TWI672037B - 用於識別網路中的設備的方法及裝置 - Google Patents
用於識別網路中的設備的方法及裝置 Download PDFInfo
- Publication number
- TWI672037B TWI672037B TW106121535A TW106121535A TWI672037B TW I672037 B TWI672037 B TW I672037B TW 106121535 A TW106121535 A TW 106121535A TW 106121535 A TW106121535 A TW 106121535A TW I672037 B TWI672037 B TW I672037B
- Authority
- TW
- Taiwan
- Prior art keywords
- keys
- network
- security level
- request
- bit pattern
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本發明提供一種用於識別網路中的設備的方法,包括:從該網路檢測指向該設備的請求;從該請求中識別發送該請求的源實體和由該請求指定的安全級別;在識別用於不同安全級別的該設備的多個密鑰中,至少根據該安全級別來確定一個或多個密鑰以識別該設備;以及響應于該安全級別是高安全級別,建立具有該高安全級別的網路會話以使用該多個密鑰中的一組相互關聯的密鑰與該源實體進行通信。網路連接設備由網路中多個安全級別的多個密鑰識別。本發明可以在需要不同安全性級別的不同使用場景中使用不同的ID。
Description
本發明涉及在網路連接設備中實現的多級安全機制(multi-level security mechanism)。
在如今以互聯網為中心的社會,每個人都可以通過許多標識(identification,ID)來進行識別,包括姓名、護照號碼、駕駛執照號、密碼、帳號、徽章ID號、會員號碼等。社會各方面都依賴於這些ID來操作,僅舉幾例,例如銀行、股票交易、徵稅、供應鏈管理、購物、電子商務、政府運營、俱樂部等等。可以在不同的環境和不同的社會活動中使用不同的ID。
隨著“物聯網”(Internet of Things,IoT)的新興應用,有更多的“事物”連接至互聯網。每個“互聯網連接的事物”需要一個或多個ID來支持物聯網活動的操作。因此,需要通過多個ID來識別互聯網連接的事物。類似於具有多個ID並且在不同場合使用不同ID的人,每個互聯網連接的事物都有必要具有多個ID,並且每個事物在不同的物聯網操作中使用不同的ID。
目前,每年製造數十億半導體芯片,隨著嵌入式半
導體芯片的發展,每年也產生數十億的物聯網事物。因此,用於每一半導體芯片的ID的產生、存儲、操縱和兼容性對於物聯網生態系統都至關重要。
常規ID的例子是條形碼,其被廣泛應用於當今的供應鏈管理(supply chain management)中。在供應鏈的生命週期中,每個項目(item)都以條形碼作為其ID。隨著互聯網的出現以及電子商務相繼取代物理商店,在物聯網操作的許多方面,條形碼在涉及安全性要求方面變得不足。因此,需要在網路連接設備中改進ID的產生和管理。作為半導體供應商,需要為每個出貨的芯片設計出識別機制。
有鑑於此,本發明提供一種用於識別網路中的設備的方法及裝置,以解決上述問題。
根據一實施例,本發明提供一種用於識別網路中的設備的方法,包括:從該網路檢測指向該設備的請求;從該請求中識別發送該請求的源實體和由該請求指定的安全級別;在識別用於不同安全級別的該設備的多個密鑰中,至少根據該安全級別來確定一個或多個密鑰以識別該設備;以及響應于該安全級別是高安全級別,建立具有該高安全級別的網路會話以使用該多個密鑰中的一組相互關聯的密鑰與該源實體進行通信。網路連接設備由網路中多個安全級別的多個密鑰識別。
根據另一實施例,提供一種用於識別網路中的設備
的裝置,包括:存儲器,用於存儲識別用於不同安全級別的該設備的多個密鑰;分配器,用於管理資料結構的存儲器分配,該資料結構存儲至少一組相互關聯的密鑰,用於識別高安全級別的該設備;以及控制器,耦接於該存儲器和該分配器,該控制器用於:從該網路檢測指向該設備的請求;從該請求中識別發送該請求的源實體和由該請求指定的安全級別;至少根據該安全級別來從該多個密鑰中確定一個或多個密鑰以識別該設備;以及響應于該安全級別是高安全級別,建立具有該高安全級別的網路會話以使用該一組相互關聯的密鑰與該源實體進行通信。
上述用於識別網路中的設備的方法及裝置可以在需要不同安全性級別的不同使用場景中使用不同的ID。
120‧‧‧ID產生引擎
150‧‧‧設備
160‧‧‧網路接口
170‧‧‧服務氣
180‧‧‧網路
190‧‧‧協議控制器
100、200、300‧‧‧塊
400‧‧‧分配器
480‧‧‧別名計算器
500‧‧‧數字產生器
600‧‧‧ID產生控制器
700‧‧‧選擇和掩碼單元
410-440、510-540‧‧‧步驟
450、550‧‧‧方法
第1圖示出了根據本發明實施例的網路連接設備可以操作的環境。
第2圖示出了根據本發明實施例的ID產生引擎。
第3圖示出了根據本發明實施例的存儲一組鏈表的資料結構的範例。
第4圖是根據本發明實施例的設備主動使用其ID與其他網路連接實體進行交互的方法的流程圖。
第5圖是根據本發明實施例的用於識別網路中的設備的方法的流程圖。
在下面的描述中,闡述了許多具體細節。然而,應當理解的是,可以在沒有這些具體細節的情況下實施本發明的實施例。在其他情況下,為了不使本說明書的理解變得模糊,沒有詳細地示出公知的電路、結構和技術。然而,本領域技術人員應當理解,可以在沒有這些具體細節的情況下實施本發明。本領域普通技術人員根據所包含的描述將能夠實現適當的功能而無需過多的實驗。
本發明的實施例提供了一種用於產生網路連接設備的標識(ID)的系統和方法。這些設備具有多個ID,使得它們可以在需要不同安全性級別的不同使用場景中使用不同的ID。該系統和方法使設備能夠在互聯網生態系統中識別自身、在互聯網交易中進行身份驗證、支持傳統的供應鏈物流、支持電子商務,以及與互聯網服務器、雲端等設備進行積極互動。在一個實施例中,為設備提供具有不同安全級別的多個ID,用於不同的網路安全協議、不同的網路操作和/或不同的網路平臺。此外,這些設備還具有使用其ID與互聯網上其他設備(如服務器、雲端和對等設備)進行交互的智能性。
在本文的公開中,術語“因特網”廣泛地用於指任何有線網路、無線網路或其組合,包括但不限於專有網路和/或公共網路。
此外,術語“ID”和“密鑰(key)”可互換使用。密鑰用作設備ID、群組ID、共享密鑰、加密密鑰、證書或簽名等的集合名稱。一密鑰可以由兩個通信實體使用:客戶端
和服務器,終端(endpoint)和雲端(cloud),或任何網路連接實體。密鑰可用於識別單個實體或密切相關的群組。密鑰可以用於兩階段的過程。例如,在第一階段:發送方和接收方交換密鑰以建立安全通道;在第二階段,發送方使用密鑰加密消息或資料,接收方使用密鑰對消息或資料進行解密。
本文要描述的ID產生方法支持業界和所有互聯網平臺上的所有協議標準。此外,ID產生方法支持業界廣泛採用的基礎資料結構。操縱資料結構的操作對所有協議都是通用的。
第1圖示出了根據本發明實施例的網路連接設備150可以操作的環境。在一個實施例中,設備150可以是計算機、智能電話、電子閱讀器、電器產品、汽車、便攜式或可穿戴設備、或連接到諸如因特網的網路180的任何設備。在另一個實施例中,設備150可以是連接到網路180的半導體芯片。設備150可以是經由網路180與一個或多個服務器170交互的客戶端;或者,設備150可以是在雲計算環境(這裡稱為雲)中與服務器170交互的終端。在一個實施例中,設備150包括用於與網路180通信的網路接口(network interface)160、ID產生引擎(ID generation engine)120和協議控制器190。下面提供關於ID產生引擎120和協議控制器190的細節。
第2圖示出了根據本發明實施例的ID產生引擎120。ID產生引擎120可以位於網路連接設備中或連接到網路連接設備,例如第1圖的設備150。在一個實施例中,ID產生引擎120包括存儲器或有權訪問存儲器,該存儲器可存儲可以用作密
鑰的資料,或者存儲可以用於導出識別自身或其群組的密鑰的資料。存儲在存儲器中的資料可以由ID產生引擎120在本地產生、可以從網路下載、或者可以在ID產生引擎120位於其中的設備或半導體芯片的製造商出貨之前被預先安裝。
ID產生引擎120通過多種資料結構和對資料結構的通用操作來支持所有協議和互聯網平臺。密鑰可以在本地產生,由例如隨機數生成器(random number generator,RNG)、偽隨機數生成器(pseudo random number generator,PRNG)產生,或從外部源預先下載的隨機型樣(pattern)產生,或通過加密技術實時產生。密鑰可以通過由互聯網平臺或工業組織(製造商是成員並收到一批密鑰/標識用於運輸)提供的協議從外部提供。密鑰可以在發貨前由設備或半導體芯片的製造商安裝。
在第2圖的實施例中,ID產生引擎120的存儲器包括至少三塊:塊100存儲一組一維線性陣列,塊200存儲二維資料結構,塊300存儲一組鏈表(linked list)。
在塊100中,每個一維線性陣列存儲位元型樣(bit pattern),其可以是本地產生的隨機位元型樣、預先產生的隨機位元型樣或由互聯網平臺(例如,從Apple®,Google®,Amazon®,銀行,電子商務門戶等)外部提供的位元型樣。
更具體地,塊100中的每個一維線性陣列的位元型樣可以來自一個或多個源。例如,第一源可以是數字產生器500。如下所述,數字產生器500產生隨機數和/或偽隨機數。命令(command)可以指示數字產生器500實時地在本地產生
隨機或偽隨機位元型樣,並將型樣加載到塊100中的一維線性陣列。塊100的第二源可以是預先產生的隨機位元型樣。預先產生的隨機位元型樣可以從開源社區廣泛獲得,並且可以從因特網下載。這些預先產生的隨機位元型樣可能受天氣、溫度、光/顏色變化等自然現象的刺激,並且在本質上是隨機的和不可預測的。許多政府機構、學術機構或工業機構為這些預先產生的隨機型樣維持了源依據。塊100的第三源可以是由組織或因特網平臺提供的位元型樣。該位元型樣可以非常長,例如大約100萬位元。這個長位元型樣的提供者可以向訂閱選定服務的設備發送命令,其中該命令指定長位元型樣的哪個子型樣(例如256位元)用於設備服務對(device-service pair)。長位元型樣使用壽命長且很少改變。當訂閱的服務改變時,或者當需要重新驗證設備服務對時,長位元型樣的提供者可以向設備發出另一命令以使用不同的子型樣。在一個實施例中,該長位元型樣可以是“cloud_master_ID”並存儲在塊100中,並且子型樣(例如,256位元)可以用作“sub_cloud_master_ID”並存儲在塊200中。
塊200中的二維資料結構可以存儲從塊100中提取的密鑰、從協議獲取的密鑰、製造商預先安裝的密鑰、實時計算的密鑰。在一個實施例中,塊200存儲具有N個位置的固定尺寸的二維陣列資料結構,並且每個位置是M位元長。塊200可以用作傳統供應鏈信息(例如製造商,產品型號,序列號,製造日期和地點等)的存儲結構。master_manufacturer_ID也可以存儲在此存儲結構中。當製造商是工業聯盟的成員時,
聯盟可以向其所有成員發放master_manufacturer_ID。這些成員可以使用master_manufacturer_ID的全部或部分(例如,sub_manufacturer_ID)開展業務、交易或成員間供應鏈管理。聯盟通常會在使用master_manufacturer_ID時設定常用協議,以供成員遵守。
在一個實施例中,存儲在塊200中的條目(entry)可以用作低安全性級別的密鑰。例如,供應鏈信息可以包括manufacturer_ID,其進一步包括資料字段,例如:製造商的名稱(或代碼)、產品型號和序列號、與產品製造相關的日期,時間和地點、與產品分佈(國家,供應鏈)相關的代碼。這些資料字段具有低安全級別,並且可以作為未加密的(in the clear)密鑰被發送到另一網路連接的實體。
在一個實施例中,塊200中的資料條目可以從一個或多個長位元型樣導出,例如塊100中的位元型樣(例如,cloud_master_ID)或塊200中的master_manufacturer_ID。如前所述,塊100中的位元型樣通常比協議中使用的密鑰長度(典型值為128,256,512,1024,2048等)要長得多。為了從長位元型樣提取密鑰(其是子型樣),ID產生引擎120使用選擇和掩碼單元(圖示為select_and_mask單元)700,根據指定位元型樣中的開始位元位置、位元型樣中的結束位元位置以及位元型樣中的位元數以在子型樣的連續位元間跳過的命令來執行密鑰的產生,例如,密鑰=索引(起始位元,結束位元,跳過)。所得到的子型樣(sub-pattern)可以存儲在塊200中,例如,作為sub_cloud_master_ID或sub_manufacturer_ID。
在一個實施例中,塊200可以以長位元型樣存儲供應鏈信息,其可以組合製造商的標識符、產品型號、序列號、製造日期和地點、群組、設備等。select_and_mask單元700可以用於從長位元型樣中提取諸如群組ID或設備ID的特定ID。在一個實施例中,從塊200提取的ID可以存儲在塊300中。
在使用供應鏈信息和master_manufacturer_ID之後,通常有一個非常大的資料庫。某些資料庫操作較不敏感,需要較低安全性或無安全性。然而,其他資料庫操作是高度敏感的,因此需要高安全級別。ID產生引擎120支持各種安全性級別。例如,ID產生引擎120可以將master_manufacturer_ID保留為“機密”,而向請求者發送master_manufacturer_ID的別名(alias)以便保持機密性。
參考第3圖所示的實施例,塊300存儲一組支持高安全性標識的別名的鏈表。塊300中的密鑰可用作多因子密鑰(multi-factor key),用於別名密鑰(alias key),或用於別名密鑰的別名。塊300啟動時為空。塊300存儲與兩個指針(即P1和P2)相關的一組鏈表,其中P1指向一組P1條目,P2指向一組P2條目。更具體地,每個鏈表包括用於存儲主標識(在第3圖中示為ID_main)的頭條目、存儲主標識的第一別名的P1條目和用於存儲主標識第一別名的第二別名的P2條目。在一個實施例中,可以由select_and_mask單元700從塊200中的供應鏈信息產生主標識。或者,可以由select_and_mask單元700根據塊100中的位元型樣產生主標識。
在一個實施例中,塊300中的空間由分配器400進行
管理、分配和解除分配。響應於對空間分配的請求,分配器400在塊300中識別空閒位置,並且將資料段(其可以是由select_and_mask單元700產生的輸出)從塊100或塊200移動到塊300中的該位置的頭條目(head entry)。該頭條目(即,主標識)可以用於計算ALIAS(main identity),其被存儲為與主標識相關的P1條目,以及用於計算ALIAS(ALIAS(main identity)),其被存儲為與主標識相關的P2條目。ALIAS()表示計算輸入參數的別名的函數。在一個實施例中,分配器400包括別名計算器480或耦接於別名計算器480,用於計算別名函數。在一個實施例中,別名函數是散列函數、單向函數或從輸入參數導出其輸出的另一函數。
對於中等安全性級別,P1條目(即,主標識符的別名)可以用作密鑰。例如,主標識可以是由製造商定義和提供的master_manufacturer_ID。許多其他密鑰可以根據行業要求或協議標準從master_manufacturer_ID導出。代替釋放master_manufacturer_ID,master_manufacturer_ID的別名可以被ID產生引擎120釋放到另一網路連接實體。master_manufacturer_ID及其別名的關聯保存在芯片或設備(例如,第1圖的設備150)內。除了master_manufacturer_ID之外,sub_cloud_master_ID(它是cloud_master_ID的子型樣)、manufacturer_device_ID、protocol_acquired_ID等可以是計算別名的主標識。
對於高安全性級別,P1條目和P2條目兩者都可用於識別芯片或設備。在一些實施例中,
master_manufacturer_ID、sub_cloud_master_ID、manufacturer_device_ID、protocol_acquired_ID等可以是計算別名和別名的別名的主標識。
在一些實施例中,可以要求ID產生引擎120同時釋放兩個或更多個密鑰以對其進行認證。這被稱為多因子識別(例如,2因子或3因子識別)。例如,在3因子情況下,設備可以釋放:主標識,ALIAS(main identity),ALIAS(ALIAS(main identity))作為三個因子,其中主標識可能是以下其中之一:ALIAS(master_manufacturer_ID),sub_cloud_master_ID,manufacturer_device_ID或protocol_acquired_ID。
通過一些開銷實現較高級別的安全性,例如P1條目和P2條目的存儲,指針P1和P2的存儲以及專用於管理塊300中的位置以及塊300中條目之間的關聯的分配器400。另外,花費在計算別名和管理塊300上的時間也是開銷。
ID產生引擎120還包括數字產生器500,其產生用於塊100和塊200的隨機位元型樣。用於產生隨機數和偽隨機數的幾種方法在所屬領域中是已知的,所得數字具有不同的複雜度、不同的產生時間、以及具有不同程度的隨機性。
ID產生引擎120還包括作為ID產生引擎120的整體控制的ID產生控制器600。ID產生控制器600處理協議兼容的(protocol-compliant)ID產生操作,管理塊100、200和300之間的資料傳送,以及發佈命令序列給ID產生引擎120中的所有其他組件。在一個實施例中,ID產生控制器600根據包括以下一個或多個的輸入來控制ID的產生:命令、安全級別、協議
控制信號以及輸入密鑰(即ID_in),其中ID_in是由外部實體提供的位元型樣。基於輸入,ID產生引擎120產生輸出密鑰ID_out。ID產生控制器600與ID產生引擎120之外的協議控制器190進行交互(interface),並且執行用於與另一網路連接實體進行通信的協議所需的操作。協議控制器190可以向ID產生引擎120發送協議控制信號,以提供協議相關的信息用於ID的產生。
ID產生引擎120產生能夠使設備150“活動(active)”的ID。在一個實施例中,設備150主動地監聽網路中的協議業務量(protocol traffic)。一旦設備150的ID出現在業務量中,設備150將主動參與協議資料交換並採取適當的動作。相比之下,條形碼設備和基於射頻識別ID(Radio-Frequency ID,RFID)的設備不是活動的,因為它們需要被動地等待其ID被掃描。
第4圖是根據本發明實施例的設備主動使用其ID與其他網路連接實體進行交互的方法450的流程圖。在一個實施例中,設備可以是ID產生引擎120位於其中的第1圖的設備150。方法450開始於設備150(例如,協議控制器190或ID產生控制器600)監測網路上的業務量(步驟410)以檢測查詢(query)的存在。查詢可以在網路上通過廣播、多播或直接發送到設備150。當檢測到查詢時(步驟420),設備150確定查詢是否被指向(directed at)設備150(步驟430)。在本文的描述中,如果查詢將設備150明確識別為接收者,如果查詢識別設備150所屬的群組,如果查詢識別設備150擁有的特性,或當滿
足其他類似條件時,則查詢是指向設備150的。
在一種情況下,查詢可以指定可從中導出查詢密鑰(queried key)的密鑰或信息(例如供應鏈信息)。如果查詢密鑰和存儲密鑰(stored key)之間存在匹配,這意味著查詢指向設備150,則設備150執行查詢所請求的操作(步驟440)。如果不匹配,則方法450返回到步驟410以監視網路上的業務量。
在另一種情況下,在步驟430,ID產生引擎120可以基於查詢中的信息(例如,協議,安全級別,服務,查詢源等)來實時產生密鑰。然後將實時產生的密鑰與查詢密鑰進行比較,以確定是否存在匹配(即,查詢是否指向設備150)。如果存在匹配,則方法450進行到步驟440;否則,方法450返回到步驟410。
在步驟440,設備150可以執行與給定的因特網協議兼容的操作。設備150支持客戶端和服務器、或者端點和雲之間的至少四個通用接口(universal interface):啟動程序(bootstrap),註冊,設備管理和信息收集。例如,查詢可以包含用於設備150建立與另一網路連接實體(例如服務器或雲)的安全通信信道的請求。設備150可能需要通過與查詢的源實體交換密鑰來對其進行認證。這些認證密鑰可以是由ID產生引擎120實時產生的存儲密鑰或密鑰。通過安全通信信道,服務器或雲可以命令設備150開始啟動程序、註冊程序、更新程序、或信息收集程序。
第5圖是根據本發明實施例的用於識別網路中的設備
的方法550的流程圖。在一個實施例中,方法550可以由第1圖的設備150執行。方法550開始於設備150從網路檢測指向設備150的請求(request)(步驟510)。第4圖的方法450可以用於檢測請求。從請求中,設備150識別發送該請求的源實體和由該請求指定的協議的安全級別(步驟520)。在識別用於不同安全級別的設備的多個密鑰中,設備150至少根據安全級別來確定多個密鑰中的一個或多個以識別自身(步驟530)。在請求指定高安全級別的情況下,設備150建立具有高安全級別的網路會話,以使用多個密鑰中的一組相互關聯的密鑰與該請求的源實體進行通信(步驟540)。在一個實施例中,根據高安全級別,設備150的ID產生引擎120檢索(retrieve)或實時產生多因子密鑰(例如,三因子密鑰),其可以包括設備150的主標識、主標識的第一別名、以及主標識的第一別名的第二別名,如第3圖的示例所示。
已經參考第1-3圖的示例性實施例描述了第4圖和5的流程圖的操作。然而,應當理解,第4圖和第5圖的流程圖的操作可以通過除了第1-3圖討論的實施例之外的本發明實施例來執行,並且參考第1-3圖討論的實施例執行的操作可不同於參考流程圖討論的操作。雖然第4圖和第5圖的流程圖示出了由本發明的某些實施例執行的操作的特定順序,但是應當理解,這種順序是示例性的(例如,替代實施例可以以不同的順序執行操作,組合某些操作,重複某些操作等)。
本文的公開內容描述了向設備提供多個名稱或標識的ID產生引擎。該設備可以通過網路主動與其他網路連接實
體進行交互。該設備在需要不同安全級別的不同情況下使用不同的密鑰;密鑰之間的安全關聯保持在設備內部並且不會被釋放。此外,ID產生引擎使用基礎資料結構和通用協議接口,從而實現了能夠支持所有工業標準和所有互聯網平臺的設計。
以上所述僅為本發明之較佳實施例,凡依本發明申請專利範圍所做之均等變化與修飾,皆應屬本發明之涵蓋範圍。
Claims (18)
- 一種用於識別網路中的設備的方法,其中,該方法包括:從該網路檢測指向該設備的請求;從該請求中識別發送該請求的源實體和由該請求指定的安全級別;以及在識別用於不同安全級別的該設備的多個密鑰中,根據至少該安全級別來確定一個或多個密鑰以識別該設備;其中,響應于該安全級別是高安全級別,該方法進一步包括:對存儲在該設備中的位元型樣執行選擇和掩碼操作以獲得子型樣,其中該選擇和掩碼操作指定該位元型樣中的開始位元位置、該位元型樣中的結束位元位置、以及位元型樣中的位元數以在該子型樣的連續位元之間跳過;使用兩個或更多個相互關聯的密鑰,以建立具有該高安全級別的網路會話以使用該多個密鑰中的一組相互關聯的密鑰與該源實體進行通信;其中該兩個或更多個相互關聯的密鑰至少包括子型樣作為該設備的多因子標識;該設備的多因子標識包括兩個或更多個別名。
- 根據申請專利範圍第1項之方法,其中,包括該子型樣作為該設備的多因子標識的兩個或更多個相互關聯的密鑰包括:該設備的主標識、該主標識的第一別名,以及該主標識的該第一別名的第二別名。
- 根據申請專利範圍第2項之方法,其中,該兩個或更多個相互關聯的密鑰存儲在鏈表中。
- 根據申請專利範圍第1項之方法,其中,檢測指向該設備的該請求進一步包括:監測該網路上的資料業務量;以及確定該網路上的一查詢是否指定一密鑰與識別該設備的該多個密鑰的其中之一匹配。
- 根據申請專利範圍第1項之方法,其中,還包括:響應于該安全級別處於比該高安全級別更低的級別,從存儲在該設備中的一個位元型樣中選擇該子型樣或另一個子型樣以用於建立該網路會話。
- 根據申請專利範圍第5項之方法,其中,該設備的每個該位元型樣對應於該網路上其他網路連接實體的其中之一。
- 根據申請專利範圍第1項之方法,其中,該多個密鑰包括以下一個或多個:隨機位元型樣,偽隨機位元型樣,由該設備產生的位元型樣,以及由該設備外部的實體提供的位元型樣。
- 根據申請專利範圍第1項之方法,其中,該多個密鑰包含供應鏈信息。
- 根據申請專利範圍第1項之方法,其中,還包括:根據該請求來執行操作,其中該操作包括以下一個或多個:啟動程序,註冊,設備管理和信息收集。
- 一種用於識別網路中的設備的裝置,其中,包括:存儲器,用於存儲識別用於不同安全級別的該設備的多個密鑰;分配器,用於管理資料結構的存儲器分配,該資料結構存儲至少一組相互關聯的密鑰,用於識別高安全級別的該設備;以及控制器,耦接於該存儲器和該分配器,該控制器用於:從該網路檢測指向該設備的請求;從該請求中識別發送該請求的源實體和由該請求指定的安全級別;根據至少該安全級別來從該多個密鑰中確定一個或多個密鑰以識別該設備;其中,響應于該安全級別是高安全級別,該控制器進一步操作為:對存儲在該設備中的位元型樣執行選擇和掩碼操作以獲得子型樣,其中該選擇和掩碼操作指定該位元型樣中的開始位元位置、該位元型樣中的結束位元位置、以及位元型樣中的位元數以在該子型樣的連續位元之間跳過;使用兩個或更多個相互關聯的密鑰,以建立具有該高安全級別的網路會話以使用該一組相互關聯的密鑰與該源實體進行通信;其中該兩個或更多個相互關聯的密鑰至少包括子型樣作為該設備的多因子標識;該設備的多因子標識包括兩個或更多個別名。
- 根據申請專利範圍第10項之裝置,其中,包括該子型樣作為該設備的多因子標識的兩個或更多個相互關聯的密鑰包括:該設備的主標識、該主標識的第一別名,以及該主標識的該第一別名的第二別名。
- 根據申請專利範圍第11項之裝置,其中,該兩個或更多個相互關聯的密鑰存儲在鏈表中。
- 根據申請專利範圍第10項之裝置,其中,該控制器還用於:監測該網路上的資料業務量;以及確定該網路上的查詢是否指定一密鑰與識別該設備的該多個密鑰的其中之一匹配。
- 根據申請專利範圍第10項之裝置,其中,該控制器還用於:響應于該安全級別處於比該高安全級別更低的級別,從存儲在該設備中的一個位元型樣中選擇該子型樣或另一個子型樣以用於建立該網路會話。
- 根據申請專利範圍第14項之裝置,其中,該設備的每個該位元型樣對應於該網路上其他網路連接實體的其中之一。
- 根據申請專利範圍第10項之裝置,其中,該多個密鑰包括以下一個或多個:隨機位元型樣,偽隨機位元型樣,由該設備產生的位元型樣,以及由該設備外部的實體提供的位元型樣。
- 根據申請專利範圍第10項之裝置,其中,該多個密鑰包含供應鏈信息。
- 根據申請專利範圍第10項之裝置,其中,該控制器還用於:根據該請求來執行操作,其中該操作包括以下一個或多個:啟動程序,註冊,設備管理和信息收集。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201662362080P | 2016-07-14 | 2016-07-14 | |
US62/362,080 | 2016-07-14 | ||
US15/292,367 | 2016-10-13 | ||
US15/292,367 US10362015B2 (en) | 2016-07-14 | 2016-10-13 | Method of generating multiple identifications with multi-level security for network-connected devices |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201803313A TW201803313A (zh) | 2018-01-16 |
TWI672037B true TWI672037B (zh) | 2019-09-11 |
Family
ID=58489130
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW106121535A TWI672037B (zh) | 2016-07-14 | 2017-06-28 | 用於識別網路中的設備的方法及裝置 |
Country Status (3)
Country | Link |
---|---|
US (1) | US10362015B2 (zh) |
EP (1) | EP3270562B1 (zh) |
TW (1) | TWI672037B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI685768B (zh) * | 2018-11-28 | 2020-02-21 | 中華電信股份有限公司 | 物聯網設備納管方法 |
CN110138552B (zh) * | 2019-05-08 | 2021-07-20 | 北京邮电大学 | 多用户量子密钥供应方法及装置 |
US20240039962A1 (en) * | 2022-08-01 | 2024-02-01 | International Business Machines Corporation | Internet-of-things device security optimization |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008028227A1 (en) * | 2006-09-04 | 2008-03-13 | Grant Andrew Stepa | Improvements in transmitting and relaying messages |
US20080108333A1 (en) * | 2002-03-26 | 2008-05-08 | Zoove Corp. | System and method for mediating service invocation from a communication device |
US20120066499A1 (en) * | 2009-05-26 | 2012-03-15 | Ali Valiuddin Y | System and method for performing a management operation |
TW201417598A (zh) * | 2012-07-13 | 2014-05-01 | Interdigital Patent Holdings | 安全性關聯特性 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7890581B2 (en) | 1996-12-16 | 2011-02-15 | Ip Holdings, Inc. | Matching network system for mobile devices |
US7834131B2 (en) * | 2003-07-11 | 2010-11-16 | Basf Fuel Cell Gmbh | Asymmetric polymer film, method for the production and utilization thereof |
US7540087B2 (en) * | 2006-07-14 | 2009-06-02 | The Gillette Company | Shaving razor |
JP5192168B2 (ja) * | 2007-03-30 | 2013-05-08 | シスメックス株式会社 | 設定情報管理システム、設定情報管理方法、バックアッププログラム、及び記憶媒体 |
US8782746B2 (en) | 2008-10-17 | 2014-07-15 | Comcast Cable Communications, Llc | System and method for supporting multiple identities for a secure identity device |
JP5273384B2 (ja) * | 2009-07-09 | 2013-08-28 | 株式会社ジャパンディスプレイ | 液晶表示装置 |
US8887264B2 (en) * | 2009-09-21 | 2014-11-11 | Ram International Corporation | Multi-identity access control tunnel relay object |
JP5652618B2 (ja) * | 2010-07-07 | 2015-01-14 | 株式会社ダイフク | 物品仕分け手段 |
WO2012040198A1 (en) | 2010-09-20 | 2012-03-29 | Interdigital Patent Holdings, Inc. | Identity management on a wireless device |
US9544395B2 (en) * | 2014-10-10 | 2017-01-10 | At&T Intellectual Property I, L.P. | Facilitating quality of service and security via functional classification of devices in networks |
US20160338120A1 (en) * | 2015-05-14 | 2016-11-17 | Smart Technologies, Ulc | System And Method Of Communicating Between Interactive Systems |
-
2016
- 2016-10-13 US US15/292,367 patent/US10362015B2/en active Active
-
2017
- 2017-03-08 EP EP17159842.8A patent/EP3270562B1/en active Active
- 2017-06-28 TW TW106121535A patent/TWI672037B/zh active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080108333A1 (en) * | 2002-03-26 | 2008-05-08 | Zoove Corp. | System and method for mediating service invocation from a communication device |
WO2008028227A1 (en) * | 2006-09-04 | 2008-03-13 | Grant Andrew Stepa | Improvements in transmitting and relaying messages |
US20120066499A1 (en) * | 2009-05-26 | 2012-03-15 | Ali Valiuddin Y | System and method for performing a management operation |
TW201417598A (zh) * | 2012-07-13 | 2014-05-01 | Interdigital Patent Holdings | 安全性關聯特性 |
Also Published As
Publication number | Publication date |
---|---|
US20180019988A1 (en) | 2018-01-18 |
TW201803313A (zh) | 2018-01-16 |
EP3270562B1 (en) | 2020-09-23 |
US10362015B2 (en) | 2019-07-23 |
EP3270562A1 (en) | 2018-01-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109862041B (zh) | 一种数字身份认证方法、设备、装置、系统及存储介质 | |
Omar et al. | Identity management in IoT networks using blockchain and smart contracts | |
CN106357649B (zh) | 用户身份认证系统和方法 | |
JP6556706B2 (ja) | 暗号化鍵の管理、連携、および、配布のためのシステムと方法 | |
CN107528688A (zh) | 一种基于加密委托技术的区块链密钥保管及恢复方法、装置 | |
CN109787761B (zh) | 一种基于物理不可克隆函数的设备认证与密钥分发系统和方法 | |
US20150312331A1 (en) | System and Method for Group Collaboration Using a Distributed Network File Repository | |
CN112685790B (zh) | 一种区块链数据安全及隐私保护方法 | |
KR20180119201A (ko) | 인증 시스템을 위한 전자 장치 | |
CN109496414A (zh) | 识别数据将被复制到的网络节点 | |
TWI672037B (zh) | 用於識別網路中的設備的方法及裝置 | |
CN105721153A (zh) | 基于认证信息的密钥交换系统及方法 | |
CN108768635A (zh) | 一种适用于物联网系统的密码标识管理模型及方法 | |
JP2018516027A (ja) | サーバとクライアントの動作方法、サーバ、及びクライアント装置 | |
KR20230063640A (ko) | 속성 기반 암호를 이용한 분산형 데이터 관리 방법 및 시스템 | |
CN110910110A (zh) | 一种数据处理方法、装置及计算机存储介质 | |
US11297049B2 (en) | Linking a terminal into an interconnectable computer infrastructure | |
CN105825383A (zh) | 双方参与的随机数生成和验证方法 | |
CN110198538A (zh) | 一种获得设备标识的方法及装置 | |
US10033711B2 (en) | Directory service device, client device, key cloud system, method thereof, and program | |
Harn et al. | A novel design of membership authentication and group key establishment protocol | |
Alkuhlani et al. | Lightweight anonymity-preserving authentication and key agreement protocol for the internet of things environment | |
Choi et al. | Random seed generation for IoT key generation and key management system using blockchain | |
Banoun et al. | IoT-BDMS: securing IoT devices with hyperledger fabric blockchain | |
US11792023B2 (en) | Communication apparatus, communication system, and communication method |