專利名稱:用于網(wǎng)絡(luò)設(shè)備內(nèi)的本地團(tuán)體表示的安全分布系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)字網(wǎng)絡(luò),特別是當(dāng)其為動(dòng)態(tài)的、演進(jìn)的、異類的時(shí),并且當(dāng)其包含無(wú)線部分時(shí)。
背景技術(shù):
定義當(dāng)設(shè)備能夠移動(dòng)、能夠處于接通/斷開(kāi)、能夠達(dá)到或無(wú)法達(dá)到時(shí),網(wǎng)絡(luò)是動(dòng)態(tài)的。
當(dāng)新設(shè)備可以加入網(wǎng)絡(luò)、早先設(shè)備能夠確定地從網(wǎng)絡(luò)中消失或被盜取時(shí),網(wǎng)絡(luò)是演進(jìn)的。
當(dāng)并非所有設(shè)備能夠直接配對(duì)地通信時(shí),網(wǎng)絡(luò)是異類的。
團(tuán)體是由主要用戶所負(fù)責(zé)的設(shè)備構(gòu)成的網(wǎng)絡(luò)。主要用戶是人員組中的單個(gè)用戶或特定用戶。僅主要用戶能夠?qū)F(tuán)體設(shè)備進(jìn)行認(rèn)證,以便執(zhí)行系統(tǒng)所需的確認(rèn)操作。
遵循其特征屬性來(lái)定義團(tuán)體的邊界-團(tuán)體中的任何設(shè)備能夠驗(yàn)證其屬于該團(tuán)體;-團(tuán)體中的任何設(shè)備能夠驗(yàn)證是否另一設(shè)備也屬于該團(tuán)體或并不屬于該團(tuán)體;-僅主要用戶能夠執(zhí)行諸如插入設(shè)備或從團(tuán)體中移除設(shè)備等邊界操作。
現(xiàn)有技術(shù)大多數(shù)現(xiàn)有技術(shù)產(chǎn)生于公司廣域數(shù)字網(wǎng)領(lǐng)域、Ad-Hoc網(wǎng)絡(luò)(即,沒(méi)有預(yù)先存在的基礎(chǔ)設(shè)施的網(wǎng)絡(luò),通常為了人員組的特定用途而構(gòu)造-Ad-hoc網(wǎng)絡(luò)持續(xù)時(shí)間不會(huì)超過(guò)組持續(xù)時(shí)間)、數(shù)字家庭網(wǎng)絡(luò)、無(wú)線和移動(dòng)網(wǎng)絡(luò)。
第一團(tuán)體對(duì)應(yīng)于以下基本模型團(tuán)體邊界等于網(wǎng)絡(luò)邊界。如果設(shè)備可通過(guò)網(wǎng)絡(luò)達(dá)到,則其為團(tuán)體的成員。相反,無(wú)法通過(guò)網(wǎng)絡(luò)達(dá)到的任何設(shè)備不是團(tuán)體的成員。
這樣的團(tuán)體完全對(duì)應(yīng)于孤立的局域網(wǎng)(LAN),由于在需要連接非信任網(wǎng)絡(luò)(例如因特網(wǎng))之前,其在公司中使用。
在這樣的團(tuán)體中,邊界的安全性依賴于兩個(gè)主要因素-僅授權(quán)用戶能夠使用設(shè)備和網(wǎng)絡(luò);-非信任設(shè)備不能夠插入在網(wǎng)絡(luò)上。
兩種因素均由于主要用戶(被稱為網(wǎng)絡(luò)管理者)的作用和處于安全地位的設(shè)備和網(wǎng)絡(luò)的位置而增強(qiáng)。
這些團(tuán)體并不適合于以下情況網(wǎng)絡(luò)是移動(dòng)的,或者需要穿過(guò)非信任設(shè)備。管理任務(wù)也是非常苛求的,并且通常不能夠由典型家庭主要用戶訪問(wèn)。最后,安全模型并非是耐故障的,由于一旦其成員之一妥協(xié),則全部團(tuán)體會(huì)妥協(xié)。
當(dāng)出現(xiàn)了對(duì)非信任網(wǎng)絡(luò)上的通信的需要時(shí),前面的范例并不充分。邊界必須以不同的方式來(lái)物化,將會(huì)考慮穿過(guò)非信任網(wǎng)絡(luò)(例如,因特網(wǎng))的可能性。
這產(chǎn)生了諸如安全路由器和防火墻等邊界組件、以及專用尋址域的概念。這樣的組件通過(guò)允許和拒絕穿過(guò)邊界訪問(wèn)來(lái)增強(qiáng)正確邊界屬性。典型的結(jié)構(gòu)是允許外出連接和禁止入內(nèi)連接的二極管防火墻。
這樣的團(tuán)體的邊界安全主要依賴于邊界組件檢測(cè)外部連接是否已授權(quán)的能力。在網(wǎng)絡(luò)內(nèi),安全性依賴于相同的兩種因素(已授權(quán)訪問(wèn)和沒(méi)有非信任設(shè)備插入)。
這些團(tuán)體并不適合于網(wǎng)絡(luò)是非常演進(jìn)的情況或當(dāng)大量設(shè)備具有游牧行為時(shí)。
當(dāng)設(shè)備需要從外部網(wǎng)絡(luò)位置訪問(wèn)該團(tuán)體時(shí),穿過(guò)網(wǎng)絡(luò)團(tuán)體實(shí)際上以游牧行為開(kāi)始。防火墻與認(rèn)證服務(wù)器一起有助于增強(qiáng)邊界屬性。
諸如IPv6(因特網(wǎng)協(xié)議的新版本,如在“RFC 2460 InternetProtocol,Version 6(IPv6)Specification.S.Deering,R.Hinden.December 1998”)等協(xié)議和某些VPN(虛擬專用網(wǎng))技術(shù)包括移動(dòng)性和安全性功能,有助于確保團(tuán)體邊界。這些包括HIP(在“R.MOskowitz,Host Identity Payload And Protocol,draft-ietf-moskowitz-hip-05.txt,October 2001”中描述,可在以下地址處得到http//homebase.htt-consult.com/~hip/draft-moskowitz-hip-05.txt)和SUCV(在“C.Montenegro andC.Castelluccia.Statistically Unique and CryptographicallyVerifiable(SUCV)identifiers and addresses.In NDSS’02,F(xiàn)eb.2002”中描述)。然而,在這種情況下,復(fù)雜性不可由典型家庭用戶來(lái)管理。然而,這些技術(shù)依賴于設(shè)備同質(zhì)性(例如,每一個(gè)設(shè)備均具有有效IPv6地址)。
F.Stajano提出了更為一般性的方法Resurrecting Duckling(參見(jiàn)“F.Stajano The Resurrecting Ducking-What Next?LectureNotes in Computer Science,2133204-211,2001”和“F.Stajanoand R.Anderson.The Resurrecting duckingSecurity issues forad-hoc wireless networks.In 7thInternational Workshop onSecurity Protocols,pages 172-194,1999.”。然而,在該方法中,無(wú)論何時(shí)當(dāng)將新設(shè)備添加到團(tuán)體中時(shí),主要用戶必須對(duì)操作進(jìn)行驗(yàn)證。而且,設(shè)備從團(tuán)體中排除在一般情況下并非容易的操作。
當(dāng)管理團(tuán)體邊界和使團(tuán)體邊界安全時(shí)的主要問(wèn)題在于-至少相對(duì)于家庭用戶需要的復(fù)雜度和用戶友好度的缺乏。這對(duì)于防火墻(甚至是個(gè)人防火墻)而言大多數(shù)情況如此,如果要實(shí)現(xiàn)公平安全等級(jí),則仍較為復(fù)雜;-對(duì)異質(zhì)性的需要當(dāng)并非所有設(shè)備能夠配對(duì)地通信時(shí),大多數(shù)現(xiàn)有方法會(huì)失?。?當(dāng)設(shè)備妥協(xié)或被盜取時(shí)魯棒性的缺乏。更精確地,設(shè)備的在后撤消(排除)在大多數(shù)現(xiàn)有方法中并非簡(jiǎn)單的動(dòng)作。
發(fā)明內(nèi)容
為了克服以上所提到的問(wèn)題,本發(fā)明提出了一種網(wǎng)絡(luò)設(shè)備內(nèi)的本地團(tuán)體表示的安全和分布管理的系統(tǒng),其特征在于每一個(gè)網(wǎng)絡(luò)設(shè)備(x)包括可證明身份,或用于產(chǎn)生或獲得可證明身份的裝置;對(duì)象,能夠記憶與所述設(shè)備具有信任關(guān)系的團(tuán)體的設(shè)備的身份;以及用于建立用于信任關(guān)系同步的協(xié)議的裝置。
將參考附圖來(lái)描述本發(fā)明的各種特征和優(yōu)點(diǎn)及其優(yōu)選實(shí)施例,附圖意欲示出本發(fā)明,但并非對(duì)本發(fā)明范圍的限定,其中圖1示出了實(shí)現(xiàn)本發(fā)明的設(shè)備的部分;圖2示出了根據(jù)本發(fā)明創(chuàng)建的團(tuán)體的示例;圖3到7示出了在根據(jù)本發(fā)明的設(shè)備z中執(zhí)行的優(yōu)選協(xié)議的流程圖;圖8到12是示出了在實(shí)現(xiàn)圖3到7中所說(shuō)明的協(xié)議的設(shè)備之間的不同的可能情形的時(shí)間圖。
具體實(shí)施例方式
在以下描述中,將使用以下符號(hào)a、b、c、d、x、y、z、t、j設(shè)備變量名;idx設(shè)備x的可證明身份;Λ設(shè)備的團(tuán)體;MT(x)、UT(x)、DT(x)設(shè)備集合Sx(idy)設(shè)備y受設(shè)備x信任的證明。如果已知idx,則能夠?qū)ψC明進(jìn)行驗(yàn)證。已知idx,能夠驗(yàn)證Sx(idy)由x產(chǎn)生且能夠恢復(fù)idy。
本發(fā)明基于以下元素1、團(tuán)體的每一個(gè)設(shè)備x具有可證明身份idx,或者能夠產(chǎn)生或接收可證明身份。
2、團(tuán)體的每一個(gè)設(shè)備x記憶對(duì)象MT(x)、UT(x)和DT(x)中的團(tuán)體的設(shè)備之間的信任關(guān)系,MT(x)、UT(x)和DT(x)分別包含
-MT(x)x信任的設(shè)備和信任x的設(shè)備的集合;-UT(x)x信任的設(shè)備的集合-DT(x)x不信任的設(shè)備的集合。
3、團(tuán)體中的每一個(gè)設(shè)備還記憶從團(tuán)體的其他設(shè)備j接收到的、x受到j(luò)信任的證明Sj(idx)。
4、在團(tuán)體的每一個(gè)設(shè)備中實(shí)現(xiàn)用于信任關(guān)系同步的協(xié)議。
5、用戶能夠驗(yàn)證或無(wú)效一些設(shè)備之間的信任關(guān)系。
首先,本發(fā)明允許對(duì)團(tuán)體邊界的分布和安全增強(qiáng)。
其次,本發(fā)明使團(tuán)體設(shè)備和主要用戶之間的交互的數(shù)量和復(fù)雜度最小。
優(yōu)選地,對(duì)象MT(x)、UT(xx)和DT(x)由包含作為集合的一部分的設(shè)備j的可證明身份idj的列表來(lái)實(shí)現(xiàn)。
例如,如果設(shè)備x信任設(shè)備y和受到y(tǒng)的信任,則MT(x)將包含idy。MT(x)還可能會(huì)包含一些密碼材料,例如密鑰,允許團(tuán)體的設(shè)備安全地交換數(shù)據(jù)。在上述示例中,MT(x)可以包含在設(shè)備x和y之間共享的對(duì)稱密鑰Kxy。
在本發(fā)明的優(yōu)選實(shí)施例中,可以將證明Sj(idx)的列表存儲(chǔ)在MT(x)中,每一個(gè)證明Sj(idx)利用信任x和受x信任的設(shè)備的身份idj來(lái)存儲(chǔ)。在變體實(shí)施例中,證明Sj(idx)存儲(chǔ)在另一數(shù)據(jù)列表中。
按照相同的方式,如果設(shè)備x信任設(shè)備z而并不必須受z信任,則UT(x)將包含idz。UT(x)還可以包含一些密碼材料。
DT(x)還包含x不信任的設(shè)備j的身份idj。其還可能會(huì)包含諸如密碼材料等其他數(shù)據(jù)。
基本團(tuán)體操作為·團(tuán)體的初始化,表示為初始化初始化操作對(duì)應(yīng)于團(tuán)體的創(chuàng)建,通常具有單個(gè)設(shè)備;·將設(shè)備插入團(tuán)體中,表示為插入當(dāng)新設(shè)備進(jìn)入團(tuán)體時(shí),會(huì)出現(xiàn)該插入操作。該新設(shè)備應(yīng)該能夠?qū)F(tuán)體的其他設(shè)備識(shí)別為屬于該團(tuán)體,而團(tuán)體的其他成員應(yīng)該將該新設(shè)備識(shí)別為團(tuán)體的成員;·設(shè)備從團(tuán)體中的移除,表示為移除當(dāng)設(shè)備廢棄時(shí),將使用移除操作。該操作將從團(tuán)體中提取設(shè)備,但是將不會(huì)修改信任關(guān)系。特別地,在兩個(gè)設(shè)備y和z在假定兩個(gè)設(shè)備均與設(shè)備x具有信任關(guān)系時(shí)構(gòu)建信任關(guān)系的情況下,設(shè)備x已經(jīng)被移除的事實(shí)不會(huì)造成影響。
然后,該移除操作并不需要與其他團(tuán)體設(shè)備的任何信息傳輸。特別地,該操作在單個(gè)設(shè)備團(tuán)體的情況下是有效的。
移除設(shè)備x在于-破壞x身份(idx)和x證明該身份的能力;-復(fù)位所有信任關(guān)系,即,使所有集合MT(x)、UT(x)、DT(x)為空。
在移除之后,設(shè)備x不能夠廣播其身份(其已經(jīng)被破壞)。該設(shè)備不能夠參與團(tuán)體設(shè)備傳輸,這是由于團(tuán)體設(shè)備不會(huì)接受與未識(shí)別設(shè)備的傳輸;-設(shè)備從團(tuán)體中排除,表示為排除當(dāng)設(shè)備已經(jīng)丟失或被盜取時(shí),或者當(dāng)將設(shè)備從另一團(tuán)體轉(zhuǎn)售給另一用戶時(shí),將使用排除操作。在這種情況下,設(shè)備自身是不可用的。而且,在被排除的設(shè)備將變?yōu)椴豢赡艿男湃渭僭O(shè)的基礎(chǔ)上,能夠構(gòu)建新的信任關(guān)系。
為了排除設(shè)備x,用戶必須選擇已經(jīng)與x具有信任關(guān)系(即,其身份idx屬于UT(y)或MT(y))的另一可用設(shè)備y。用戶要求y將{idx}添加到其的不信任設(shè)備DT(y)的列表中。
同步操作將確保設(shè)備x不被信任的信息的擴(kuò)散。根據(jù)團(tuán)體的設(shè)備多少時(shí)候一次進(jìn)行交互,該信息可能在某些設(shè)備上擴(kuò)散得較快,而在所有設(shè)備上擴(kuò)散得較慢。
因此,根據(jù)本發(fā)明,能夠通過(guò)僅使用團(tuán)體的一個(gè)其他設(shè)備y來(lái)從團(tuán)體中排除設(shè)備x。
圖1示出了在用于實(shí)現(xiàn)本發(fā)明的設(shè)備中包含哪些元件。
設(shè)備x典型地包含CPU(中央處理單元)10、用戶接口11、存儲(chǔ)器12,所述存儲(chǔ)器12用于存儲(chǔ)從團(tuán)體的其他設(shè)備j接收到的x受到j(luò)信任的證明Sj(idx)的列表。該設(shè)備還包含與團(tuán)體的其他設(shè)備通信的至少一個(gè)網(wǎng)絡(luò)接口131、132。一個(gè)設(shè)備可以包含多個(gè)網(wǎng)絡(luò)接口以便允許團(tuán)體中的異類通信。
圖2示出了由多站點(diǎn)家庭網(wǎng)絡(luò)所表示的設(shè)備的團(tuán)體20的示例。例如,設(shè)備為個(gè)人計(jì)算機(jī)21、22、TV機(jī)23、存儲(chǔ)單元24、PDA(個(gè)人數(shù)字助理)25等。在圖2的情形下,假定設(shè)備之間的所有信任關(guān)系是彼此信任的。圖2示出了設(shè)備c將要利用用戶的驗(yàn)證,接受團(tuán)體中的新設(shè)備d的時(shí)刻。
在本發(fā)明的優(yōu)選實(shí)施例中,每一個(gè)設(shè)備包含負(fù)責(zé)其安全性的本地代理。代理的首要任務(wù)是管理其自身的可證明身份??勺C明身份是具有能夠由任何人檢查同時(shí)非常難以冒充的身份。例如,公用/專用密鑰對(duì)的公共密鑰是可證明身份假裝由其公共密鑰識(shí)別的代理能夠通過(guò)利用其專用密鑰對(duì)質(zhì)詢進(jìn)行簽名來(lái)證明其。SUCV是為基于可證明身份的思想的IP網(wǎng)絡(luò)而設(shè)計(jì)的另一機(jī)制。
本地代理負(fù)責(zé)產(chǎn)生、第三者保存和認(rèn)可將用來(lái)在團(tuán)體的其他設(shè)備之前對(duì)其自身進(jìn)行驗(yàn)證的其可證明身份。
代理還負(fù)責(zé)對(duì)設(shè)備進(jìn)行授權(quán)的用戶進(jìn)行本地認(rèn)證以確保與安全相關(guān)的請(qǐng)求是合法的。該本地認(rèn)證完全獨(dú)立于其自身的可證明身份,以及獨(dú)立于在設(shè)備之間所進(jìn)行的鍵控過(guò)程(keying process)。結(jié)果,每一個(gè)設(shè)備可以具有其自身的最適合認(rèn)證過(guò)程(例如,通過(guò)在設(shè)備上輸入PIN或通過(guò)生物統(tǒng)計(jì)學(xué))。
最后,代理負(fù)責(zé)團(tuán)體管理。其處理并保持存儲(chǔ)在上述對(duì)象MT、UT和DT中的團(tuán)體成員的其自身列表。根據(jù)所選的實(shí)現(xiàn),這些對(duì)象可以存儲(chǔ)在單個(gè)列表或存儲(chǔ)在不同列表中。該列表或這些列表描述了代理所具有的其團(tuán)體的本地知識(shí)。通過(guò)安全地更新對(duì)象MT、UT和DT的內(nèi)容,代理管理其團(tuán)體。
能夠以兩種不同的方式對(duì)對(duì)象MT、UT和DT進(jìn)行更新代理信任其擁有者(即,擁有設(shè)備的用戶)以確定哪一個(gè)設(shè)備能夠進(jìn)入其團(tuán)體。其還信任其已知為屬于其團(tuán)體的代理(即,在其MT或UT中具有其可證明身份的代理),以便向其介紹該團(tuán)體的新成員。屬于相同團(tuán)體的代理使其信息彼此以安全的方式同步,以使其各個(gè)對(duì)象MT、UT和DT保持為最新。
能夠以多種不同的方式來(lái)物理地實(shí)現(xiàn)該代理。
其可以是在設(shè)備中下載或嵌入的軟件。其還可以是在插入在設(shè)備中的智能卡中運(yùn)行的軟件。還可以通過(guò)包含軟件的芯片或芯片組來(lái)實(shí)現(xiàn)該代理。
現(xiàn)在將更精確地描述在根據(jù)本發(fā)明的設(shè)備z中所實(shí)現(xiàn)的協(xié)議。參考圖3到7對(duì)該協(xié)議進(jìn)行描述。
除了先前所述的符號(hào)之外,在這些圖中使用了以下符號(hào) 是否存在設(shè)備y,從而針對(duì)y,滿足條件P 起始點(diǎn) 序列指令 超時(shí)指令(如果未指定,則返回步驟3) 二進(jìn)制條件 端點(diǎn)圖3中的步驟1是當(dāng)主要用戶僅得到?jīng)]有身份idz的設(shè)備z時(shí)所使用的起始點(diǎn)。
步驟1之后跟隨著步驟2,在步驟2期間,執(zhí)行設(shè)備z的初始化的所有所需操作。這包括軟件代碼插入(對(duì)于芯片實(shí)現(xiàn)是不需要的)、密碼密鑰材料的創(chuàng)建、設(shè)備z的可證明身份idz的創(chuàng)建、將列表MT(z)、UT(z)和DT(z)建立為空。應(yīng)該注意,一個(gè)初始化操作可能必須需要主要用戶的干預(yù)。步驟2之后跟隨著步驟100。
該協(xié)議還能夠以步驟3開(kāi)始,步驟3是針對(duì)已經(jīng)初始化的設(shè)備z的正常起始點(diǎn)。步驟3之后也跟隨著步驟100。
步驟100包含設(shè)備z檢測(cè)另一設(shè)備t是否屬于相同的團(tuán)體Λ所需的所有操作和條件。在子步驟101到104(圖4中)給出了這些操作的細(xì)節(jié)。
在步驟101,設(shè)備z通過(guò)任意可用方式(包括有線或無(wú)線協(xié)議)將信息發(fā)送到可能屬于相同網(wǎng)絡(luò)的所有其他設(shè)備。該廣播信息是idz和MT(z)。
步驟101之后自動(dòng)跟隨著步驟102,在步驟102期間,設(shè)備z等待并監(jiān)聽(tīng)所有其網(wǎng)絡(luò)接口,直到其從設(shè)備t獲得了身份idt和對(duì)象MT(t)為止(情況1),或者直到超時(shí)期滿為止(情況2)。在家庭網(wǎng)絡(luò)的情況下的典型超時(shí)持續(xù)時(shí)間是一分鐘或兩分鐘。如果情況1出現(xiàn),則該協(xié)議繼續(xù)步驟103,否則(情況2),其返回到步驟101。
如果已經(jīng)從設(shè)備t接收到信息idt和MT(t),則激活步驟103。在該步驟期間,設(shè)備z驗(yàn)證其是否不信任t。如果是這樣,則該過(guò)程停止,并且以步驟3再次開(kāi)始,否則,其繼續(xù)步驟104。
在步驟104,即,如果設(shè)備z并非不信任設(shè)備t,則設(shè)備z驗(yàn)證身份idt是否屬于MT(z),并且其身份idz是否屬于MT(t)。如果這兩個(gè)驗(yàn)證均為成功的,則該過(guò)程繼續(xù)步驟400(圖3中),否則,其繼續(xù)步驟200。
如果設(shè)備z已經(jīng)檢測(cè)到設(shè)備t并不(已經(jīng))屬于相同的團(tuán)體,則激活步驟200。該步驟包含設(shè)備z檢測(cè)其是否能夠進(jìn)入與設(shè)備t的團(tuán)體相同的團(tuán)體所需的所有操作和條件。在子步驟201到209(圖5中)中給出了這些操作的細(xì)節(jié)。
在步驟201,設(shè)備z驗(yàn)證是否存在設(shè)備x,從而使idx屬于列表MT(z)和MT(t)的交集。如果這樣,則接下來(lái)的步驟將為202,否則其將為204。
在步驟202,設(shè)備z向設(shè)備t詢問(wèn)Sx(idt),即,設(shè)備t受設(shè)備x信任的證明。在設(shè)備z在典型持續(xù)時(shí)間1分鐘的超時(shí)期滿之前從設(shè)備t中接收到Sx(idt),則該過(guò)程繼續(xù)步驟203。否則,如果在設(shè)備z接收到Sx(idt)之前超時(shí)期滿,則該過(guò)程停止,并且在步驟3處再次開(kāi)始(圖3)。
在步驟203,設(shè)備z從設(shè)備t接收Sx(idt)并對(duì)其進(jìn)行驗(yàn)證。此時(shí),設(shè)備z知道idx(包含在MT(z))中,并且其已經(jīng)預(yù)先接收到idt(在步驟102)。因此,該驗(yàn)證在于使用基于Sx(idt)的設(shè)備x公共身份idx,以便恢復(fù)idt且將其與預(yù)先接收到的idt進(jìn)行比較。如果這兩個(gè)身份idt相匹配,則驗(yàn)證是成功的,且下一激活步驟將為300(圖3)。否則,該驗(yàn)證不是成功的,且該過(guò)程停止并在步驟3處再次開(kāi)始。
如果并不存在任何設(shè)備x從而使idx屬于列表MT(z)和MT(t)的交集,則激活步驟204。在該步驟期間,設(shè)備z驗(yàn)證是否存在設(shè)備x從而使idx屬于列表UT(z)和MT(t)的交集。如果是這樣,則下一激活步驟將為205,否則,其將為209。
在步驟205,設(shè)備z向設(shè)備t詢問(wèn)Sx(idt),并且如果在典型持續(xù)時(shí)間1分鐘的超時(shí)期滿之前其接收到Sx(idt),則下一激活步驟將為206。否則,如果在設(shè)備z接收到Sx(idt)之前超時(shí)期滿,則該過(guò)程停止,并且在步驟3處再次開(kāi)始(圖3)。
步驟206類似于步驟203,并且不將另外描述。如果步驟206的驗(yàn)證成功,則該過(guò)程繼續(xù)步驟207,否則,其停止并在步驟3處再次開(kāi)始(圖3)。
在步驟207(如果設(shè)備z已經(jīng)成功驗(yàn)證了Sx(idt),則激活),設(shè)備z向設(shè)備t詢問(wèn)UT(t)(要在典型持續(xù)時(shí)間1分鐘的超時(shí)內(nèi)接收),該過(guò)程繼續(xù)步驟208。如果在接收到UT(t)之前超時(shí)期滿,則該過(guò)程停止并在步驟3處再次開(kāi)始(圖3)。
在步驟208,設(shè)備z驗(yàn)證是否存在設(shè)備y從而使idy屬于UT(z)和MT(z)的交集。如果是這樣,則該過(guò)程繼續(xù)步驟300(圖3),否則,其停止且在步驟3處再次開(kāi)始。
如果不存在任何設(shè)備x從而使idx屬于UT(z)和MT(z)的交集,則在步驟204之后激活步驟209。在這種情況下,請(qǐng)求主要用戶驗(yàn)證,以轉(zhuǎn)到下一步驟300。該主要用戶驗(yàn)證應(yīng)該出現(xiàn)在典型持續(xù)時(shí)間1分鐘的超時(shí)內(nèi)。如果超時(shí)期滿,則該過(guò)程停止且在步驟3處再次開(kāi)始(圖3)。
應(yīng)該注意,在步驟202、205和209處所使用的超時(shí)具有1分鐘的典型持續(xù)時(shí)間,但是用戶可以配置該持續(xù)時(shí)間。
當(dāng)設(shè)備z具有其能夠接受在其團(tuán)體Λ中的設(shè)備t的證明時(shí),激活圖3中的步驟300。該步驟包含設(shè)備z接受其團(tuán)體中的設(shè)備t所需的所有操作和條件。在圖6的子步驟301到303中給出了這些操作的細(xì)節(jié)。
在步驟301,列表UT(z)和MT(z)如下更新將idt移除到UT(z)并插入在MT(z)中。該步驟之后跟隨著步驟302。
在步驟302,設(shè)備z發(fā)送設(shè)備t受到設(shè)備z到t的信任的證明Sz(idt)。然后,在步驟303,設(shè)備z等待來(lái)自t的St(idz),并且存儲(chǔ)其以便稍后使用(用于向其他設(shè)備證明z受到t的信任)。然后,如果在接收到St(idz)之前沒(méi)有典型持續(xù)時(shí)間1分鐘的超時(shí)期滿,該過(guò)程繼續(xù)步驟400(圖3)。在超時(shí)期滿的情況下,該過(guò)程停止且在步驟3處再次開(kāi)始。
在圖4的步驟104之后(當(dāng)設(shè)備z和t已經(jīng)屬于相同的團(tuán)體時(shí))或者在圖6的步驟303之后(當(dāng)設(shè)備z具有其能夠接受在其團(tuán)體中的設(shè)備z的證明時(shí)),自動(dòng)地激活步驟400(圖3)。該步驟400包含設(shè)備z和設(shè)備t共享并更新團(tuán)體信息所需的所有操作和條件。在圖7的子步驟401到402中給出了這些操作的細(xì)節(jié)。
在步驟401,列表DT(z)和UT(z)如下更新將DT(t)的元素添加到DT(z)中,將MT(t)的元素添加到UT(z)中,將DT(t)的元素移除到UT(z)。該步驟之后跟隨著步驟402。
在步驟402,設(shè)備z向設(shè)備t提供其所擁有的所有團(tuán)體信息。然后,停止該過(guò)程且在步驟3處再次開(kāi)始。
圖8到12示出了團(tuán)體的演進(jìn)的示例。首先,在其團(tuán)體中僅存在單獨(dú)的一個(gè)設(shè)備a。然后,用戶將插入設(shè)備b,然后是設(shè)備d、再然后是設(shè)備c(按照該次序)。更精確地·圖8示出了當(dāng)設(shè)備b進(jìn)入設(shè)備a的團(tuán)體的操作;·圖9示出了當(dāng)設(shè)備d進(jìn)入設(shè)備a的團(tuán)體的操作;·圖10示出了當(dāng)設(shè)備c進(jìn)入設(shè)備b的團(tuán)體(也是設(shè)備a的團(tuán)體)的操作;·圖11示出了當(dāng)設(shè)備c和d在沒(méi)有任何用戶交互的情況下建立信任關(guān)系時(shí)的操作(使用圖5中的步驟204到208)。
·圖12示出了當(dāng)設(shè)備a和c在沒(méi)有任何用戶交互的情況下建立信任關(guān)系時(shí)的操作(使用圖5中的步驟201到203)。
本發(fā)明表現(xiàn)出以下優(yōu)點(diǎn)。
本發(fā)明適用于高度動(dòng)態(tài)、演進(jìn)和異類的團(tuán)體。現(xiàn)有技術(shù)的解決方案并不適用于這樣的情況,或者對(duì)于主要用戶而言非??燎?,該主要用戶應(yīng)該是網(wǎng)絡(luò)管理者,而非諸如家庭用戶。
由于較低的管理需要,本發(fā)明對(duì)于大型網(wǎng)絡(luò)而言非常方便。
不需要將會(huì)在插入、移除或排除期間發(fā)揮特定作用的諸如控制器等中央設(shè)備。這對(duì)于一些設(shè)備在網(wǎng)絡(luò)中不可用而言,使得本發(fā)明更為魯棒。在電子芯片內(nèi)實(shí)現(xiàn)的情況下,不需要特定的控制器版本芯片全是無(wú)差別的。
本發(fā)明允許對(duì)與團(tuán)體相關(guān)的任何信息的安全分布。這些包括但并不局限于配置信息、時(shí)間和時(shí)標(biāo)信息、第三方協(xié)議密鑰、第三方移動(dòng)代理、抗病毒簽名文件……。
本發(fā)明應(yīng)用于各種技術(shù),這是由于在大多數(shù)類型的聯(lián)網(wǎng)設(shè)備中能夠插入代理。
本發(fā)明應(yīng)用于先前所構(gòu)造的團(tuán)體、以及新構(gòu)造的團(tuán)體如果其支持足夠的計(jì)算和存儲(chǔ)能力,可以將代理插入在早先設(shè)備中。
本發(fā)明允許對(duì)丟失、被盜取或妥協(xié)設(shè)備的簡(jiǎn)單排除。現(xiàn)有技術(shù)的解決方案的其他狀態(tài)并未提供排除不再能夠訪問(wèn)的設(shè)備的較為容易的裝置。
本發(fā)明確保了團(tuán)體設(shè)備之間正確的信息同步和擴(kuò)散。這一點(diǎn)允許第三方密碼材料的傳輸,以便由其他協(xié)議或系統(tǒng)使用。作為非限定性的示例列表,本發(fā)明能夠傳輸-用作密鑰的共享秘密;-將通過(guò)可能不安全的協(xié)議(例如FTP)傳輸?shù)奈募拿艽a摘要。這些文件可以是軟件補(bǔ)丁、病毒列表、自動(dòng)安全進(jìn)程……;-新版本的軟件代理的密碼簽名(如本發(fā)明所使用的)。
權(quán)利要求
1.一種網(wǎng)絡(luò)設(shè)備內(nèi)的本地團(tuán)體表示的安全和分布管理的系統(tǒng),其特征在于每一個(gè)網(wǎng)絡(luò)設(shè)備(x)包括可證明身份(idx)或用于產(chǎn)生或獲得可證明身份的裝置;對(duì)象(MT(x),UT(x),DT(x)),能夠記憶與所述設(shè)備具有信任關(guān)系的團(tuán)體的設(shè)備的身份;以及用于建立用于信任關(guān)系同步的協(xié)議的裝置。
2.根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于每一個(gè)網(wǎng)絡(luò)設(shè)備(x)包括一個(gè)第一對(duì)象(MT(x)),能夠記憶受所述設(shè)備(x)信任和信任所述設(shè)備(x)的設(shè)備的身份;一個(gè)第二對(duì)象(UT(x)),能夠記憶受所述設(shè)備(x)信任的設(shè)備的身份;以及一個(gè)第三對(duì)象(DT(x)),能夠記憶所述設(shè)備(x)不信任的設(shè)備的身份。
3.根據(jù)權(quán)利要求2所述的系統(tǒng),其特征在于每一個(gè)網(wǎng)絡(luò)設(shè)備(x)還設(shè)計(jì)來(lái)記憶從團(tuán)體的其他設(shè)備(j)接收到的、所述設(shè)備(x)受其他設(shè)備(j)信任的證明(Sj(idx))。
4.根據(jù)權(quán)利要求3所述的系統(tǒng),其特征在于將從團(tuán)體的其他設(shè)備接收到的所述證明(Sj(idx))存儲(chǔ)在第一對(duì)象(MT(x))中。
5.根據(jù)權(quán)利要求2到4中任一個(gè)所述的系統(tǒng),其特征在于如果要排除的所述設(shè)備的身份(idy)包含在所述網(wǎng)絡(luò)設(shè)備(x)的第一(MT(x))或第二對(duì)象(UT(x))中,則每一個(gè)網(wǎng)絡(luò)設(shè)備(x)還能夠執(zhí)行排除所述團(tuán)體的另一設(shè)備(y)的操作,所述排除操作在于從所述第一(MT(x))或第二對(duì)象(UT(x))中移除要排除的所述設(shè)備的身份(idy),并且將所述身份(idy)插入到所述網(wǎng)絡(luò)設(shè)備的所述第三對(duì)象(DT(x))中。
全文摘要
該系統(tǒng)的每一個(gè)網(wǎng)絡(luò)設(shè)備(x)通過(guò)包含以下元素,具有對(duì)其所屬的團(tuán)體的本地表示可證明身份(id
文檔編號(hào)H04L29/06GK1771711SQ200480009501
公開(kāi)日2006年5月10日 申請(qǐng)日期2004年4月13日 優(yōu)先權(quán)日2003年4月11日
發(fā)明者尼古拉斯·普里讓, 奧利維爾·赫恩, 讓-皮埃爾·安德羅克斯, 克里斯托夫·比當(dāng) 申請(qǐng)人:湯姆森許可貿(mào)易公司