TWI389528B - 用以重新連接節點群組的方法、電腦系統及電腦可讀式媒體 - Google Patents
用以重新連接節點群組的方法、電腦系統及電腦可讀式媒體 Download PDFInfo
- Publication number
- TWI389528B TWI389528B TW097102068A TW97102068A TWI389528B TW I389528 B TWI389528 B TW I389528B TW 097102068 A TW097102068 A TW 097102068A TW 97102068 A TW97102068 A TW 97102068A TW I389528 B TWI389528 B TW I389528B
- Authority
- TW
- Taiwan
- Prior art keywords
- group
- node
- key
- state
- nodes
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
一種關於電腦及電腦相關技術。尤指一種使用一共用金鑰群組來重新連接一第二節點群組與一第一節點群組的系統及方法。
電腦及通訊技術持續快速發展。實際上,電腦及通訊技術已涉及於個人生活的許多方面中。舉例而言,現今由消費者所使用之許多裝置內部具有小型電腦。此等小型電腦呈現多種尺寸變化及複雜程度。此等小型電腦構造橫跨自單一的微控器到功能完善的完整電腦系統。舉例而言,此等小型電腦可爲單晶片電腦(諸如微控器)、單板型電腦(諸如控制器)、典型之桌上型電腦(諸如IBM-PC相容系統)等等。
電腦通常具有一或多個位於該電腦中心之處理器。該(等)處理器通常互連至不同的外部輸入及輸出且起作用以管理特定電腦或裝置。舉例而言,恆溫器中之處理器可連接至用以選擇溫度設定之按鈕、連接至用以改變溫度之爐或空氣調節器,及連接至用以讀取在一顯示器上顯示當前溫度之溫度感測器。
許多器具、裝置等等均包括一或多個小型電腦。舉例而言,恆溫器、爐、空氣調節系統、冷凍機、電話、打字機、汽車、自動售貨機及許多不同類型之工業設備現在通常在其內部具有小型電腦或處理器。電腦軟體運行此等電腦之處理器且指導該等處理器如何實施某些任務。舉例而
言,運轉於恆溫器上之電腦軟體可導致空氣調節器在達到一特定溫度時停止運行或可導致加熱器在需要時開啟。
通常將此等類型之爲一裝置、器具、工具等等之一部分的小型電腦稱作嵌入式裝置或嵌入式系統。(術語“嵌入式裝置”及“嵌入式系統”將在本文中互換使用)。嵌入式系統通常指代爲一更大系統之部分的電腦硬體及軟體。嵌入式系統可能不具有典型之輸入及輸出裝置(諸如鍵盤、滑鼠及/或顯示幕)。通常,一或多個處理器位於每一嵌入式系統之中心。
嵌入式系統可被使用來於監督或控制許多不同系統、資源、産品等等。隨著網際網路及全球資訊網之發展,愈來愈多的嵌入式系統被連接至網際網路,使其可遠端監督及/或控制該等嵌入式系統。可將其他嵌入式系統連接至電腦網路(包括區域網路、廣域網路等等)。如本文中所使用,術語“電腦網路”(或簡單地“網路”)係指代其中一系列節點藉由一通訊路徑而互連的任何系統。術語“節點”係指代可被連接作爲一電腦網路之部分的任何裝置。
一些嵌入式系統可使用電腦網路而將資料及/或服務提供給其他計算裝置。或者,典型電腦或計算裝置可使用一電腦網路而將資料及/或服務提供給其他計算裝置。節點可使用一網路而在其當中共用狀態(share state)。但網路並不完美,而有時網路會被分段或不連通。此可導致失去通訊之若干組節點之間的連接性並導致該組節點脫離其共用狀態。當此分割解決後,先前通訊之節點可能由於此脫離狀態而難以再次通訊。如能最小化此再次通訊難度會是有益的。若有系統及方法可用於使用一共用金鑰群組來重
新連接一第二節點群組與一第二節點群組,則可實現該益處。
一種方法;該方法用於重新連接一第二節點群組與一第一節點群組。接收與一第一節點群組相關聯之一第一金鑰群組的一第一狀態。將該第一金鑰群組之第一狀態群播至一第二節點群組。將該第一金鑰群組重新加密爲與該第二節點群組相關聯之一第二金鑰群組。將該第二金鑰群組之一第二狀態群播至該第二節點群組。接收與該第一節點群組相關聯之一第三金鑰群組的一第三狀態。若該第三狀態不同於該第二狀態,則將一重新加密命令群播至該第二節點群組。將該第二金鑰群組重新加密爲該第三金鑰群組。
該第一群組可爲一安全之群播節點群組。該第一狀態可從該第一節點群組之一管理節點傳送。該第二狀態可從該第二節點群組之一管理節點傳送。該第一節點群組中之一或多個節點可被分割爲該第二節點群組。第一節點群組之管理節點之間的通訊可被包含第二節點群組之節點斷開(disconnected)。
在一個實施例中,每一狀態可包括一金鑰交換金鑰(KEK)。包括該金鑰交換金鑰(KEK)之節點可接收每一狀態。每一金鑰群組可包括一金鑰群組參數,其中該金鑰群組參數指示每一金鑰群組已由一節點群組利用之時間量。可選擇一管理節點,該管理節點包含具有最高金鑰群組參數之金鑰群組。包含第一節點群組及第二節點群組之每一節點可包含一節點識別符,其中該節點識別符指示該節點
連接第一節點群組時之次序。可選擇一包含最低節點識別符之管理節點。
在一個實施例中,用一金鑰群組來加密重新加密命令。第二節點群組之一管理節點可包含第一金鑰群組及第二金鑰群組。
亦描述了一經組態以重新連接一第二節點群組與一第一節點群組之電腦系統。該電腦系統包含一處理器及與該處理器電子通訊之記憶體。指令被儲存於記憶體中。接收與一第一節點群組相關聯之一第一金鑰群組的一第一狀態。將該第一金鑰群組之第一狀態群播至一第二節點群組。將該第一金鑰群組重新加密爲與該第二節點群組相關聯之一第二金鑰群組。將該第二金鑰群組之一第二狀態群播至該第二節點群組。接收與該第一節點群組相關聯之一第三金鑰群組的一第三狀態。若該第三狀態不同於該第二狀態,則將一重新加密命令群播至該第二節點群組。將該第二金鑰群組重新加密爲該第三金鑰群組。
亦描述了一電腦可讀式媒體,其包含用於重新連接一第二節點群組與一第一節點群組之可執行指令。接收與一第一節點群組相關聯之一第一金鑰群組的一第一狀態。將該第一金鑰群組之第一狀態群播至一第二節點群組。將該第一金鑰群組重新加密爲與該第二節點群組相關聯之一第二金鑰群組。將該第二金鑰群組之一第二狀態群播至該第二節點群組。接收與該第一節點群組相關聯之一第二金鑰群組的一第三狀態。若該第三狀態不同於該第二狀態,則將一重新加密命令群播至該第二節點群組。將該第二金鑰群組重新加密爲該第三金鑰群組。
現參看諸圖來描述本發明之各種實施例,其中類似之參考數位代表相同或功能類似之元件。如通常在本文中之圖中描述及說明,可以廣泛多種不同組態來配置及設計本發明之實施例。因此,如圖中所表示,本發明之若干示範性實施例的以下實施方式並不意欲限制如所主張之本發明之範疇,而是僅表示本發明之實施例。
本文中專有詞語“示範性(exemplary)”以意謂“充當一實例、例子或說明”。不必將在本文中被描述爲“示範性”之任何實施例解釋爲比其他實施例受偏愛或具優勢。
可將本文中所揭示之實施例之許多特徵實施爲電腦軟體、電子硬體或兩者之組合。爲清楚地說明硬體與軟體之此互換性,將通常就其功能性來描述各種元件。將此功能性實施爲硬體還是軟體取決於特定應用及強加於整個系統之設計約束。熟練技工可針對每一特定應用而以變化之方式來實施所描述之功能性,但此等實施決策不應被解釋爲導致背離本發明之範疇。
在將所描述之功能性實施爲電腦軟體的情況下,此軟體可包括任何類型之位於一訊憶體裝置內及/或作爲電子訊號而經由一系統匯流排或網路來傳輸的電腦指令或電腦可執行碼。實施與本文中所描述之元件相關聯之功能性的軟體可包含一單個指令或許多指令,且可分配遍及若干不同碼段、分配於不同程式當中及跨越若干記憶體裝置來分配。
如本文中所使用,除非另外明確規定,否則術語“一
實施例(an embodiment)“、“實施例”、“若干實施例”“該實施例”、“該等實施例”、“一或多個實施例”、“一些實施例”、“某些實施例”、“一個實施例”、“另一實施例”及類似物意謂“所揭示之一(或多個)發明的一或多個(但不必爲全部)實施例”。
術語“確定(determining)”(及其語法變體)係以一極爲廣泛之意義來使用的。術語“確定”涵蓋廣泛多種動作且因此“確定”可包括核算、計算、處理、獲得、調查、檢查(例如,在表、資料庫或另一資料結構中進行檢查)、查明及類似物。又,“確定”可包括接收(例如,接收資訊)、存取(例如,存取一記憶體中之資料)及類似物。又。“確定”可包括解決、選擇、決定、挑選、建立及類似物。
除非另外明確規定,否則短語“以……爲基礎(basedon)”並不意謂“僅以……爲基礎”。換言之,短語“以……爲基礎”描述了“僅以……爲基礎”及“至少以……爲基礎”兩種情況。
電腦網路可包括多個節點。節點可被稱作為計算裝置。多個節點可被組織成一或多個群組。一單個節點可與其群組中之其他節點通訊。在一個實施例中,該單個節點將資訊群播至其群組中之其他節點。群播可包括將資訊同時傳輸至一群組之每一成員。該單個節點可將一狀態群(state)播至群組內之其他節點。一狀態可包括關於一計算裝置之程式或其他資訊樣態的獨特組態。
群播一狀態對於可調性安全群播群組(scalable secure multicast groups)而言係合乎需要的。當網路變得被分段時,可能會出現問題。舉例而言,一原始節點群
組可被分段爲各種分段節點群組。曾經在原始群組之成員之間共用的狀態可能因此脫離。舉例而言,節點群組通常控制其固有之金鑰。隨著時間的過去,一群組可周期性地重新加密。新金鑰可被隨機地選擇,因此不同分段節點群組將重新加密爲相同金鑰的可能性較低。
在解決網路問題之前,群組之分割可爲正確之行爲。換言之,假定一些節點組仍可通訊,那麼該(等)群組不應該只因為硬體故障的分割而跟著故障。然而,當網路問題解決後且分段節點群組中之每一者可再次彼此通訊時,該彼此通訊之群組有不同金鑰的狀態應儘快地收斂。
本系統及方法係關於一確定一群組管理器之節點群組。群組中之任一節點均可充當管理器,且一個以上之節點可在任何給定時間充當管理器。該管理器周期性地向其群組中之節點告知其狀態。另外,管理器以一其他分段節點群組可提取其狀態之方式來告知該狀態。爲各種分段節點群組所共有之一主要狀態係一金鑰交換金鑰(KEK)。任何使用相同KEK之分段節點群組均可相互通訊。額外狀態(諸如計時參數及一金鑰群組)可隨時間的過去而脫離。該等額外狀態參數可由該相同KEK來告知並保護。換言之,不擁有該相同KEK之節點不被允許提取該等額外狀態參數。
當分割發生時,每一分段節點群組可決定一不同管理器。當一分段群組中之節點停止聽取來自其先前管理器之周期性狀態告知時,該等節點可自動決定一管理器。若在任何一個時間碰巧存在多個用於一單個群組之管理器,則該多個管理器將聽取彼此之告知內容。若此等多個告知內
容中之狀態係確切是重復的,則其中一個節點將停止爲管理器。具有最舊狀態或更低節點識別符(在連接狀況下)的管理器可繼續作爲分段群組之管理器。當然,也有其他方法可用於確定一可使用之群組管理器。若發生分割但在狀態脫離之前已得以解決該分割問題,則以上邏輯可解決在分段節點群組開始再次通訊時多個管理器的問題。
若發生分割而該分割時間持續較長,則對應於各個分段群組之狀態可能會脫離。當分割狀況解決候且重新開始通訊時,將會存在向屬於原始群組之節點告知不同狀態的多個分段群組管理器。屬於各個分段群組之節點可能會共用相同之KEK。即使一管理器可能知道一特定告知內容係有效的,其仍可能由於重播攻擊(replay attack)的可能性而不相信該封包係當前封包。舉例而言,一惡意節點可儲存一先前之告知內容,且接著在稍後之時間重放彼告知內容。此種重放不應該導致其他節點起作用。
若一分段節點群組之一管理器聽取一含有與其狀態之部分匹配項的告知內容,則其可‘連接’由另一管理器所識別之群組。此連接可與一節點第一次連接該群組之過程幾乎相同,且可受保護而免於重播攻擊。若該連接成功,則分段群組之管理器擁有兩組之狀態。管理器然後可重新加密其固有之分段節點群組以匹配其他節點群組之狀態(此可非常快速地並有效復原該群組)。可使用與上文所描述之相同邏輯(即,哪一狀態較舊)來確定重新加密哪一管理器,因爲兩者情形雷同(即,兩個管理器均可聽取彼此之告知內容)。
第一圖係一方塊圖,其說明了一個實施例;該實施例
將一金鑰交換金鑰(KEK)104傳達至群組A 106內之一或多個節點的伺服器102。在一個實施例中,伺服器102係一認證伺服器。一認證伺服器可爲一認證想要連接群組A 106之節點的伺服器。在一個實施例中,伺服器102認證一節點且該節點接收KEK 104。一節點可藉由使用KEK來連接群組A 106以驗證其將群組A 106連接至屬於群組A 106之其他節點的能力。在一個實施例中,伺服器102保持關於群組A 106之每一節點的最小狀態。舉例而言,伺服器102可僅保持KEK 104之狀態。伺服器102可將KEK 104之改變傳達至群組A 106之節點。
如所說明,群組A 106包括節點A 108、節點B 110及節點C 112。儘管群組A 106被說明爲僅具有三個節點,但請理解,群組A 106可包括更多或更少之節點。群組A 106可被稱作一安全群播群組,因爲群組A 106內之節點可以一安全之方式將資訊群播至彼此。舉例而言,可用一共用群組A金鑰114來加密在群組A 106之節點之間群播的資訊。該等節點可使用KEK 104來接收與群組A 106相關聯之群組A金鑰114。舉例而言,節點N 116可藉由將一群組請求118傳送至群組A 106中之一或多個節點而請求變爲群組A 106之一成員。群組A 106之該或該等節點可確定節點N 116是否包括KEK 104。若節點N 116包括KEK 104,則該或該等節點可將群組A金鑰114分配給節點N 116。群組A金鑰114可使得一節點能夠將資訊傳送至群組A 106內之其他節點及自群組A 106內之其他節點接收資訊。節點可使用群組A金鑰114來加密及解密在群組A 106之節點之間群播的資訊。
若節點N 116並不擁有KEK 104,則節點N 116可將一KEK請求120傳送至伺服器102而請求伺服器102將KEK 104分配給節點N 116。伺服器102可認證節點N 116且分配KEK 104。然而,若KEK 104並未被分配給節點N 116,則節點N 116不能連接群組A 106及接收群組A金鑰114。
伺服器102、群組A 106及節點N 116之間的通訊可經由一網路122來進行。網路122可包括任何通訊網路,諸如(但不限於)全球通訊網路、網際網路、電腦網路、電話網路、尋呼機網路、行動電話網路、廣域網路(WAN)、區域網路(LAN)等等。在一個實施例中,伺服器102可管理多個節點群組並經由網路122而與該多個節點群組通訊。伺服器102可分配爲每一節點群組所特有之KEK。
第二圖係一方塊圖,其說明了一個實施例;該實施例自一第一節點群組206分割第二節點群組246。第一群組206可包括一群播節點群組(諸如群組A 106)。在一個實施例中,節點E 226、節點F 228及節點G 230最初屬於第一群組206。儘管所描繪之實施例包括七個節點,但請理解,更多或更少節點可被包括於第一群組206及第二群組246中。
節點A-G (208、210、212、224、226、228、230)可包括KEK 204及群組A金鑰214。在一個實施例中,群組A金鑰214包括一群組A金鑰參數240。該參數240可指示群組A金鑰214已由第一群組206之成員利用的時間量。舉例而言,第一群組206之成員可控制群組A金鑰214。群組A金鑰214可周期性地改變而導致節點將群組A金鑰214重新加密爲一經改變之新金鑰群組。群組A金鑰參數
240可指示當前群組A金鑰已由第一群組206之成員使用的時間量。
在一個實施例中,節點A 208包括識別符A 238。識別符A 238可指示節點A 208連接第一群組206的次序。舉例而言,若節點A 208係第三個將連接群組206的節點且節點B 210係第四個將連接群組206的節點,則識別符A 238可指示“3”且識別符B(未展示)可指示“4”。儘管僅節點A 238被說明爲包括一識別符,但請理解,群組206中之每一節點均可包括一對應之識別符。
在一個實施例中,節點A 208被決定為第一群組206的群組管理器。該群組管理器可負責將關於金鑰群組及其他參數之資訊周期性地群播至該群組中之其他節點。在一個實施例中,由於識別符A 238擁有最低值,所以節點A 208被決定為群組管理器。在其他實施例中,群組管理器可爲首先開始進行告知的節點、一由管理人員手動設定爲管理器的節點等等。在其他實施例中,可遵循任何商業上可用的方法來決定何節點爲群組管理器。
節點A 208可包括一狀態234。該狀態234可顯示某些參數的當前值。舉例而言,狀態234可包括KEK 204、群組A金鑰214及計時參數A 236。計時參數A 236可指示節點A 208將狀態234群播至群組206中之節點的頻率。在一個實施例中,用KEK 204來保護群組A金鑰214及計時參數A 236。換言之,不具有KEK 204之節點不被允許自狀態234提取此等參數。
節點A 208可利用路由器A 242而將狀態234群播至節點B 210、節點C 212及節點D 224。類似地,節點A 208
可經由路由器B 244而將狀態234群播至節點E 226、節點F 228及節點G 230。儘管所說明之實施例描繪了節點A 208經由兩個路由器來群播狀態234,但請理解,節點可使用任何數目之路由器、開關、其他網路連接裝備、佈線等等來群播資訊。節點210、212、224、226、228、230可利用KEK 204自狀態234提取群組A金鑰214及計時參數A 236。若節點210、212、224、226、228、230上所包括之群組A金鑰214並不匹配狀態234中所包括之群組A金鑰214,則該等節點可重新加密群組A金鑰214以匹配狀態234中所包括之金鑰群組。如先前所陳述,群播群組可周期性地改變金鑰群組。頻繁地群播有包括群組A金鑰214之狀態234使得該等節點能夠重新加密為與群組206相關聯之當前金鑰群組。
在一個實施例中,節點A 208與路由器B 244之間的通訊失去或受限制209。舉例而言,路由器B 244可發生故障且因此,自節點A 208傳送之狀態234可能未被傳遞至連接至路由器B 244的節點226-230。在一個實施例中,將節點E 226、節點F 228及節點G 230自第一群組206分割為第二群組246。節點A 208仍可經由路由器242而將狀態234群播至節點B 210、節點C 212及節點D 224。因此,原始第一群組206被分割為兩個群組206、246。儘管僅說明了兩個群組206、246,但請理解,可將第一群組206分割為更多節點群組。
第三圖係一方塊圖,其說明了第二節點群組346之一另外的實施例。在一個實施例中,第二群組346包括節點E 326、節點F 328及節點G 330。節點326、328、330可
在其(326、328、330)停止自第一群組206之管理器接收狀態之周期性群播時確定一第二群組管理器。舉例而言,節點E-G 326-330可在其停止自節點A 208接收狀態234時確定一第二群組管理器。在一個實施例中,第二群組346內之任何節點均可充當第二群組管理器。在所描繪之實施例中,因為節點F 328開始將一狀態334群播至屬於第二群組346之節點,所以確定該節點F 328為第二群組管理器。節點F 328可包括識別符F 352,其指示節點F 328連接原始第一群組206的次序。
第二群組346之節點326-330一開始可使用與其先前被用作第一群組206之成員相同的金鑰群組。舉例而言,節點326-330仍可利用群組A金鑰314。在一另外之實施例中,第二群組管理器節點F 328可在其變為群組管理器時立即改變群組B金鑰350。在稍後之時間,第二群組346之成員可將群組A金鑰314重新加密354為一隨機新的金鑰群組(諸如群組B金鑰350)。在一另外之實施例中,仍屬於第一群組206(未展示)之成員亦可將群組A 314重新加密為一隨機新的金鑰群組。由於每一群組206、346隨機重新加密群組A金鑰314,所以第一群組206及第二群組346將群組A金鑰314重新加密為一相同之新金鑰群組的可能性較低。
在一個實施例中,現由第二群組346之成員使用群組B金鑰350以將資訊群播至彼此。群組B金鑰350可包括一群組B金鑰參數341,其指示群組B金鑰350已由第二群組346利用之時間量。
作為第二群組346之管理器,節點F 328可將狀態334
群播至第二群組346之其他成員。在一個實施例中,狀態334包括KEK 304及群組B金鑰350。KEK 304可保護群組B金鑰350,使得並不擁有KEK304之節點不能自狀態334提取群組B金鑰350。節點E 326及節點G 330可自狀態334提取群組B金鑰350以驗證其擁有用於第二群組346之當前金鑰群組。
第四圖係一方塊圖,其說明了一個實施例;該實施例連接第二節點群組之一管理節點至第一分割節點群組。在一個實施例中,節點A 408係一第一群組206(未展示)之一管理節點,且節點F 428係一第二群組246(未展示)之一管理節點。如先前所解釋,當第一群組之管理器與第二群組246之節點之間的通訊由於某種原因而失去或受限制時,第二群組246內之節點會從第一群組206分割出來。在一個實施例中,節點A 408與路由器B 444之間失去通訊;因而節點A 408不能將狀態434群播至節點E 426、節點F 428及節點G 430。在稍後之時間,可經由路由器B 444來重新建立節點A 408與第二群組246之間的通訊。
如先前所解釋,當第二群組246自第一群組206分割時,每一群組206、246仍可利用相同之金鑰群組(諸如群組A金鑰114)。在稍後之某一時間,每一群組206、246可隨機地重新加密群組A金鑰114。舉例而言,第一群組可將群組A金鑰114隨機重新加密為一群組C金鑰415,且第二群組246可將群組A金鑰114隨機重新加密為一群組B金鑰450。
當節點A 408與第二群組246之節點之間的通訊得以重新建立時,節點A 408可群播狀態434,該狀態434包
括KEK 404、群組C金鑰415及計時參數C 437。群組C金鑰415及計時參數C 437可由KEK 404保護。在一個實施例中,節點F-G 426-430各自自節點A 408接收狀態434。節點E-G 426-430可各自包括KEK 404;該KEK 404允許該些節點自狀態434提取受保護之群組C金鑰415及計時參數C 437。然而,節點E-G 426-430包括群組B金鑰450;該群組B金鑰450可能不同於群組C金鑰415。節點E 426及節點G 430可能會忽略自節點A 408傳送之狀態434,因爲狀態434並非係自第二群組246之管理器(即,節點F 428)傳送的。
在一個實施例中,第二群組246之管理器(節點F 428)可接受來自節點A 408之狀態434。節點F 428可使用KEK 404而自狀態434提取參數。群組C金鑰415可包括一群組C金鑰參數440,且群組B金鑰450包括一群組B金鑰參數441。如先前所解釋,金鑰群組參數可指示金鑰群組已被利用之時間量。在一個實施例中,節點F 428比較群組C金鑰參數440及群組B金鑰參數441。若群組C金鑰參數440指示使用群組C金鑰415的時間量大於使用群組B金鑰450的時間量,則節點F 428可儲存群組C金鑰415。節點F 428可接著連接由狀態434所識別之群組以便驗證其爲當前群組且未被重播。在一個實施例中,節點F 428現屬於第一群組206與第二群組246兩者。在一另外之實施例中,節點F 428將群組B金鑰450重新加密爲群組C金鑰415。藉由重新加密爲金鑰群組415,節點F 428確定節點A 408應繼續作爲一管理節點。因而,節點A 408之後負責狀態434的群播。
在一個實施例中,群組C金鑰參數440與群組B金鑰參數441相同,此指示使用群組C金鑰415的時間量與使用群組B金鑰450的時間量相同。節點A 408及節點F 428可藉由評估識別符A 438及識別符F 452來確定哪一節點將繼續作爲管理器節點。在一個實施例中,具有最低識別符之節點將繼續作爲管理器。舉例而言,識別符A 438可包括一比識別符F 452低的值。因而,節點F 452可將群組B金鑰450重新加密爲群組C金鑰415。在一另外之實施例中,節點A 408及節點F 438可使用其他方法來確定哪一節點將繼續作爲管理器。將不繼續作爲管理器之節點會將其群組重新加密爲其他群組之金鑰群組114。
第五圖係一方塊圖,其說明了一個實施例;該實施例重新連接第一群組206至第二群組546。在一個實施例中,將與第二群組546相關聯之金鑰群組重新加密爲與第一群組206相關聯之金鑰群組。第二群組546之一管理器可將一重新加密命令560群播至第二群組546中之節點。舉例而言,節點F 528可爲第二群組546之管理器。如先前所解釋,節點F 528可接收關於對應於第一群組206之金鑰群組(即,群組C金鑰515)的狀態434;該節點F 528且可驗證該狀態434當前有效且未被重播。節點F 528可群播一包括KEK 504及重新加密命令560之封包532。在一個實施例中,不包括KEK 504之節點不能接收封包532。此外,可使用第二群組546之共用金鑰群組(即,群組B金鑰550)來加密重新加密命令560。
節點E 526及節點G 530可接收封包532且使用群組B金鑰550來解密該重新加密命令560。該重新加密命令
560可包括一用以將共用金鑰群組重新加密爲一不同之共用金鑰群組的命令。舉例而言,節點E 526及節點G 530可接收一用以將群組B金鑰550重新加密554爲群組C金鑰515的命令。節點F 528亦可在已將重新加密命令群播至第二群組546的節點之後將群組B金鑰550重新加密554爲群組C金鑰515。重新加密爲群組C金鑰515可允許節點E-G 526-530自第一群組206內之節點接收額外資料及資訊。換言之,節點E-G 526-530重新連接在被分割爲第二群組546之前爲其成員之群組。另外,允許第二群組546之管理器群播重新加密命令560可最小化第一群組206之管理器上的請求。舉例而言,若第二群組546內之每一節點均將一重新加密請求傳送至節點A 408,則節點A 408可由於針對群組C金鑰515之許多請求而經歷一沈重之負載。本系統及方法使得第二群組546之管理器(或一小組管理節點)能夠將重新加密資訊群播至屬於第二群組的節點,因此消除了節點A 408上之負載的增加。
第六圖係一流程圖,其說明了一個方法600的實施例;該方法600的實施例用於將一重新加密命令群播至第二節點群組246。在一個實施例中,方法600由一被指定爲第二群組246之管理器的節點來實施。可接收(602)一第一狀態。在一個實施例中,第一狀態包括與一第一節點群組206相關聯之一第一金鑰群組(諸如群組A 106)。可周期性地接收(602)該狀態。確定(604)自接收(602)最近狀態以來一預定時間是否到期。若時間未到期,則節點繼續周期性地接收(602)第一狀態。若該預定時間到期,則將第一狀態群播(606)至第二節點群組246。在一個實
施例中,當並未自第一群組206之一管理節點周期地接收到(602)第一狀態時,將第二節點群組246自第一節點群組206分割。
確定(608)是否接收到額外狀態。舉例而言,一屬於第二群組246之節點可群播(606)第一狀態,且該節點亦可自一或多個屬於第二群組246之節點接收到一或多個狀態。若方法600確定(608)所接收之該或該等狀態與第一狀態相同,則確定(610)所接收之該或該等狀態存在的時間量是否比第一狀態存在的時間量大。換言之,確定(610)第一狀態是否比所接收之該或該等狀態舊。若所接收之該或該等狀態比第一狀態舊,則方法600結束。然而,若該節點並未接收到一或多個狀態或若所接收之該或該等狀態不比第一狀態舊,則可將群播第一狀態之節點指定作爲第二節點群組246之一管理節點。
第一金鑰群組可被重新加密(612)爲一第二金鑰群組。在一個實施例一,將第一金鑰群組隨機重新加密(612)爲第二金鑰群組。可將一包括第二金鑰群組之第二狀態周期性地群播(614)至第二節點群組246。在一個實施例中,第二群組246內之節點將第一金鑰群組重新加密(612)爲第二金鑰群組。
可確定(616)是否接收到一不同於第二狀態之第三狀態。該第三狀態可包括一與第一節點群組206相關聯之第三金鑰群組。若未接收到一第三狀態,則繼續將第二狀態周期性地群播(614)至第二節點群組。若接收到一第三狀態,則確定618第三狀態存在的時間量是否大於第二狀態存在的時間量。換言之,確定(618)第三狀態是否比第
二狀態舊。若確定第二狀態比第三狀態舊,則繼續將第二狀態周期性地群播(614)至第二節點群組。
然而,若確定(618)第三狀態比第二狀態舊,則可將一包括一重新加密命令之封包群播(620)至第二節點群組246。重新加密命令可指導第二節點群組246將第二金鑰群組重新加密爲第三金鑰群組。在一個實施例中,用第二金鑰群組加密重新加密命令。包括第二金鑰群組之節點可解密該重新加密命令。在一個實施例中,先前屬於第二節點群組246之節點現可包括第三金鑰群組,該第三金鑰群組可與第一節點群組206相關聯。在一個實施例中,可由KEK 104來保護每一狀態中所包括之每一金鑰群組。在一個實施例中,包括KEK 104之節點可接收每一金鑰群組及每一狀態。
第七圖係可用於根據一實施例組態之節點或伺服器702中的硬體元件之一方塊圖。在一些實施中,節點或伺服器702可爲一嵌入式裝置。節點或伺服器702通常爲一計算裝置。該計算裝置可包括(但不限於)膝上型電腦、桌上型個人電腦(PC)、個人數位助理(PDA)、輸入板PC、行動電話等等。一處理器704可被提供以控制節點/伺服器702(包括經由一匯流排710而耦接至處理器704的其之其他元件)之操作。可將處理器704實施爲微處理器、微控器、數位訊號處理器或該項技藝中已知之其他裝置。處理器704以儲存於記憶體內之程式碼爲基礎來執行邏輯及算術操作。在某些實施例中,記憶體706可爲處理器704所包括之板上記憶體。舉例而言,微控器通常包括一些板上記憶體。
節點/伺服器702亦可包括一網路介面708。該網路介面708促進節點/伺服器702與連接至網路122之其他裝置之間的通訊,該網路122可爲尋呼機網路、行動電話網路、全球通訊網路、網際網路、電腦網路、電話網路等等。網路介面708根據用於適用網路122之標準協定來操作。
節點/伺服器702亦可包括記憶體706。記憶體706可包括用於儲存臨時資料之隨機存取記憶體(RAM)。或者或另外,記憶體706可包括用於儲存更永久之資料(諸如固定碼及組態資料)的唯讀記憶體(ROM)。亦可將記憶體706實施爲一磁性儲存裝置(諸如硬碟驅動器)。記憶體706可爲任何類型之能夠儲存電子資訊的電子裝置。
節點/伺服器702亦可包括一或多個通訊埠712,該等通訊埠712促進與其他裝置之通訊。節點/伺服器702亦可包括輸入/輸出裝置714(諸如鍵盤、滑鼠、操縱杆、觸控螢幕、顯示幕、揚聲器、印表機等等)。
當然,第七圖僅說明了一節點/伺服器702之一個可能的組態。各種其他架構及元件也可被利用。
多種不同工藝及技術中之任一者可被使用來表示資訊及訊號。舉例而言,貫穿以上描述而加以參考之資料、指令、命令、資訊、訊號、位元數、符號及晶片可由電壓、電流、電磁波、磁場或粒子、光場或粒子或其之任何組合來表示。
可將結合本文中所揭示之實施例而描述的各種說明性邏輯區塊、模組、電路及演算法步驟實施爲電子硬體、電腦軟體或兩者之組合。爲清楚地說明硬體與軟體之此互換性,各種說明性元件、區塊、模組、電路及步驟已在上
文通常就其功能性而加以描述。將此功能性實施爲硬體還是軟體取決於特定應用及強加於整個系統之設計約束。熟練技工可針對每一特定應用而以變化之方式來實施所描述之功能性,但此等實施確定不應解釋爲導致背離本發明之範疇。
可用經設計以執行本文中所描述之功能的通用處理器、數位訊號處理器(DSP)、特殊應用積體電路(ASIC)、場可程式化閘陣列(FPGA)或其他可程式化邏輯裝置、分立閘或電晶體閘、分立硬體元件或其之任何組合來實施或執行結合本文中所揭示之實施例而描述的各種說明性邏輯區塊、模組及電路。一通用處理器可爲微處理器,但在替代例中,該處理器可爲任何習知處理器、控制器、微控器或狀態機。亦可將處理器實施爲計算裝置之一組合(例如,一DSP與一微處理器之一組合、複數個微處理器、一或多個結合一DSP核心之微處理器或任何其他此組態)。
結合本文中所揭示之實施例而描述的方法或演算法之步驟可直接以硬體、以由一處理器執行之一軟體模組或以該兩者之一組合來體現。一軟體模組可常駐於RAM記憶體、快閃記憶體、ROM訊憶體、EPROM記憶體、EEPROM記憶體、暫存器、硬碟、抽取式碟、CR-ROM或該項技藝中已知之任何其他形式的儲存媒體中。一示範性儲存媒體被耦接至處理器,使得該處理器可自該儲存媒體讀取資訊及將資訊寫入至該儲存媒體。在替代例中,儲存媒體可爲處理器之完整部分。處理器及儲存媒體可常駐於一ASIC中。該ASIC可常駐於一使用者終端機中。在替代例中,處理器及儲存媒體可作爲離散元件而常駐於一使用者終端機中。
本文中所揭示之方法包含一或多個用於達成所描述之方法的步驟或動作。該等方法步驟及/或動作可彼此互換而不背離本發明之範疇。換言之,除非針對實施例之恰當操作而需要一特定步驟或動作次序,否則可修改特定步驟及/或動作之次序及/或使用而不背離本發明之範疇。
儘管已說明並描述了本發明之特定實施例及應用,但將理解,本發明並不限於本文中所揭示之精確組態及元件。可在本文中所揭示之本發明之方法及系統的配置、操作及細節中作出將爲熟悉該項技藝者所顯而易見之各種修改、改變及變化而不背離本發明之精神及範疇。
102‧‧‧伺服器
104‧‧‧金鑰交換金鑰(KEK)
106‧‧‧群組A
108‧‧‧節點A
110‧‧‧節點B
112‧‧‧節點C
114‧‧‧群組A金鑰
116‧‧‧節點N
118‧‧‧群組請求
120‧‧‧KEK請求
122‧‧‧網路
204‧‧‧KEK
206‧‧‧第一群組
208‧‧‧節點A
210‧‧‧節點B
212‧‧‧節點C
214‧‧‧群組A金鑰
214‧‧‧群組A金鑰
214‧‧‧群組A金鑰
224‧‧‧節點D
226‧‧‧節點E
228‧‧‧節點F
230‧‧‧節點G
234‧‧‧狀態
236‧‧‧計時參數A
238‧‧‧識別符A
240‧‧‧群組A金鑰參數
242‧‧‧路由器A
244‧‧‧路由器B
246‧‧‧第二群組
304‧‧‧KEK
314‧‧‧群組A金鑰
326‧‧‧節點E
328‧‧‧節點F
330‧‧‧節點G
334‧‧‧狀態
341‧‧‧群組B金鑰參數
346‧‧‧第二群組
350‧‧‧群組B金鑰
352‧‧‧識別符F
354‧‧‧重新加密
404‧‧‧KEK
408‧‧‧節點A
415‧‧‧群組C金鑰
426‧‧‧節點E
430‧‧‧節點G
434‧‧‧狀態
437‧‧‧計時參數C
438‧‧‧識別符A
440‧‧‧群組C金鑰參數
441‧‧‧群組B金鑰參數
444‧‧‧路由器B
450‧‧‧群組B金鑰
452‧‧‧識別符F
504‧‧‧KEK
515‧‧‧群組C金鑰
526‧‧‧節點E
528‧‧‧節點F
530‧‧‧節點G
532‧‧‧封包
546‧‧‧第二群組
550‧‧‧群組B金鑰
554‧‧‧重新加密
560‧‧‧重新加密命令
702‧‧‧節點/伺服器
704‧‧‧處理器
706‧‧‧記憶體
708‧‧‧網路介面
710‧‧‧匯流排
712‧‧‧通訊埠
714‧‧‧輸入/輸出裝置
本發明之示範性實施例將結合隨附圖式而由以下描述及附加之申請專利範圍變得更充分地顯而易見。請理解此等圖式僅描繪示範性實施例且因此將不被認爲係限制本發明之範疇,本發明之示範性實施例將經由使用隨附圖式而另外確切地及詳細地加以描述,其中:第一圖係一方塊圖,其說明了一個實施例;該實施例將一金鑰交換金鑰(KEK)傳達至一安全群播群組內之一或多個節點的伺服器;第二圖係一方塊圖,其說明了一個實施例;該實施例自一第一節點群組分割第二節點群組;第三圖係一方塊圖,其說明了第二節點群組之一另外之實施例;第四圖係一方塊圖,其說明了一個實施例;該實施例
連接第二節點群組之一管理節點至第一節點群組;第五圖係一方塊圖,其說明了一個實施例;該實施例重新連接第一群組至第二群組;第六圖係一流程圖,其說明了一個方法的實施例;該方法的實施例用於將一重新加密命令群播至一分段節點群組內之一或多個節點;以及第七圖係可用於一根據一實施例組態之節點中的硬體元件之一方塊圖。
102‧‧‧伺服器
104‧‧‧金鑰交換金鑰(KEK)
106‧‧‧群組A
108‧‧‧節點A
110‧‧‧節點B
112‧‧‧節點C
114‧‧‧群組A金鑰
116‧‧‧節點N
118‧‧‧群組請求
120‧‧‧KEK請求
122‧‧‧網路
Claims (20)
- 一種用於重新連接一第二節點群組與一第一節點群組的方法,該方法係藉由網路之電腦系統來執行,該方法包含:接收與一第一節點群組相關聯之一第一金鑰群組的一第一狀態;將該第一金鑰群組之該第一狀態群播至一第二節點群組;將該第一金鑰群組重新加密為與該第二節點群組相關聯之一第二金鑰群組;將該第二金鑰群組之一第二狀態群播至該第二節點群組;接收與該第一節點群組相關聯之一第三金鑰群組的一第三狀態;若該第三狀態不同於該第二狀態,則將一重新加密命令群播至該第二節點群組;以及將該第二金鑰群組重新加密為該第三金鑰群組。
- 如申請專利範圍第1項所述之方法,其中該第一群組係一安全群播節點群組。
- 如申請專利範圍第1項所述之方法,其中該第一狀態係自該第一節點群組之一管理節點來傳送的。
- 如申請專利範圍第1項所述之方法,其中該第二狀態係自該第二節點群組之一管理節點來傳送的。
- 如申請專利範圍第1項所述之方法,其另外包含將該第一節點群組之一或多個節點分割為該第二節點群組。
- 如申請專利範圍第5項所述之方法,其中該第一節點群組之該管理節點之間的通訊自包含該第二節點群組之該等節點斷開。
- 如申請專利範圍第1項所述之方法,其中每一狀態包括一金鑰交換金鑰(KEK)。
- 如申請專利範圍第7項所述之方法,其中包括該金鑰交換金鑰(KEK)之該等節點接收每一狀態。
- 如申請專利範圍第1項所述之方法,其中每一金鑰群組包括一金鑰群組參數,其中該金鑰群組參數指示每一金鑰群組已由一節點群組利用之時間量。
- 如申請專利範圍第1項所述之方法,其另外包含選擇一管理節點,該管理節點包含具有最高金鑰群組參數之金鑰群組。
- 如申請專利範圍第1項所述之方法,其中包含該第一節點群組及該第二節點群組之每一節點包含一節點識別符,其中該節點識別符指示該節點連接該第一節點群組時的次序。
- 如申請專利範圍第11項所述之方法,其另外包含選擇一包含最低節點識別符之管理節點。
- 如申請專利範圍第1項所述之方法,其中該重新加密命令係用一金鑰群組來加密的。
- 如申請專利範圍第1項所述之方法,其中該第二節點群組之一管理節點包含該第一金鑰群組及該第二金鑰群組。
- 一種用以重新連接一第二節點群組與一第一節點群 組的電腦系統,該電腦系統包含:一處理器;與該處理器電子通訊之記憶體;儲存於該記憶體中之指令,該等指令可執行以:接收與一第一節點群組相關聯之一第一金鑰群組的一第一狀態;將該第一金鑰群組之該第一狀態群播至一第二節點群組;將該第一金鑰群組重新加密為一與該第二節點群組相關聯之第二金鑰群組;將該第二金鑰群組之一第二狀態群播至該第二節點群組;接收與該第一節點群組相關聯之一第三金鑰群組的一第三狀態;若該第三狀態不同於該第二狀態,則將一重新加密命令群播至該第二節點群組;以及將該第二金鑰群組重新加密為該第三金鑰群組。
- 如申請專利範圍第15項所述之電腦系統,其中每一狀態包括一金鑰交換金鑰(KEK)。
- 如申請專利範圍第16項所述之電腦系統,其中包括該金鑰交換金鑰(KEK)之該等節點接收每一狀態。
- 一種電腦可讀式媒體,其包含用於重新連接一第二節點群組與一第一節點群組之可執行指令,該指令係藉由網路之電腦系統來執行,該等指令可執行以:接收與一第一節點群組相關聯之一第一金鑰群組的 一第一狀態;將該第一金鑰群組之該第一狀態群播至一第二節點群組;將該第一金鑰群組重新加密為一與該第二節點群組相關聯之第二金鑰群組;將該第二金鑰群組之一第二狀態群播至該第二節點群組;接收與該第一節點群組相關聯之一第三金鑰群組的一第三狀態;若該第三狀態不同於該第二狀態,則將一重新加密命令群播至該第二節點群組;以及將該第二金鑰群組重新加密為該第三金鑰群組。
- 如申請專利範圍第18項所述之電腦可讀式媒體,其中每一狀態包括一金鑰交換金鑰(KEK)。
- 如申請專利範圍第19項所述之電腦可讀式媒體,其中包括該金鑰交換金鑰(KEK)之該等節點接收每一狀態。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/624,521 US7840810B2 (en) | 2007-01-18 | 2007-01-18 | Systems and methods for rejoining a second group of nodes with a first group of nodes using a shared group key |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW200840297A TW200840297A (en) | 2008-10-01 |
| TWI389528B true TWI389528B (zh) | 2013-03-11 |
Family
ID=39636074
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW097102068A TWI389528B (zh) | 2007-01-18 | 2008-01-18 | 用以重新連接節點群組的方法、電腦系統及電腦可讀式媒體 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US7840810B2 (zh) |
| EP (1) | EP2104989A4 (zh) |
| JP (1) | JP5033188B2 (zh) |
| KR (1) | KR101056104B1 (zh) |
| CN (1) | CN101641903B (zh) |
| RU (1) | RU2420894C2 (zh) |
| TW (1) | TWI389528B (zh) |
| WO (1) | WO2008088084A1 (zh) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2558892A1 (en) | 2004-03-13 | 2005-09-29 | Cluster Resources, Inc. | System and method for a self-optimizing reservation in time of compute resources |
| CA2827035A1 (en) | 2004-11-08 | 2006-05-18 | Adaptive Computing Enterprises, Inc. | System and method of providing system jobs within a compute environment |
| US8863143B2 (en) * | 2006-03-16 | 2014-10-14 | Adaptive Computing Enterprises, Inc. | System and method for managing a hybrid compute environment |
| US9231886B2 (en) | 2005-03-16 | 2016-01-05 | Adaptive Computing Enterprises, Inc. | Simple integration of an on-demand compute environment |
| CA2603577A1 (en) | 2005-04-07 | 2006-10-12 | Cluster Resources, Inc. | On-demand access to compute resources |
| US8160255B2 (en) * | 2006-04-24 | 2012-04-17 | Cisco Technology, Inc. | System and method for encrypted group network communication with point-to-point privacy |
| US7962743B2 (en) * | 2006-05-22 | 2011-06-14 | Cisco Technology, Inc. | System and method for protected spoke to spoke communication using an unprotected computer network |
| US8625610B2 (en) * | 2007-10-12 | 2014-01-07 | Cisco Technology, Inc. | System and method for improving spoke to spoke communication in a computer network |
| JP2009100238A (ja) * | 2007-10-17 | 2009-05-07 | Nec Corp | 通信装置、通信システム及びそれらに用いる鍵再交換方法並びにそのプログラム |
| US7983423B1 (en) * | 2007-10-29 | 2011-07-19 | Netapp, Inc. | Re-keying based on pre-generated keys |
| US8346961B2 (en) * | 2007-12-12 | 2013-01-01 | Cisco Technology, Inc. | System and method for using routing protocol extensions for improving spoke to spoke communication in a computer network |
| US11720290B2 (en) | 2009-10-30 | 2023-08-08 | Iii Holdings 2, Llc | Memcached server functionality in a cluster of data processing nodes |
| US20130054964A1 (en) * | 2011-08-24 | 2013-02-28 | Motorola Solutions, Inc. | Methods and apparatus for source authentication of messages that are secured with a group key |
| GB2504112A (en) | 2012-07-18 | 2014-01-22 | Ibm | Generating database sequences in a replicated database environment |
| US9825759B2 (en) | 2013-07-08 | 2017-11-21 | Alcatel Lucent | Secure service management in a communication network |
| JP6100133B2 (ja) | 2013-09-20 | 2017-03-22 | 株式会社東芝 | 情報処理装置、管理装置、情報処理システム、情報処理方法、及びプログラム |
| JP6108235B2 (ja) * | 2014-01-10 | 2017-04-05 | パナソニックIpマネジメント株式会社 | 鍵情報制御装置、鍵情報更新装置、プログラム及び記録媒体、鍵情報更新方法、鍵情報更新システム |
| JP6139803B2 (ja) * | 2014-09-04 | 2017-05-31 | 株式会社東芝 | 通信制御装置、通信装置およびプログラム |
| US10090999B2 (en) * | 2015-01-27 | 2018-10-02 | Qualcomm Incorporated | Group key announcement and distribution for a data link group |
| CN108964904B (zh) * | 2018-07-16 | 2020-12-22 | 哈尔滨工业大学(深圳) | 群密钥安全管理方法、装置、电子设备及存储介质 |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5748736A (en) * | 1996-06-14 | 1998-05-05 | Mittra; Suvo | System and method for secure group communications via multicast or broadcast |
| US6195751B1 (en) * | 1998-01-20 | 2001-02-27 | Sun Microsystems, Inc. | Efficient, secure multicasting with minimal knowledge |
| US6742045B1 (en) * | 1999-07-02 | 2004-05-25 | Cisco Technology, Inc. | Handling packet fragments in a distributed network service environment |
| US6240188B1 (en) * | 1999-07-06 | 2001-05-29 | Matsushita Electric Industrial Co., Ltd. | Distributed group key management scheme for secure many-to-many communication |
| US6263435B1 (en) * | 1999-07-06 | 2001-07-17 | Matsushita Electric Industrial Co., Ltd. | Dual encryption protocol for scalable secure group communication |
| US6529515B1 (en) * | 1999-09-30 | 2003-03-04 | Lucent Technologies, Inc. | Method and apparatus for efficient network management using an active network mechanism |
| US6870844B2 (en) * | 2001-03-06 | 2005-03-22 | Pluris, Inc. | Apparatus and methods for efficient multicasting of data packets |
| JP2003023418A (ja) * | 2001-07-06 | 2003-01-24 | Advanced Mobile Telecommunications Security Technology Research Lab Co Ltd | 移動通信ダイナミックセキュアグルーピング方式 |
| US7234063B1 (en) * | 2002-08-27 | 2007-06-19 | Cisco Technology, Inc. | Method and apparatus for generating pairwise cryptographic transforms based on group keys |
| JP2004166154A (ja) * | 2002-11-15 | 2004-06-10 | Nec Corp | マルチキャスト配信のための鍵管理方式 |
| EP1549010B1 (en) * | 2003-12-23 | 2008-08-13 | Motorola Inc. | Rekeying in secure mobile multicast communications |
| US7907733B2 (en) * | 2004-03-05 | 2011-03-15 | Electronics And Telecommunications Research Institute | Method for managing traffic encryption key in wireless portable internet system and protocol configuration method thereof, and operation method of traffic encryption key state machine in subscriber station |
| JP4392795B2 (ja) * | 2004-10-07 | 2010-01-06 | Kddi株式会社 | 放送通信融合システム |
| WO2006054927A1 (en) * | 2004-11-16 | 2006-05-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Improved key distribution in systems for selective access to information |
| JP4635615B2 (ja) * | 2005-01-17 | 2011-02-23 | 富士ゼロックス株式会社 | 情報処理装置、システム、データ同期方法及びプログラム |
| JP4606885B2 (ja) * | 2005-01-18 | 2011-01-05 | Kddi株式会社 | 鍵配信システムおよび鍵管理サーバならびに鍵配信方法 |
| JP2006245663A (ja) * | 2005-02-28 | 2006-09-14 | Matsushita Electric Ind Co Ltd | 暗号化マルチキャスト通信鍵管理システム、暗号化マルチキャスト通信鍵管理方法、送信端末、受信端末、およびプログラム |
| US7827262B2 (en) * | 2005-07-14 | 2010-11-02 | Cisco Technology, Inc. | Approach for managing state information by a group of servers that services a group of clients |
-
2007
- 2007-01-18 US US11/624,521 patent/US7840810B2/en active Active
-
2008
- 2008-01-17 WO PCT/JP2008/051017 patent/WO2008088084A1/en active Application Filing
- 2008-01-17 RU RU2009131314/09A patent/RU2420894C2/ru not_active IP Right Cessation
- 2008-01-17 JP JP2009530445A patent/JP5033188B2/ja not_active Expired - Fee Related
- 2008-01-17 CN CN2008800026589A patent/CN101641903B/zh not_active Expired - Fee Related
- 2008-01-17 EP EP08703844.4A patent/EP2104989A4/en not_active Withdrawn
- 2008-01-17 KR KR1020097016719A patent/KR101056104B1/ko active IP Right Grant
- 2008-01-18 TW TW097102068A patent/TWI389528B/zh not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| TW200840297A (en) | 2008-10-01 |
| EP2104989A4 (en) | 2014-03-26 |
| US20080175387A1 (en) | 2008-07-24 |
| KR20090110334A (ko) | 2009-10-21 |
| EP2104989A1 (en) | 2009-09-30 |
| KR101056104B1 (ko) | 2011-08-10 |
| WO2008088084A8 (en) | 2009-09-03 |
| JP5033188B2 (ja) | 2012-09-26 |
| RU2420894C2 (ru) | 2011-06-10 |
| CN101641903A (zh) | 2010-02-03 |
| WO2008088084A1 (en) | 2008-07-24 |
| CN101641903B (zh) | 2012-06-06 |
| RU2009131314A (ru) | 2011-02-27 |
| JP2010517330A (ja) | 2010-05-20 |
| US7840810B2 (en) | 2010-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI389528B (zh) | 用以重新連接節點群組的方法、電腦系統及電腦可讀式媒體 | |
| EP3269116B1 (en) | Internet of things group formation using a key-based join protocol | |
| US8457127B2 (en) | Systems and methods for reducing multicast traffic over a network | |
| CN114189549B (zh) | 用于提供自选服务的系统和方法 | |
| TWI389531B (zh) | 用以分配金鑰更新的方法、系統及電腦可讀式媒體 | |
| JP5033190B2 (ja) | 鍵の更新要求の送信に関する時間遅延を決定するためのプログラムおよびノードおよびコンピュータ読み込み可能な記録媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |