030/09A
Other languages
English (en)
Other versions
RU2009131030A (ru
Inventor
Брайант В. ИСТХЭМ (US)
Брайант В. ИСТХЭМ
Томас А. МИЛЛИГАН (US)
Томас А. МИЛЛИГАН
Джеймс Л. СИМИСТЕР (US)
Джеймс Л. СИМИСТЕР
Original Assignee
Панасоник Электрик Воркс Ко., Лтд.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Панасоник Электрик Воркс Ко., Лтд. filed Critical Панасоник Электрик Воркс Ко., Лтд.
Publication of RU2009131030A publication Critical patent/RU2009131030A/ru
Application granted granted Critical
Publication of RU2420893C2 publication Critical patent/RU2420893C2/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • H04L9/16Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms the keys or algorithms being changed during operation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Изобретение относится к компьютерным технологиям, а именно к системам и способам для распределения обновлений для ключа с максимальной интенсивностью смены ключа. Техническим результатом является повышение эффективности использования сети связи. Технический результат достигается тем, что минимизируют количество обменов ключами, необходимых для поддержания безопасных защищенных соединений посредством умножения количества принятых запросов на обновление на максимальный период обновления, чтобы оценить количество активных узлов в группе, определения общего количества принимаемых за единицу времени запросов на обновление, определения дополнительных запросов на обновление за единицу времени как разности между общим количеством принимаемых запросов на обновление и определенным максимальным количеством запросов, ожидаемых за единицу времени, и определения минимального периода обновления для группы узлов, что позволяет исключить дополнительную нагрузку на линии связи в сети. 3 н. и 10 з.п. ф-лы, 7 ил.

Description

ОБЛАСТЬ ТЕХНИКИ, К КОТОРОЙ ОТНОСИТСЯ ИЗОБРЕТЕНИЕ
Настоящее изобретение относится в общем к компьютерам и компьютерной технологии. Более конкретно, настоящее изобретение имеет отношение к системам и способам для распределения обновлений для ключа с максимальной интенсивностью смены ключа.
УРОВЕНЬ ТЕХНИКИ
Компьютерные технологии и технологии связи продолжают развиваться ускоренными темпами. Действительно, компьютерные и коммуникационные технологии вовлекаются во многие аспекты повседневной жизни человека. Например, многие устройства, используемые сегодня потребителями, имеют внутри малый компьютер. Эти малые компьютеры имеют различные размеры и уровни сложности. Эти малые компьютеры включают в себя все возможное, от одного микроконтроллера до полнофункциональной законченной компьютерной системы. Например, эти малые компьютеры могут представлять собой однокристальный компьютер, такой как микроконтроллер, компьютер на одной печатной плате, такой как управляющее устройство, обычный настольный компьютер, такой как IBM-совместимый ПК, и т.д.
Компьютеры, как правило, имеют один или более процессоров в основе компьютера. Процессор(ы) обычно взаимосвязан(ы) с различными внешними устройствами ввода и вывода и выполняет(ют) функции управления конкретным компьютером или устройством. Например, процессор в термостате может соединяться с кнопками, используемыми для выбора температурного режима, с печью или с устройством кондиционирования воздуха для изменения температуры и с температурными датчиками для считывания и отображения текущей температуры на устройстве отображения.
Многие приспособления, устройства и т.д. включают в себя один или более малых компьютеров. Например, термостаты, печи, системы кондиционирования воздуха, холодильные устройства, телефоны, печатающие устройства, автомобили, торговые автоматы и большинство промышленного оборудования различного типа сейчас, как правило, имеют внутри себя малые компьютеры или процессоры. Компьютерное программное обеспечение выполняется на процессорах этих компьютеров и указывает процессорам, как осуществлять определенные задачи. Например, компьютерное программное обеспечение, выполняющееся на термостате, может заставить устройство кондиционирования воздуха остановить работу при достижении конкретной температуры или может заставить нагревательное устройство включаться при необходимости.
Эти типы малых компьютеров, которые являются частью устройства, приспособления, инструментального средства и т.д., часто упоминаются как встроенные устройства или встроенные системы. (Термины «встроенное устройство» и «встроенная система» будут использоваться в настоящем описании взаимозаменяемо). Встроенная система обычно относится к компьютерному аппаратному обеспечению и программному обеспечению, которое является частью большей системы. Встроенные системы могут не иметь типичных устройств ввода и вывода, таких как клавиатура, манипулятор мышь и/или устройство для отображения. Обычно, в основе каждой встроенной системы имеется один или более процессоров.
Встроенные системы могут использоваться для осуществления контроля или управления многими различными системами, ресурсами, конечными результатами и т.д. С распространением сети Интернет и всемирной сети встроенные системы все чаще подключаются к сети Интернет, чтобы они могли дистанционно контролироваться и/или управляться. Другие встроенные системы могут подключаться к компьютерным сетям, включающим в себя локальные вычислительные сети, глобальные вычислительные сети и т.д. В контексте настоящего документа термин «компьютерная сеть» (или просто «сеть») относится к любой системе, в которой ряд узлов соединяется по каналу связи. Термин «узел» относится к любому устройству, которое может подключаться в качестве элемента компьютерной сети.
Некоторые встроенные системы могут предоставлять данные и/или услуги другим вычислительным устройствам, используя компьютерную сеть. В качестве альтернативы могут быть обычные компьютеры или вычислительные устройства, которые предоставляют данные и/или услуги другим вычислительным устройствам, используя компьютерную сеть. Иногда полезно минимизировать количество обменов ключами, необходимыми для поддержания безопасных соединений. Использование большого количества обменов ключами может привести к дополнительной нагрузке на линии связи в сети. Эти ситуации, как и другие, могут привести к неэффективности взаимодействия по сети. Преимущества могут быть реализованы, если имеются в распоряжении системы и способы для обеспечения эффективного распределения обновлений для ключа.
РАСКРЫТИЕ ИЗОБРЕТЕНИЯ
Описан способ распределения обновлений для ключа. Принимаются один или более запросов на обновление за единицу времени. Количество принятых за единицу времени запросов на обновление умножается на максимальный период обновления. Определяется общее количество принимаемых за единицу времени запросов на обновление. Получается величина, отображающая дополнительные запросы на обновление за единицу времени. Определяется минимальный период обновления для группы узлов.
В одном варианте осуществления величина, отображающая дополнительные запросы на обновление за единицу времени, получается путем вычитания определенного общего количества принимаемых запросов на обновление за единицу времени из определенного максимального количества запросов на обновление, ожидаемых за единицу времени. Минимальный период обновления может быть определен путем умножения количества принятых запросов на обновление за единицу времени на максимальный параметр обновления и делением этого произведения на величину, отображающую дополнительные запросы на обновление за единицу времени. В течение каждого минимального периода проверки может приниматься запрос на обновление от единственного узла. В одном варианте осуществления запрос на обновление содержит запрос на смену ключа для защиты обмена ключами (KEK). KEK может использоваться для присоединения к безопасной многоадресной группе узлов.
Может поддерживаться минимальная характеристика относительно группы узлов, причем минимальная характеристика содержит узлы, которые могут получить KEK и присоединиться к группе. Максимальный период обновления может представлять собой максимальное время, в течение которого узел использует KEK перед отправкой запроса на обновление. Умножение количества принятых запросов на обновление за единицу времени на максимальный период обновления может обеспечить оценку количества активных узлов в группе. Запросы на обновление могут нормально распределяться равномерно во времени.
Также описана компьютерная система, которая выполнена с возможностью распределения обновлений для ключа. Компьютерная система включает в себя процессор и запоминающее устройство, соединенное средствами электронной связи с процессором. Инструкции хранятся в запоминающем устройстве. Принимаются один или более запросов на обновление за единицу времени. Количество принятых запросов на обновление за единицу времени умножается на максимальный период обновления. Определяется общее количество принимаемых за единицу времени запросов на обновление. Получается величина, отображающая дополнительные запросы на обновление за единицу времени. Определяется минимальный период обновления для группы узлов.
Также описан машиночитаемый носитель, содержащий выполняемые инструкции для распределения обновлений для ключа в течение минимального периода обновления. Принимаются один или более запросов на обновление за единицу времени. Количество принятых запросов на обновление за единицу времени умножается на максимальный период обновления. Определяется общее количество принимаемых за единицу времени запросов на обновление. Получается величина, отображающая дополнительные запросы на обновление за единицу времени. Определяется минимальный период обновления для группы узлов.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
Иллюстративные варианты осуществления настоящего изобретения будут полностью понятны из нижеследующего описания и прилагаемой формулы изобретения при рассмотрении совместно с сопроводительными чертежами. С пониманием того что эти чертежи изображают только иллюстративные варианты настоящего осуществления и, следовательно, не должны рассматриваться как ограничивающие объем настоящего изобретения, иллюстративные варианты осуществления настоящего изобретения будут описаны с дополнительной конкретностью и подробностями за счет использования сопровождающих чертежей, на которых:
Фиг.1 является структурной схемой, демонстрирующей один вариант осуществления сервера, сообщающего ключ для защиты обмена ключами (KEK) одному или более узлам в пределах группы;
Фиг.2 является структурной схемой, демонстрирующей дополнительный вариант осуществления сервера, взаимодействующего с группой узлов по сети;
Фиг.3 является структурной схемой, демонстрирующей один вариант осуществления одиночного узла, отправляющего запросы на обновление серверу, используя минимальный период запроса, чтобы проверять изменения к KEK;
Фиг.4 является блок-схемой последовательности операций способа, демонстрирующей один вариант осуществления способа для определения минимального периода обновления для группы узлов;
Фиг.5 является блок-схемой последовательности операций способа, демонстрирующей один вариант осуществления способа для определения, может ли узел присоединиться к группе узлов;
Фиг.6 является блок-схемой последовательности операций способа, демонстрирующей один вариант осуществления способа для оповещения дополнительных узлов в группе об изменениях к KEK; и
Фиг.7 является структурной схемой компонентов аппаратного обеспечения, которые могут использоваться во встроенном устройстве, выполненном согласно варианту осуществления.
ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ
Далее будут описаны различные варианты осуществления настоящего изобретения со ссылкой на чертежи, причем схожие ссылочные позиции обозначают идентичные или функционально подобные элементы. Варианты осуществления настоящего изобретения, которые в общем описаны и продемонстрированы на чертежах в настоящем документе, могут быть скомпонованы и спроектированы в большем разнообразии различных конфигураций. Поэтому нижеследующее более детальное описание нескольких иллюстративных вариантов осуществления настоящего изобретения, которые отражены на чертежах, не предназначено для ограничения объема заявляемого изобретения, а просто отражает варианты осуществления настоящего изобретения.
Слово «иллюстративный» используется в настоящем описании исключительно в значении «служащий примером, образцом или иллюстрацией». Любой вариант осуществления, описываемый в настоящем документе как «иллюстративный», не должен обязательно рассматриваться в качестве предпочтительного или выгодного относительно других вариантов осуществления.
Многие признаки вариантов осуществления, раскрываемых в настоящем документе, могут быть реализованы в виде программного обеспечения, электронного аппаратного обеспечения или их комбинации. Чтобы ясно продемонстрировать эту взаимозаменяемость аппаратного обеспечения и программного обеспечения, различные компоненты будут описаны, как правило, с точки зрения их функциональных возможностей. Реализуются ли такие функциональные возможности в виде аппаратного обеспечения или программного обеспечения, зависит от конкретного применения и конструктивных ограничений, налагаемых на систему в целом. Специалисты в данной области техники могут реализовывать описываемые функциональные возможности по-разному для каждого конкретного применения, но такие решения по реализации не должны интерпретироваться как выходящие за рамки объема настоящего изобретения.
В случае когда описываемые функциональные возможности реализуются в виде программного обеспечения, такое программное обеспечение может включать в себя компьютерные инструкции любого типа или компьютерный выполняемый код, размещенные в запоминающем устройстве и/или передаваемые в виде электронных сигналов по системной шине или по сети. Программное обеспечение, которое реализует функциональные возможности, соотнесенные с компонентами, описываемыми в настоящем документе, может содержать единственную инструкцию или множество инструкций и может быть распределено по нескольким различным кодовым сегментам, между различными программами и на нескольких запоминающих устройствах.
В контексте настоящего документа термины «какой-либо вариант осуществления», «вариант осуществления», «варианты осуществления», «этот вариант осуществления», «эти варианты осуществления», «один или более вариантов осуществления», «некоторые варианты осуществления», «определенные варианты осуществления», «один вариант осуществления», «другой вариант осуществления» и тому подобное означают «один или более (но не обязательно все) варианты осуществления раскрываемого изобретения(ий)», если явно не определено иное.
Термин «определение» (и его грамматические формы) используется в наиболее широком смысле. Термин «определение» охватывает большое разнообразие действий, и поэтому «определение» может включать в себя вычисление, вычисление с применением компьютера, обработку, получение, исследование, поиск (например, поиск в таблице, базе данных или другой структуре данных), установление и тому подобное. Также, «определение» может включать в себя прием (например, прием информации), организацию доступа (например, организацию доступа к данным в запоминающем устройстве) и тому подобное. Также, «определение» может включать в себя принятие решения, отбор, выбор, обоснование и тому подобное.
Фраза «основанный на» не означает «основанный только на», если явно не определено иное. Другими словами, фраза «основанный на» описывает и «основанный только на», и «основанный по меньшей мере на».
Когда для организации безопасности многоадресных групп используется централизованный сервер, такой как сервер аутентификации, каждый член группы (или узел) может периодически проверять, что ключ, распределяемый сервером, не изменился. Ключ может дать возможность узлу присоединяться к многоадресной группе и принимать групповой ключ. Ключ может именоваться как ключ для защиты обмена ключами (KEK). У каждой группы может быть особый KEK. Периодическая проверка достоверности KEK может вызвать разногласия между своевременными обновлениями (т.е. использование частых проверок) и загруженностью сети (т.е. меньшее использование проверок). В одном варианте осуществления на сервер отправляются менее частые проверки, пока не изменится распределяемый KEK. Когда появляется изменение к KEK, сервер стремиться сменить ключ для каждого активного узла, принадлежащего группе, как можно быстрее.
В одном варианте осуществления сервер аутентификации поддерживает минимальные характеристики (состояния) относительно многоадресных групп. Например, сервер может поддерживать узлы, которые могут идентифицироваться как члены группы, и сервер может поддерживать KEK. KEK может использоваться узлами для присоединения к активной группе. Поддерживание минимальных характеристик позволяет системе быть защищенной от выхода из строя сервера аутентификации или переключения на резервный сервер аутентификации, на котором может быть характеристика сервера аутентификации с ограниченным совместным доступом или совсем без него.
Узлы в пределах группы не могут полагаться друг на друга в отношении KEK. В одном варианте осуществления узел, который был поврежден, может дезинформировать остальные узлы в пределах группы о КЕК. Сервер аутентификации может быть надежным для распределения или подтверждения КЕК, что может создавать большую нагрузку на сервере аутентификации. Однако сервер аутентификации может не располагать точным подсчетом количества активных узлов в группе в любой момент времени. Незнание количества активных узлов в группе повышает трудность для сервера аутентификации в принятии решения о том, как оптимально распределять запросы на обновление для проверки наличия обновленного КЕК, если ему требуются эти узлы в группе, чтобы отправить запросы, как можно быстрее. Например, группа с десятью активными узлами может сменить ключи с изменениями к КЕК в течение нескольких секунд. Однако группа с 10000 активными узлами не может сменить ключи так быстро. Если все 10000 узлов в группе отправили запрос на сервер аутентификации, который должен сменить ключи в течение нескольких секунд, то сервер или сеть могут оказаться неспособны обработать большую информационную нагрузку.
Фиг.1 является структурной схемой, демонстрирующей один вариант осуществления сервера 102, сообщающего ключ для защиты обмена ключами (КЕК) 104 одному или более узлам в пределах группы А 106. В одном варианте осуществления сервер 102 является сервером аутентификации. Сервер аутентификации может быть сервером, который устанавливает подлинность узлов, желающих присоединиться к группе А 106. В одном варианте осуществления сервер 102 устанавливает подлинность узла, и этот узел принимает КЕК 104. Узел может присоединиться к группе А 106, используя КЕК 104, чтобы подтвердить свою возможность присоединения к группе А 106 другим узлам, уже принадлежащим группе А 106. В одном варианте осуществления сервер 102 поддерживает минимальную характеристику относительно каждого узла группы A 106. Например, сервер 102 может поддерживать информацию, используемую для установления подлинности конкретного узла N 116, который имеет возможность присоединиться к группе A 106. В одном варианте осуществления сервер 102 поддерживает минимальную характеристику относительно каждой группы A 106. Например, сервер 102 может просто поддерживать характеристику KEK 104. Сервер 102 может сообщать изменения к KEK 104 узлам группы A 106.
Как продемонстрировано, группа A 106 включает в себя узел A 108, узел B 110 и узел C 112. В то время как группа A 106 продемонстрирована только с тремя узлами, понятно, что группа A 106 может включать в себя больше или меньше узлов. Группа A 106 может упоминаться как безопасная многоадресная группа, потому что узлы в пределах группы A 106 могут осуществлять многоадресную передачу информации друг другу безопасным способом. Например, информация, многоадресная передача которой осуществляется между узлами группы A 106, может быть зашифрована с ключом 114 коллективного пользования группы A. Узлы могут использовать KEK 104 для приема ключа 114 группы A, который соотнесен с группой A 106. Например, узел N 116 может осуществить запрос на то, чтобы стать членом группы A 106, отправляя запрос 118 на присоединение к группе одному или более узлам группы A 106. Один или более узлов группы A 106 могут определить, включает ли узел N 116 в себя KEK 104. Если узел N 116 включает в себя KEK 104, эти один или более узлов могут выдать ключ 114 группы A узлу N 116. Ключ 114 группы A может дать возможность узлу отправлять информацию другим узлам в пределах группы A 106 и принимать информацию от них. Узлы могут использовать ключ 114 группы A, чтобы зашифровывать и расшифровывать информацию, многоадресная передача которой осуществляется между узлами группы A 106.
Если узел N 116 не включает в себя KEK 104, узел N 116 может отправить запрос 120 на KEK серверу 102, запрашивая, чтобы сервер 102 выдал KEK 104 узлу N 116. Сервер 102 может удостоверить подлинность узла N 116 и выдать KEK 104. Однако, если KEK 104 не выдается узлу N 116, узел N 116 не может присоединиться к группе A 106 и принять ключ 114 группы A.
Обмен информацией между сервером 102, группой A 106 и узлом N 116 может происходить по сети 122. Сеть 122 может включать в себя сеть Интернет, телефонную сеть, сеть поискового вызова и т.д. В одном варианте осуществления сервер 102 может управлять и устанавливать связь с множественными группами узлов по сети 122. Сервер 102 может распределять KEK, который является особым для каждой группы узлов.
Фиг.2 является структурной схемой, демонстрирующей дополнительный вариант осуществления сервера 202, взаимодействующего с группой узлов по сети 222. Группа узлов может включать в себя группу A 206. Для упрощения в пределах группы A 206 продемонстрирован только узел A 208. При этом каждый узел в пределах группы A 206 может быть подобен узлу A 208. В одном варианте осуществления узел A 208 может определять максимальный период 224 обновления. Максимальный период 224 обновления может отражать максимальное время, в течение которого узел может доверять KEK 204, не осуществляя проверку изменений к KEK 204 на сервере 202. Например, группа A 206 может включать в себя максимальный период 224 обновления в двадцать четыре часа, который подразумевает, что каждый узел, принадлежащий группе A 206, может отправлять запрос серверу 202 на изменения к KEK 204 один раз каждые двадцать четыре часа. В одном варианте осуществления максимальный период 224 обновления может сначала определяться сервером 202 и затем переправляться узлу в ответ на запрос 120 KEK. В дополнительном варианте осуществления узел 208 может получать максимальный период 224 обновления от другого узла, уже входящего в группу A 206.
Узел A 208 также может включать в себя устройство 226 генерирования запроса. Устройство 226 генерирования запроса может генерировать запросы на обновление, которые запрашивают сервер 202 об изменениях к KEK 204. Например, сервер 202 может изменить KEK 204, и узел A 208 может сгенерировать запрос на обновление для обнаружения изменений к KEK 204. Устройство 226 генерирования запроса также может включать в себя устройство 228 выбора случайного времени. В одном варианте осуществления устройство 228 выбора случайного времени случайным образом выбирает время для отправки запросов на обновление серверу 202. Устройство 228 выбора случайного времени может случайным образом выбирать время, которое является меньшим, чем максимальный период 224 обновления. Например, если максимальный период 224 обновления включает в себя двадцать четыре часа, запрос на обновление может случайным образом отправляться серверу 202 в течение десятого часа. Узел 208 может отправить запрос на обновление в десятый час, а затем другой запрос на обновление в конце максимального периода 224 обновления (т.е. двадцати четырех часов). В одном варианте осуществления узлы в пределах группы A 206 равномерно распределяют свои сгенерированные запросы на обновление серверу 202. Например, если группа A 206 включает в себя двадцать четыре узла, первый узел может отправлять запрос на обновление в первом часе (и затем другой запрос на обновление после максимального периода 224 обновления); второй узел может отправлять запрос на обновление во втором часе (и затем другой запрос на обновление после максимального периода 224 обновления) и т.д.
В одном варианте осуществления сервер 202 включает в себя устройство 230 определения размера. Устройство 230 определения размера помогает серверу 202 приблизительно определять, сколько узлов может быть активно в пределах конкретной группы, например группы A 206. Активный узел может включать в себя узел, который генерирует и отправляет запросы на обновление серверу 202 относительно KEK 204. Сервер 202 может использовать устройство 230 определения размера, чтобы определить приблизительное количество активных узлов в группе A 206. В одном варианте осуществления устройство 230 определения размера умножает максимальный период 224 обновления на интенсивность запросов, соотнесенную с группой A 206. Интенсивность запросов может отражать количество запросов на обновление KEK 204, которые сервер 202 принимает от узлов в пределах группы A 206 за единицу времени. Например, максимальный период 224 обновления, соотнесенный с каждым узлом, может включать в себя двадцать четыре часа, и сервер 202 может принимать десять запросов в час от узлов в пределах группы A 206. Следовательно, устройство 230 определения размера может оценить, что группа A 206 включает в себя двести сорок активных узлов (десять запросов в час, умноженные на двадцать четыре часа).
В одном варианте осуществления сервер 202 включает в себя устройство 232 определения смены ключа. Устройство 232 определения смены ключа может определять минимальный период 240 обновления, который отражает минимальное время, требующееся серверу 202, чтобы сменить ключи всех активных узлов в пределах группы, вызывая максимальную нагрузку для сервера 202. В одном варианте осуществления смена ключа каждого активного узла в пределах группы включает в себя изменение KEK 204, хранящегося на каждом узле. Устройство 232 определения смены ключа может определить его текущую нагрузку, используя все запросы за некоторый интервал времени. В одном варианте осуществления это может быть проделано с использованием плавающего среднего. Затем устройство 232 определения смены ключа может определить количество дополнительных запросов в секунду, которые может удовлетворить сервер 202, вычитая текущую нагрузку сервера 202 из определенной максимальной нагрузки. Устройство 232 определения смены ключа может также обратиться к устройству 230 определения размера, чтобы получить оценочное количество активных узлов в конкретной группе. В одном варианте осуществления устройство 232 определения смены ключа может разделить количество активных узлов в группе на определенные дополнительные запросы в единицу времени, чтобы получить минимальный период 240 обновления, который представляет собой время, требующееся серверу 202, чтобы сменить ключи во всей группе активных узлов, используя максимальную нагрузку. Например, сервер 202 может определить, что в настоящее время он обслуживает десять запросов на обновление за единицу времени. Максимальная нагрузка может быть определена как двадцать запросов на обновление за единицу времени. Устройство 230 определения размера может определить оценку размера группы A 206 как двести сорок активных узлов. В силу этого, устройство 232 определения смены ключа может определить, что серверу 202 потребуется примерно двадцать четыре единицы времени, чтобы заменить ключ KEK 204, сохраненный на каждом активном узле в пределах группы A 206 (двести сорок узлов, разделенные на 10 дополнительных запросов, возможных за единицу времени). В варианте осуществления минимальный период 240 обновления распределяется узлу A 208 наряду с KEK 204. В дополнительном варианте осуществления и минимальный период 240 обновления и максимальный период 224 обновления распределяется узлу A 208 наряду с KEK 204.
Фиг.3 является структурной схемой, демонстрирующей один вариант осуществления единичного узла A 308, отправляющего запросы на обновление серверу 302, используя минимальный период 344 проверок, чтобы проверять изменения к KEK 304. Как объяснялось ранее, сервер 302 может включать в себя KEK 304, который распределяется узлам в пределах группы, такой как группа A 306, по сети 322. KEK 304 может дать возможность узлу получить ключ 314 группы A, который позволяет этому узлу устанавливать безопасное соединение с другими узлами в пределах группы A 306. Сервер 302 также включает в себя устройство 330 определения размера, которое может дать возможность серверу 302 оценить количество активных узлов в пределах группы A 306, как объяснялось ранее. В одном варианте осуществления сервер 302 включает в себя устройство 332 определения смены ключа, которое может включать в себя минимальный период 340 обновления. Минимальный период 340 обновления может определяться так же, как объяснялось ранее, и может отражать минимальное время, требующееся серверу 302, чтобы распределить KEK 304 каждому активному узлу группы A 306, используя максимальную нагрузку.
В одном варианте осуществления устройство 332 определения смены ключа также может включать в себя минимальный период 344 проверки. Минимальный период 344 проверки может отражать минимальное время между запросами (максимальную интенсивность), за которое сервер 302 может предпочесть обслуживать нормальные запросы на обновление от единственного узла для проверки обновлений к KEK 304. В одном варианте осуществления минимальный период 344 проверки может предварительно задаваться системным администратором. В другом варианте осуществления минимальный период 344 проверки может определяться аналогично минимальному периоду 340 обновления. Таким образом, минимальный период 344 проверки и минимальный период 340 обновления могут быть аналогичными. В одном варианте осуществления минимальный период 344 проверки может служить только ориентиром для узлов в пределах группы A 306, и может не требоваться его выполнение ни узлом 308, ни сервером 302.
Сервер 302 может распределять минимальный период 344 проверки узлу A 308. Узел A 308 может включать в себя устройство 326 генерирования запросов, которое может генерировать запросы на обновление, которые запрашивают сервер 302 об изменениях к KEK 304. В одном варианте осуществления устройство 326 генерирования запросов отправляет запросы на обновление с интенсивностью, заданной минимальным периодом 344 проверки. Узел A 308 может быть единственным узлом в пределах группы A 306, отправляющим запросы на обновление с интенсивностью, заданной минимальным периодом 344 проверки. В другом варианте осуществления группа A 306 включает в себя небольшой набор узлов, каждый из которых включает в себя устройство 326 генерирования запросов, которое отправляет запросы на обновление серверу 302 с интенсивностью, заданной минимальным периодом 344 проверки. В другом варианте осуществления группа A 306 может включать в себя большой набор узлов, каждый из которых включает в себя устройство 326 генерирования запросов, которое отправляет запросы на обновление серверу 302 с интенсивностью, заданной максимальным периодом 224 обновления.
Преимущество использования минимального периода 344 проверки на малом наборе узлов состоит в том, что единственный узел может в таком случае оповещать другие узлы в группе о том, что KEK изменился, давая им возможность использовать определенный минимальный период 340 обновления, чтобы обновить KEK. Эта логическая схема минимизирует нагрузку на сервер 302, когда KEK не изменяется, а также минимизирует время, требующееся для распределения измененного KEK всем узлам в группе. В одном варианте осуществления узел A 308 включает в себя устройство 342 генерирования оповещений. Устройство 342 генерирования оповещений может генерировать оповещения, которые сигнализируют другим узлам в пределах группы A 306, что имеются изменения к KEK 304. В одном варианте осуществления узел A 308 осуществляет безопасную многоадресную передачу оповещений дополнительным узлам в пределах группы A 306. Дополнительные узлы также могут включать в себя KEK 304. Дополнительные узлы могут генерировать запросы на обновление и отправлять эти запросы на обновление сервера 302, чтобы сменить ключ KEK 304. Устройство 342 генерирования оповещений также может включать в себя минимальный период 340 обновления, который оповещает дополнительные узлы о минимальном периоде, в течение которого запросы на обновление могут быть отправлены серверу 302, чтобы принять обновленный KEK 304. В другом варианте осуществления дополнительные узлы могут использовать устройство выбора случайного времени для определения того, когда получать обновленный KEK 304 в пределах минимального периода 340 обновления.
Фиг.4 является блок-схемой последовательности операций способа, демонстрирующей один вариант осуществления способа 400 для определения минимального периода 240 обновления для группы узлов. В одном варианте осуществления способ 400 может быть реализован сервером 102, таким как сервер аутентификации. Минимальный период 240 обновления может отражать время, в течение которого сервер может сменить ключи для узлов в пределах группы. Смена ключей для узлов может включать в себя обновление KEK 104, сохраненного на каждом активном узле в пределах группы.
В одном варианте осуществления на этапе 402 принимаются один или более запросов на обновление за единицу времени. Запросы на обновление могут включать в себя запрашивание того, изменился ли KEK 104, сохраненный на сервере 102. На этапе 404 количество принятых запросов на обновление за единицу времени может умножаться на максимальный период 224 обновления. Максимальный период 224 обновления может представлять собой максимальное время, в течение которого узел может доверять KEK 104, до отправки запроса на обновление относительно изменений к KEK 104. Результат умножения принятых запросов на обновление и максимального периода 224 обновления может дать оценку активных узлов в пределах группы.
В одном варианте осуществления на этапе 406 определяется общее количество принимаемых запросов на обновление за единицу времени. Общее количество принимаемых запросов на обновление за единицу времени может представлять собой общее количество запросов на обновление, которые сервер 102 обслуживает в любое время по всем группам. В одном варианте осуществления на этапе 408 получается величина, отображающая дополнительные запросы на обновление в единицу времени. Величина, отображающая дополнительные запросы на обновление, может быть получена на этапе 408 путем вычитания общего количества принимаемых запросов из определяемого максимума. Как объяснялось ранее, определяемый максимум может включать в себя максимальное количество запросов на обновление, которые сервер 102 может обслужить в единицу времени. На этапе 410 определяется минимальный период 240 обновления для группы узлов. В одном варианте осуществления минимальный период 240 обновления отражает время, требующееся серверу 102, чтобы сменить ключи для каждого активного узла в пределах группы A 206. Смена ключей для каждого активного узла может включать в себя обновление KEK 104 на каждом активном узле в пределах группы A 206. Как объяснялось ранее, минимальный период 240 обновления может определяться путем деления оценки активных узлов в пределах группы A 206 на величину, отображающую дополнительные запросы на обновление за единицу времени.
Фиг.5 является блок-схемой последовательности операций способа, демонстрирующей один вариант осуществления способа 500 для определения, может ли узел присоединиться к группе узлов. В одном варианте осуществления способ 500 может быть реализован отдельным узлом, принадлежащим группе. На этапе 502 может приниматься запрос на присоединение к группе узлов. Запрос может включать в себя параметр, определяемый KEK. На этапе 504 производится определение, обусловлен ли параметр, включенный в запрос, KEK 104, соотнесенным с каждым узлом в пределах группы. Например, узел A 108 может принять на этапе 502 запрос от узла N 116, запрашивающий о том, чтобы узел N 116 стал членом группы A 106. Запрос может включать в себя параметр, определяемый KEK. Узел A 108 может определить на этапе 504, совпадает ли KEK, соотнесенный с запросом, с KEK 104, соотнесенным с узлом A 108. Если на этапе 504 определяется, что KEK, соотнесенный с запросом, не совпадает с KEK 104, соотнесенным с узлом A 108, или если узел N 116 не обладает KEK, способ 500 прекращается. Если на этапе 504 определяется, что KEK совпадают, групповой ключ 114 выдается на этапе 506 узлу N 116. В одном варианте осуществления групповой ключ 114 позволяет узлу принимать безопасные данные от других узлов, принадлежащих группе. Групповой ключ также может позволить узлу безопасно отправлять данные другим узлам в группе.
Фиг.6 является блок-схемой последовательности операций способа, демонстрирующей один вариант осуществления способа 600 для оповещения дополнительных узлов в группе об изменениях к KEK. В одном варианте осуществления способ 600 реализуется единственным узлом. В дополнительном варианте осуществления способ 600 реализуется небольшой группой узлов.
Запрос на обновление может быть отправлен на этапе 602 серверу 102, используя минимальный период проверки. Запрос на обновление может включать в себя запрос относительно изменений к KEK 104, соотнесенному с группой. Сервер 102 может включать в себя сервер аутентификации. Сервер 102 может отвечать на запрос. В одном варианте осуществления ответ включает в себя KEK 104, соотнесенный с группой, идентифицируемой узлом, который отправил запрос. На этапе 604 производится определение, совпадает ли KEK 104, включенный в ответ, с KEK 104 на узле. Если на этапе 604 KEK совпадают, узел продолжает отправлять на этапе 602 другой запрос на обновление после истечения минимального периода 344 проверки. Если на этапе 604 KEK не совпадают, KEK 104 на узле обновляется на этапе 606, чтобы совпадать с KEK 104 на сервере 102. В одном варианте осуществления сервер 102 может периодически изменять KEK 104, чтобы защитить целостность группы узлов. На этапе 608 может осуществляться многоадресная передача оповещения об изменении KEK одному или более узлам в пределах группы. В одном варианте осуществления производится многоадресная передача оповещения группе от узла, который отправил на этапе 602 запрос на обновление серверу 102. Оповещение также может включать в себя минимальный период 240 обновления. В одном варианте осуществления один или более узлов могут отправить запрос на обновление серверу 102 после приема оповещения. Запросы на обновление могут быть отправлены в пределах минимального периода 240 обновления.
Фиг.7 является структурной схемой компонентов аппаратного обеспечения, которые могут использоваться в узле или сервере 702, который выполнен согласно варианту осуществления. Узел или сервер 702 может быть реализован во встроенном устройстве/вычислительном устройстве 702. Может быть предусмотрен центральный процессор (ЦП) 704 или процессор для управления работой встроенного устройства 702, в том числе другими его компонентами, которые соединены с ЦП 704 посредством шины 710. ЦП 704 может быть осуществлен в форме микропроцессора, микроконтроллера, цифрового сигнального процессора или другого устройства, известного в данной области техники. ЦП 704 выполняет логические и арифметические действия на основании программного кода, хранящегося в запоминающем устройстве. В некоторых вариантах осуществления запоминающее устройство 706 может быть внутриплатным запоминающим устройством, включенным в состав ЦП 704. Например, микроконтроллеры часто включают в себя внутриплатное запоминающее устройство некоторого объема.
Встроенное устройство 702 также может включать в себя сетевой интерфейс 708. Сетевой интерфейс 708 обеспечивает установление связи между встроенным устройством 702 и другими устройствами, подключенными к сети 122, которая может быть сетью поискового вызова, сотовой сетью связи, сетью глобальной связи, сетью Интернет, компьютерной сетью, телефонной сетью и т.д. Сетевой интерфейс 708 работает согласно стандартным протоколам для соответствующей сети 122.
Встроенное устройство 702 также может включать в себя запоминающее устройство 706. Запоминающее устройство 706 может включать в себя оперативное запоминающее устройство (ОЗУ) для хранения временных данных. В качестве альтернативы или в дополнение, запоминающее устройство 706 может включать в себя постоянное запоминающее устройство (ПЗУ) для хранения более постоянных данных, таких как постоянный код и конфигурационные данные. Запоминающее устройство 706 также может быть осуществлено в форме магнитного устройства хранения данных, такого как жесткий диск. Запоминающее устройство 706 может быть электронным устройством любого типа, выполненным с возможностью хранения информации в электронном виде.
Встроенное устройство 702 также может включать в себя один или более портов 712 связи, которые обеспечивают установление связи с другими устройствами. Встроенное устройство 702 также может включать в себя устройства 714 ввода/вывода, такие как клавиатура, манипулятор мышь, джойстик, сенсорный экран, устройство для отображения, громкоговорители, печатающее устройство и т.д.
Разумеется, фиг.7 демонстрирует только одну возможную конфигурацию встроенного устройства 702. Могут использоваться разнообразные другие архитектуры и компоненты.
Информация и сигналы могут быть представлены с использованием любых из ряда других технологий и технических средств. Например, данные, инструкции, команды, информация, сигналы, биты, символы и элементы сигналов, которые могут упоминаться всюду в вышеизложенном описании, могут быть представлены посредством напряжений, токов, электромагнитных волн, магнитных полей или частиц, оптических полей или частиц или любой их комбинации.
Различные иллюстративные логические блоки, модули, схемы и этапы алгоритмов, описанные применительно к вариантам осуществления, раскрытым в настоящем документе, могут быть реализованы в виде электронного аппаратного обеспечения, программного обеспечения или их комбинации. Чтобы ясно продемонстрировать эту взаимозаменяемость аппаратного обеспечения и программного обеспечения, различные иллюстративные компоненты, блоки, модули, схемы и этапы были описаны выше, как правило, с точки зрения их функциональных возможностей. Реализуются ли такие функциональные возможности в виде аппаратного обеспечения или программного обеспечения, зависит от конкретного применения и конструктивных ограничений, налагаемых на систему в целом. Специалисты в данной области техники могут реализовывать описываемые функциональные возможности по-разному для каждого конкретного применения, но такие решения по реализации не должны интерпретироваться как выходящие за рамки объема настоящего изобретения.
Различные иллюстративные логические блоки, модули и схемы, описанные применительно к вариантам осуществления, раскрытым в настоящем документе, могут быть реализованы или выполнены с использованием процессора общего назначения, цифрового сигнального процессора (ЦСП), специализированной интегральной схемы (СИС), программируемой вентильной матрицы (ПВМ) или другого программируемого логического устройства, логического элемента на дискретных компонентах или транзисторных логических схем, отдельных аппаратных компонентов или любой их комбинации, предназначенных для выполнения функций, изложенных в настоящем описании. Процессор общего назначения может быть микропроцессором, а как вариант, процессор может быть любым традиционным процессором, управляющим устройством, микропроцессорным управляющим устройством или конечным автоматом. Кроме того, процессор может быть реализован в виде комбинации вычислительных устройств, например комбинации ЦСП и микропроцессора, множества микропроцессоров, одного или более микропроцессоров в сочетании с ЦСП в качестве ядра или любой другой подобной конфигурации.
Этапы способов или алгоритмов, описанные применительно к вариантам осуществления, раскрытым в настоящем документе, могут быть воплощены непосредственно в аппаратном обеспечении, в программном модуле, выполняемом процессором, или в комбинации этих двух компонентов. Программный модуль может постоянно храниться в памяти ОЗУ, памяти ЭППЗУ, памяти ПЗУ, памяти СППЗУ, памяти ЭСППЗУ, в регистрах, на жестком диске, съемном диске, компактном оптическом диске или любой другой форме носителя данных, известного в данной области техники. Иллюстративный носитель данных соединяется с процессором, причем упомянутый процессор может считывать информацию с этого носителя данных и записывать на него информацию. Как вариант, носитель данных может быть встроен в процессор. Процессор и носитель данных могут постоянно размещаться в СИС. СИС может размещаться в пользовательском терминале. Как вариант, процессор и носитель данных могут размещаться в пользовательском терминале в виде отдельных компонентов.
Способы, раскрытые в настоящем документе, содержат один или более этапов или действий для успешного выполнения описываемого способа. Этапы и/или действия способов могут заменять друг друга без отклонения от объема настоящего изобретения. Другими словами, если для правильной работы варианта осуществления не требуется определенный порядок этапов или действий, то порядок и/или использование определенных этапов и/или действий могут быть изменены без отклонения от объема настоящего изобретения.
Хотя выше продемонстрированы и описаны определенные варианты осуществления и применения настоящего изобретения, понятно, что настоящее изобретение не ограничивается отдельно взятыми конфигурацией и компонентами, раскрытыми в настоящем документе. Различные модификации, изменения и вариации, которые будут очевидны специалистам в данной области техники, могут быть внесены в компоновку, работу и детали способов и систем согласно настоящему изобретению, раскрытых в настоящем документе, без выхода за рамки сущности и объема настоящего изобретения.

Claims (13)

1. Способ распределения обновлений для ключа, при этом способ осуществляется сервером, причем способ содержит этапы, на которых:
принимают на сервере один или более запросов на обновление за единицу времени от группы активных узлов;
умножают на сервере количество принятых запросов на обновление за единицу времени на максимальный период обновления для получения оценки количества активных узлов в группе;
определяют на сервере общее количество принимаемых запросов на обновление за единицу времени;
получают на сервере величину, отображающую дополнительные запросы на обновление за единицу времени, путем вычитания определенного общего количества принимаемых запросов на обновление за единицу времени из определенного максимального количества запросов на обновление, ожидаемых за единицу времени;
определяют на сервере минимальный период обновления, который представляет собой время, необходимое серверу для того, чтобы сменить ключи всей группы активных узлов, используя максимальную нагрузку, путем умножения количества принятых запросов на обновление за единицу времени на максимальный параметр обновления, и деления этого произведения на величину, отображающую дополнительные запросы на обновление за единицу времени; и
отправляют на сервере определенный минимальный период обновления активному узлу.
2. Способ по п.1, который дополнительно содержит этап, на котором принимают запрос на обновление от единственного узла в течение каждого минимального периода проверки.
3. Способ по п.1, в котором запрос на обновление содержит запрос на смену ключа для защиты обмена ключами (КЕК).
4. Способ по п.3, в котором КЕК используется, чтобы присоединиться к защищенной безопасной многоадресной группе узлов.
5. Способ по п.1, который дополнительно содержит этап, на котором поддерживают минимальную характеристику относительно группы узлов, причем минимальная характеристика содержит узлы, которые могут получать ключ для защиты обмена ключами (КЕК) и присоединяться к группе.
6. Способ по п.1, в котором максимальный период обновления представляет собой максимальное время, в течение которого узел использует КЕК перед отправкой запроса на обновление.
7. Способ по п.1, в котором запросы на обновление нормально распределяются равномерно во времени.
8. Сервер, который выполнен с возможностью распределения обновлений для ключа, при этом сервер содержит:
процессор;
запоминающее устройство в электронной связи с процессором;
инструкции, хранящиеся в запоминающем устройстве, причем инструкции выполняются, чтобы:
принимать с помощью процессора один или более запросов на обновление за единицу времени от группы активных узлов;
умножать с помощью процессора количество принятых запросов на обновление за единицу времени на максимальный период обновления для получения оценки количества активных узлов в группе;
определять с помощью процессора общее количество принимаемых запросов на обновление за единицу времени;
получать с помощью процессора величину, отображающую дополнительные запросы на обновление за единицу времени, путем вычитания определенного общего количества принимаемых запросов на обновление за единицу времени из определенного максимального количества запросов на обновление, ожидаемых за единицу времени;
определять с помощью процессора минимальный период обновления, который представляет собой время, необходимое серверу для того, чтобы сменить ключи всей группы активных узлов, используя максимальную нагрузку, путем умножения количества принятых запросов на обновление за единицу времени на максимальный параметр обновления, и деления этого произведения на величину, отображающую дополнительные запросы на обновление за единицу времени; и
отправлять с помощью процессора определенный минимальный период обновления активному узлу.
9. Сервер по п.8, который дополнительно содержит инструкции, которые выполняются, чтобы принимать с помощью процессора запрос на обновление от единственного узла в течение каждого минимального периода проверки.
10. Сервер по п.8, в котором запрос на обновление содержит запрос для обновления ключа для защиты обмена ключами (КЕК).
11. Машиночитаемый носитель, содержащий выполняемые сервером инструкции для распределения обновлений для ключа в течение минимального периода обновления, причем инструкции при выполнении сервером побуждают упомянутый сервер:
принимать один или более запросов на обновление за единицу времени от группы активных узлов;
умножать количество принятых запросов на обновление за единицу времени на максимальный период обновления для получения оценки количества активных узлов в группе;
определять общее количество принимаемых запросов на обновление за единицу времени;
получать величину, отображающую дополнительные запросы на обновление за единицу времени, путем вычитания определенного общего количества принимаемых запросов на обновление за единицу времени из определенного максимального количества запросов на обновление, ожидаемых за единицу времени;
определять минимальный период обновления, который представляет собой время, необходимое серверу для того, чтобы сменить ключи всей группы активных узлов, используя максимальную нагрузку, путем умножения количества принятых запросов на обновление за единицу времени на максимальный параметр обновления, и деления этого произведения на величину, отображающую дополнительные запросы на обновление за единицу времени; и
отправлять определенный минимальный период обновления активному узлу.
12. Машиночитаемый носитель по п.11, в котором инструкции дополнительно побуждают сервер принимать запрос на обновление от единственного узла в течение каждого минимального периода проверки.
13. Машиночитаемый носитель по п.11, в котором запрос на обновление содержит запрос для обновления ключа для защиты обмена ключами (КЕК).
RU2009131030/09A 2007-01-17 2008-01-17 Системы и способы для распределения обновлений для ключа с максимальной интенсивностью смены ключа RU2420893C2 (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/624,147 US8059819B2 (en) 2007-01-17 2007-01-17 Systems and methods for distributing updates for a key at a maximum rekey rate
US11/624,147 2007-01-17

Publications (2)

Publication Number Publication Date
RU2009131030A RU2009131030A (ru) 2011-02-27
RU2420893C2 true RU2420893C2 (ru) 2011-06-10

Family

ID=39617790

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2009131030/09A RU2420893C2 (ru) 2007-01-17 2008-01-17 Системы и способы для распределения обновлений для ключа с максимальной интенсивностью смены ключа

Country Status (8)

Country Link
US (1) US8059819B2 (ru)
EP (1) EP2122898A4 (ru)
JP (1) JP5033189B2 (ru)
KR (1) KR101092291B1 (ru)
CN (1) CN101636964B (ru)
RU (1) RU2420893C2 (ru)
TW (1) TWI389531B (ru)
WO (1) WO2008088081A1 (ru)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8447039B2 (en) * 2007-09-26 2013-05-21 Cisco Technology, Inc. Active-active hierarchical key servers
JP2009100238A (ja) * 2007-10-17 2009-05-07 Nec Corp 通信装置、通信システム及びそれらに用いる鍵再交換方法並びにそのプログラム
KR101472064B1 (ko) * 2008-06-30 2014-12-15 삼성전자주식회사 통신 비용 및 보안 비용을 고려하여 키를 갱신하는 시스템및 방법
CN102918796B (zh) * 2010-06-04 2015-05-20 富士通株式会社 处理装置、处理方法以及处理程序
US9197700B2 (en) * 2013-01-18 2015-11-24 Apple Inc. Keychain syncing
US9819495B2 (en) * 2014-10-02 2017-11-14 Qualcomm Incorporated Systems and methods of dynamically adapting security certificate-key pair generation
US10034169B2 (en) * 2014-11-12 2018-07-24 Qualcomm Incorporated Method to authenticate peers in an infrastructure-less peer-to-peer network
US9800579B2 (en) * 2015-02-12 2017-10-24 Verizon Patent And Licensing Inc. Network-based client side encryption
US10924274B1 (en) * 2017-12-07 2021-02-16 Junioer Networks, Inc. Deterministic distribution of rekeying procedures for a scaling virtual private network (VPN)

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5287537A (en) 1985-11-15 1994-02-15 Data General Corporation Distributed processing system having plural computers each using identical retaining information to identify another computer for executing a received command
US5148479A (en) 1991-03-20 1992-09-15 International Business Machines Corp. Authentication protocols in communication networks
WO1995008885A1 (en) 1993-09-20 1995-03-30 International Business Machines Corporation System and method for changing the key or password in a secure distributed communications network
US5708711A (en) * 1995-09-27 1998-01-13 Motorola, Inc. Method for selecting a preferred time interval in which to update a communication unit parameter
US6195751B1 (en) * 1998-01-20 2001-02-27 Sun Microsystems, Inc. Efficient, secure multicasting with minimal knowledge
US6049878A (en) * 1998-01-20 2000-04-11 Sun Microsystems, Inc. Efficient, secure multicasting with global knowledge
US6591364B1 (en) 1998-08-28 2003-07-08 Lucent Technologies Inc. Method for establishing session key agreement
US6240188B1 (en) * 1999-07-06 2001-05-29 Matsushita Electric Industrial Co., Ltd. Distributed group key management scheme for secure many-to-many communication
US6263435B1 (en) * 1999-07-06 2001-07-17 Matsushita Electric Industrial Co., Ltd. Dual encryption protocol for scalable secure group communication
CA2313839A1 (en) * 1999-07-27 2001-01-27 Lucent Technologies Inc. Method of monitoring runtime usage of demo evaluation software
FI20000760A0 (fi) 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
US7123719B2 (en) * 2001-02-16 2006-10-17 Motorola, Inc. Method and apparatus for providing authentication in a communication system
US7266687B2 (en) * 2001-02-16 2007-09-04 Motorola, Inc. Method and apparatus for storing and distributing encryption keys
JP2003023418A (ja) * 2001-07-06 2003-01-24 Advanced Mobile Telecommunications Security Technology Research Lab Co Ltd 移動通信ダイナミックセキュアグルーピング方式
US7007040B1 (en) * 2001-12-04 2006-02-28 General Dynamics C4 Systems, Inc. Method and apparatus for storing and updating information in a multi-cast system
US7773754B2 (en) * 2002-07-08 2010-08-10 Broadcom Corporation Key management system and method
JP2004166154A (ja) * 2002-11-15 2004-06-10 Nec Corp マルチキャスト配信のための鍵管理方式
CN1567812A (zh) * 2003-06-19 2005-01-19 华为技术有限公司 一种实现共享密钥更新的方法
JP4392795B2 (ja) * 2004-10-07 2010-01-06 Kddi株式会社 放送通信融合システム
JP4690420B2 (ja) * 2004-11-16 2011-06-01 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 情報への選択的アクセスのためのシステムにおける改善された鍵配信
JP4635615B2 (ja) * 2005-01-17 2011-02-23 富士ゼロックス株式会社 情報処理装置、システム、データ同期方法及びプログラム
JP4606885B2 (ja) * 2005-01-18 2011-01-05 Kddi株式会社 鍵配信システムおよび鍵管理サーバならびに鍵配信方法
US7813510B2 (en) * 2005-02-28 2010-10-12 Motorola, Inc Key management for group communications
JP2006245663A (ja) * 2005-02-28 2006-09-14 Matsushita Electric Ind Co Ltd 暗号化マルチキャスト通信鍵管理システム、暗号化マルチキャスト通信鍵管理方法、送信端末、受信端末、およびプログラム
JP4417287B2 (ja) * 2005-04-21 2010-02-17 Kddi株式会社 鍵管理サーバ

Also Published As

Publication number Publication date
EP2122898A4 (en) 2013-02-20
JP5033189B2 (ja) 2012-09-26
WO2008088081A8 (en) 2009-09-03
CN101636964A (zh) 2010-01-27
TW200840300A (en) 2008-10-01
JP2010517332A (ja) 2010-05-20
RU2009131030A (ru) 2011-02-27
TWI389531B (zh) 2013-03-11
WO2008088081A1 (en) 2008-07-24
CN101636964B (zh) 2012-12-12
EP2122898A1 (en) 2009-11-25
KR101092291B1 (ko) 2011-12-13
US20080170692A1 (en) 2008-07-17
US8059819B2 (en) 2011-11-15
KR20090106577A (ko) 2009-10-09

Similar Documents

Publication Publication Date Title
RU2420893C2 (ru) Системы и способы для распределения обновлений для ключа с максимальной интенсивностью смены ключа
US11258654B1 (en) Parallel distributed network management
RU2420894C2 (ru) Системы и способы для воссоединения второй группы узлов с первой группой узлов с использованием общего ключа группы
US20100180123A1 (en) Procedure and architecture for the protection of real time data
JP2021526676A (ja) 代表ノード機器の選出方法並びにその、装置、コンピュータ機器及びコンピュータプログラム
US8588420B2 (en) Systems and methods for determining a time delay for sending a key update request
US10097355B2 (en) Tamper resistance of distributed hardware systems
US10250392B2 (en) Arbitrary base value for EPID calculation
Wu et al. Reinforced practical Byzantine fault tolerance consensus protocol for cyber physical systems
US11991189B2 (en) Intrusion detection for computer systems
CN116561820B (zh) 可信数据处理方法及相关装置
CN115766064A (zh) 一种密码应用方法、装置、设备及存储介质
Onukak Reputation-Enhanced Practical Byzantine Fault Tolerance for Node Capture Attacks on Unmanned Aerial Vehicle Networks in Adversarial Environments
CN116743407A (zh) 一种数据处理方法及设备
CN116244709A (zh) 区块链网络中出块节点的确定方法及相关装置

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20200118