CN101779411A - 网络中设备的识别和认证 - Google Patents
网络中设备的识别和认证 Download PDFInfo
- Publication number
- CN101779411A CN101779411A CN200880025659A CN200880025659A CN101779411A CN 101779411 A CN101779411 A CN 101779411A CN 200880025659 A CN200880025659 A CN 200880025659A CN 200880025659 A CN200880025659 A CN 200880025659A CN 101779411 A CN101779411 A CN 101779411A
- Authority
- CN
- China
- Prior art keywords
- equipment
- key
- access
- network
- netwoks
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 35
- 238000004891 communication Methods 0.000 claims description 13
- 230000008929 regeneration Effects 0.000 claims description 5
- 238000011069 regeneration method Methods 0.000 claims description 5
- 230000001172 regenerating effect Effects 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 description 8
- 230000027455 binding Effects 0.000 description 7
- 238000009739 binding Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000000875 corresponding effect Effects 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种用于向网络中的设备分配网络访问密钥的方法,包括以下步骤:生成网络访问密钥;以及针对网络访问密钥生成多个不同密钥分量。设备要求预定数量的不同密钥分量以生成网络访问密钥。向网络中的设备分配密钥分量,使得至少一个设备接收多个不同密钥分量。
Description
技术领域
本发明涉及网络中设备的识别和认证,具体地,涉及基于阈值加密方案对个人局域网中设备的识别和认证。
背景技术
无线消费电子设备变得更加普遍,并且为了确保形成网络的设备之间的通信是安全的以及确保未授权或不期望的设备不能够访问该网络或窃听通信,它变得越来越重要。这种设备包括相对复杂的设备,如机顶盒、个人数字助理(PDA)、膝上型电脑、电话、相机等,以及还包括更加简单的设备,诸如密钥卡、遥控器等。
设备的安全要求通常不直接与它们的复杂性相关,但是它们的复杂性可以影响可在网络中实现的安全协议的类型或特性。被盗的遥控器将会是有害的,而泄密的密钥卡可以允许入侵者进入房屋或汽车。
这种设备的用户想要简单的方式来将所有它们的设备彼此连接或相关联,使得它们可以安全地交互,但是不能留下会被不是网络一部分的其他设备使用的安全漏洞。然而,许多用户不想必需考虑安全性或其配置。此外,设备的多样性在于存在许多具有低计算能力和限制性用户接口(例如,密钥卡或无线耳机的情况下的单个按钮)的非常简单的设备,这对可能的安全方法提出了约束。
用于在无线网络中建立安全性的重大问题包括网络中设备的识别以及它们的身份和相关访问等级的认证。这些问题的成功解决方法将会允许新设备容易地与用户网络相关,同时确保网络相对于冒充设备是安全的。
下面描述用于实现这些目的的四种已知协议。
第一种协议使用简单的捆绑(binding),其中,两个设备互相直接相关或成对(例如,蓝牙)。该方法的一个问题在于随着网络中设备数量的增加,成对设备的数量呈指数增加,并且如果单个设备被盗(例如,丢失或被偷窃),则难以在不重置网络中所有其他设备的情况下废除其对网络的访问权。
第二种协议使用与固有ID相关联的凭证(例如,在网卡中)。该方法要求使用诸如公共密钥架构(PKI)的架构通过更高的认证权限来授权个人认证权限。然而,使用公共密钥认证计算被加强(这会显著影响便携设备的电池寿命),并且要求复杂的管理架构。如果设备变得有害,同样难以废除访问权。
第三种协议使用在设备之一上运行的安全管理器应用程序,并具有包含用于网络中所有设备的所有安全详情的看门“库”。新设备与安全管理器(以及存储的适当安全详情)相关联,并且网络内的各个设备可以接触安全管理器以在需要时检查相关证明适当。该方法的难点在于必需为网络保持与安全管理器的接触以安全地进行操作,并且网络容易遭受安全管理器的丢失或被盗。
第四种协议使用阈值技术(或者已知为秘密共享),其中,设备以合作方式操作来确保安全性。阈值方案的基本原理由麻省理工学院的AdiShamir提出,发表于1979年11月的美国计算机协会通讯的论文“how toshare a secret”(卷22,第612-613页)。随后发表了多个实际阈值加密方案(例如,参见Yvo Desmedt的“some rec ent research aspects”,ISW97)。在Al Shahri、Smith和Irvine的“A secure network access protocol(SNAP)”(ISCC2003,2003年6月)中提出了针对具有多接入点的广域网的网络访问方案。已经在Schwenk的美国5,903,649中描述了用于根据公共秘密提供多重共享的方法(例如,用在数字权限管理方案中)。
然而,传统的阈值技术对于访问控制相对不够灵活,并且要求大量的合作设备。
目前的系统主要使用简单的捆绑,尽管如上所述,这随着设备数量的增加而变得不切实际。
因此,需要允许设备在网络中被识别和认证的协议。
发明内容
根据本发明的第一方面,提供了一种向网络中的设备分配网络访问密钥的方法,该方法包括:生成网络访问密钥;针对网络访问密钥生成多个不同密钥分量(distinct key share),其中,设备要求预定数量的不同密钥分量以生成网络访问密钥;以及向网络中的设备分配密钥分量,使得至少一个设备接收多个不同密钥分量。
根据本发明的第二方面,提供了一种操作设备以访问设备的网络的方法,网络中的设备使用网络访问密钥,网络中的设备具有各自的一个密钥分量或多个密钥分量,其中,要求预定数量的不同密钥分量以生成网络访问密钥;该方法包括:向网络中的另一设备发送密钥分量请求;从网络中的设备接收各自的一个密钥分量或多个密钥分量;如果设备具有预定数量的不同密钥分量,则根据密钥分量生成网络访问密钥;以及使用所生成的网络访问密钥来访问网络。
根据本发明的第三方面,提供了一种安全管理器部件,包括:用于生成网络访问密钥的装置;用于针对网络访问密钥生成多个不同密钥分量的装置,其中,设备要求预定数量的不同密钥分量以生成网络访问密钥;以及向网络中的设备分配密钥分量使得至少一个设备接收多个不同密钥分量的装置。
根据本发明的第四方面,提供了一种通信设备,用在包括多个设备的通信网络中,网络中的设备使用网络访问密钥来访问通信网络,网络中的设备具有各自的一个密钥分量或多个密钥分量,其中,要求预定数量的不同密钥分量以生成网络访问密钥;该通信设备包括:用于向网络中的另一设备发送密钥分量请求的装置;用于从网络中的设备接收各自的一个密钥分量或多个密钥分量的装置;用于如果设备具有预定数量的不同密钥分量,则根据密钥分量生成网络访问密钥的装置;以及用于使用所生成的网络访问密钥来访问网络的装置。
附图说明
现在参照附图仅通过实例来描述本发明,其中:
图1示出了根据本发明的无线个人局域网;
图2(a)和图2(b)示出了根据本发明的方法;以及
图3是示出根据本发明的又一种方法的流程图。
具体实施方式
现在,参照根据ECMA-368规范的用在使用超宽带的个人无线局域网中的设备的识别和认证来描述本发明。然而,应该理解,本发明可以容易地应用于用在许多其他类型的网络中的设备。
本质上,本发明是上述安全管理器应用和阈值技术的组合或混合。
图1示出了根据本发明的无线个人局域网2。无线个人局域网2包括多个设备4(分别标为设备A、设备B、设备C、设备D和设备E),每一个都具有各自的用于向其他设备4发送数据和从其他设备4接收数据的天线。每个设备4都可以是可在个人局域网中找到的任何类型的设备,包括但不限于家用计算机、膝上型电脑、电视、移动电话、个人数字助理、打印机、遥控器或密钥卡。因此,任何设备4都可以使具有低复杂度和功能性的设备或具有高复杂度和功能性的设备。
在无线个人局域网2中,至少一个设备4包括或运行安全管理器部件6,其可以以硬件和/或软件来实现。在该所示实施例中,设备A运行安全管理器部件6。例如,设备A可以是相对复杂的设备,诸如家用计算机或膝上型电脑。可选地,设备A可以是不容易移动的大设备或者物理上被确保处于特定位置的设备(即,不必须复杂但它们的物理属性安全的设备)。设备A还可以是为了运行安全管理器部件6的目的而专门设计的专用控制设备。
安全管理器部件6负责(使用阈值技术)生成和分配网络访问密钥,该网络访问密钥被每个设备4用于得到并保持访问网络2。
在图1中示出了又一设备。设备7(标为设备F)不是无线个人局域网2的一部分但想要与其结合。
在图2中示出了安全管理器部件6在建立安全协议中的部分操作。在途2(a)的步骤101中,安全管理器部件6生成网络访问密钥8。在步骤103中,安全管理器部件6针对网络访问密钥8生成多个密钥分量10。
使用阈值技术生成网络访问密钥8和多个密钥分量10。这意味着可通过一个设备根据预定数量的不同密钥分量10再生网络访问密钥8,但是如果具有少于预定数量的不同密钥分量10,则设备不能确定关于网络访问密钥8的信息。可以使用任何适当的阈值技术。
在以下实例中,为网络访问密钥8生成的不同密钥分量10的总数为N,其中,N为整数,并且设备要求再生网络访问密钥8的不同密钥分量10的数量为k,其中,k为整数且0≤k≤N。因此,如果具有k-1或更少的密钥分量10,则不能通过设备得到关于网络访问密钥8的信息。
一旦生成密钥分量10,则向安全管理器部件6信任的设备4分配密钥分量10(步骤105)。以下,无线个人局域网2中的设备4是被认为是被信任设备的设备(即,它们的身份被验证)。设备4在存储器(未示出)中存储一个密钥分量或多个分量10。根据本发明的一个方面,被信任设备4可以提供有多于一个的不同密钥分量10。
根据本发明的一个实施例,向被信任设备4提供的密钥分量10的数量取决于给予设备4的信任等级。例如,信任等级可以基于设备4的复杂性和/或功能性。可选地,信任等级可以基于一些其他属性,例如,即使具有相对较低的复杂性,SIM卡也可被分配高信任等级。
应该注意,当安全管理器部件6首先被激活时(或许当网络2初始建立时)或者需要改变网络访问密钥8时(可以周期性地发生,例如,在网络2中设备的丢失或被盗之后,或者通过第三方设备破坏网络完整性之后),可以采用图2(a)所示的方法。当设备丢失或者从网络中移除时,可以改变网络访问密钥8。还应该注意,网络访问密钥8的周期性改变可以以其他预定周期进行,而不管是否发生任何其他事件。
如果认为设备7是被信任设备,安全管理器部件6还可以向设备F提供密钥分量或多个分量10。设备7可以被安全管理器部件6信任,即使其还不是无线个人局域网2的一部分。在一个实施例中,安全管理器部件6可以向设备7提供k-1个不同密钥分量10。
将设备确定为信任的方式可以根据设备或网络的类型来设置,或者根据网络的用户或管理员的优先级来设置。可以使用任何适当的认证方法。例如,在简单设备的情况下,则响应于用户按下键,从设备发送的信号足以获得“被信任”状态,其中假设安全管理器部件6期望这种信号。可选地,对于更加复杂的设备,密码或生物标识符可以输入到设备中并传输至运行安全管理器部件6的设备4,用于与存储在其中的对应信息进行比较。如果信息匹配,或者在可接受的范围内,则设备7可以被指定为被信任设备。
在一个实施例中,一旦设备被指定为被信任设备,则安全管理器部件6将设备的身份添加到“安全”列表中,然后将其提供给所有被信任设备。安全列表包括所有被信任设备(包括其上运行安全管理器部件6的设备4)的身份,并允许被信任设备彼此认可,而不需要对它们执行大范围的识别或认证过程。以这种方式,新设备7的识别和认证可以留给很可能在相对复杂设备4上执行的安全管理器部件6来处理。因此,对于网络2中的其他设备4,使本发明协议的计算要求被最小化。
图3示出了在从安全管理器部件6接收一个密钥分量或多个分量10之后操作设备的方法。在步骤111中,设备(在其接收一个密钥分量或多个密钥分量10之后,通过安全管理器部件6改变网络访问密钥8,可以是设备A至E中的任何一个,或者在确认为被信任设备之后接收一个密钥分量或多个密钥分量10之后,可以是设备F)要求另一设备向该设备传输其所存储的一个密钥分量或多个密钥分量10。
在步骤113中,设备确定其是否具有k个或更多不同密钥分量10可用。密钥分量10可以是从安全管理器部件6以及一个或多个被信任设备4接收的密钥分量的组合,或者是仅从被信任设备4接收的密钥分量10。
如果设备不具有k个密钥分量10,则该方法返回到步骤111,其向另一设备4发送密钥分量10的请求。如果设备具有k个或更多密钥分量10,则该方法前进到步骤115,设备根据密钥分量10生成网络访问密钥8。以对于用于首先生成密钥分量10的阈值技术适当的方式来执行该再生。
一旦设备生成网络访问密钥8,设备就可以使用密钥8来访问网络2(步骤117)。
应该注意,在一些实施例中,设备不需要为了加入网络而必须被安全管理器部件6所信任。事实上,设备不需要在执行图3所示的方法之前从安全管理器部件接收密钥分量10。然而,在这种情况下,设备7需要与网络2中的至少一个其他设备4建立信任,以使设备4将其一个密钥分量或多个分量10传输至设备7。例如,可以通过在步骤111中传输请求的设备来建立这种信任,并且在接收到请求时按压“发送”按钮。可选地,可以对安全管理器部件6如上所述地执行信任建立。在一些实施例中,设备7需要与从中要求密钥分量10的每个设备4建立信任。
因此,根据存储在设备4中的密钥分量10的数量取决于设备4的复杂性和/或功能性的优选实施例中,不需要新设备7接触k个设备(并由此执行k个认证过程),以收集足够的密钥分量10来再生网络访问密钥8。更加复杂和/或具有更高功能性的设备4能够实施更严格的识别和认证过程(例如,包括密码和生物信息),并且与更简单和/或具有较低功能性的设备相比,可以利用更多的密钥分量10被信任。设备4具有的密钥分量10的数量还可以取决于设备丢失或被盗的可能性。
因此,在安全管理器部件6向设备7提供k-1个不同密钥分量10的实施例中,仅需要设备7从一个其他设备4接收密钥分量10。
因此,向不同设备分配的不同数量的分量允许在集中和分散访问之间进行折中。由于可以获得更加复杂(和更加安全)的捆绑或这种设备之间的成对,所以更加复杂或具有增加的功能性的设备(处理和/或用户接口)能够分配更多分量。设备仅能够传递其自身可以访问的尽可能多的分量,意味着如果其被盗或丢失,其不会被第三方使用而受到网络安全性的更大损害。
此外,在本发明的又一实施例中,安全管理器部件6可以确定向网络2提供不同访问等级的网络访问密钥8。优选地,向网络2提供更高访问等级的密钥8要求增加密钥分量10的数量来进行生成。因此,对网络2非常有限的访问可以允许设备仅具有单个分量,例如对等通信。这使得用户购买一个设备(例如,无线耳机)并以其现有设备中的一种的方式进行使用,而不需要将其与安全管理器部件捆绑或成对,这是分配方法的主要优点。
如上所述,网络访问密钥8可以周期性地再生,并且所得到的密钥分量10被发送至个人局域网2中的连接设备4。注册但没有连接的设备(即,安全管理器应用6知道它们,但是目前没有连接至网络2)可以在它们重新连接时将密钥分量10传给它们。
如果设备4被盗或丢失,或者从网络中有意移除,则其可以撤销注册,并且生成新的网络访问密钥8。可以以正常的方式分配新密钥分量10,但是当被盗设备已经被撤销注册时,如果其重新引入网络,则必须与其他设备4重新捆绑。只要被撤销注册的设备不能够从不知晓撤销注册状态的未连接设备获得k个不同密钥分量,其就不能够访问网络。这是安全管理器部件6不能够向新设备7分配所有k个所要求密钥分量10的原因。
在网络2中设备的数量、要求形成网络访问密钥8的密钥分量10的数量、新设备与网络2的捆绑或成对的难度以及撤回被盗设备的凭证的难度之间存在折中。通常,要求用于给定网络大小的密钥分量10越多,越难以与设备4捆绑或成对,但越容易撤回设备凭证。
因此,提供了识别和认证网络中设备的方法,同时在设备被盗的情况下保持网络的完整性。
Claims (20)
1.一种向网络中的设备分配网络访问密钥的方法,所述方法包括:
生成网络访问密钥;
针对所述网络访问密钥生成多个不同密钥分量,其中,设备要求预定数量的不同密钥分量以生成所述网络访问密钥;以及
向所述网络中的设备分配所述密钥分量,使得至少一个设备接收多个不同密钥分量。
2.根据权利要求1所述的方法,其中,分配给一个设备的密钥分量的数量取决于分配给该设备的信任值。
3.根据权利要求2所述的方法,其中,根据该设备的物理属性、复杂性和/或功能性来确定设备的所述信任值。
4.根据权利要求1至3中任一项所述的方法,其中,所述多个不同密钥分量为整数N,以及所述预定数量的不同密钥分量为k,其中,0≤k≤N。
5.根据权利要求4所述的方法,其中,没有设备具有大于预定数量的分量(k)-1。
6.根据前述权利要求中任一项所述的方法,其中,所述预定数量的不同密钥分量提供对所述网络的预定访问等级。
7.根据权利要求6所述的方法,其中,设备要求第二数量的不同密钥分量以获得对所述网络的不同访问等级。
8.根据前述权利要求中任一项所述的方法,还包括以下步骤:周期性地再生所述网络访问密钥,针对再生的网络访问密钥生成所述多个不同密钥分量,以及向所述网络中的设备分配所述密钥分量。
9.一种操作设备以访问设备网络的方法;所述网络中的设备使用网络访问密钥,所述网络中的设备具有各自的一个密钥分量或多个密钥分量,其中,要求预定数量的不同密钥分量以生成所述网络访问密钥;所述方法包括:
向所述网络中的另一设备发送密钥分量请求;
从所述网络中的设备接收各自的一个密钥分量或多个密钥分量;
如果所述设备具有所述预定数量的不同密钥分量,则根据所述密钥分量生成所述网络访问密钥;以及
使用所生成的网络访问密钥来访问所述网络。
10.根据权利要求9所述的方法,其中,如果所述设备具有小于所述预定数量的不同密钥分量,则重复发送和接收的步骤,直到所述设备具有所述预定数量的不同密钥分量。
11.一种安全管理器部件,包括:
用于生成网络访问密钥的装置;
用于针对所述网络访问密钥生成多个不同密钥分量的装置,其中,设备要求预定数量的不同密钥分量以生成所述网络访问密钥;以及
向所述网络中的设备分配密钥分量使得至少一个设备接收多个不同密钥分量的装置。
12.根据权利要求11所述的安全管理器部件,其中,向所述网络中的设备分配所述密钥分量的装置包括:用于确定分配给特定设备的信任值的装置以及用于向该设备分配对应数量的分量的装置。
13.根据权利要求12所述的安全管理器部件,其中,根据该设备的物理属性、复杂性和/或功能性来确定设备的所述信任值。
14.根据权利要求11至13中任一项所述的安全管理器部件,其中,所述多个不同密钥分量为整数N,以及所述预定数量的不同密钥分量为k,其中,0≤k≤N。
15.根据权利要求14所述的安全管理器部件,其中,没有设备具有大于预定数量的分量(k)-1。
16.根据前述权利要求中任一项所述的安全管理器部件,其中,所述预定数量的不同密钥分量提供对所述网络的预定访问等级。
17.根据权利要求16所述的安全管理器部件,其中,设备要求第二数量的不同密钥分量以获得对所述网络的不同访问等级。
18.根据权利要求11至17中任一项所述的安全管理器部件,还包括:周期性地再生所述网络访问密钥的装置,针对再生的网络访问密钥生成所述多个不同密钥分量的装置,以及向所述网络中的设备分配所述密钥分量的装置。
19.一种用于包括多个设备的通信网络中的通信设备,所述网络中的设备使用网络访问密钥来访问所述通信网络,所述网络中的设备具有各自的一个密钥分量或多个密钥分量,其中,要求预定数量的不同密钥分量以生成所述网络访问密钥;所述通信设备包括:
用于向所述网络中的另一设备发送密钥分量请求的装置;
用于从所述网络中的所述设备接收各自的一个密钥分量或多个密钥分量的装置;
用于如果所述设备具有所述预定数量的不同密钥分量,则根据所述密钥分量生成所述网络访问密钥的装置;以及
用于使用所生成的网络访问密钥来访问所述网络的装置。
20.根据权利要求19所述的通信设备,还包括:用于确定所述设备是否具有小于所述预定数量的不同密钥分量的装置,如果如此,则发送密钥分量请求并接收各自的密钥分量,直到所述设备具有所述预定数量的不同密钥分量。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB0715023A GB2451505A (en) | 2007-08-01 | 2007-08-01 | Key distribution in a network using key shares in a secret sharing scheme |
| GB0715023.8 | 2007-08-01 | ||
| PCT/GB2008/002598 WO2009016371A1 (en) | 2007-08-01 | 2008-07-30 | Identification and authentication of devices in a network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101779411A true CN101779411A (zh) | 2010-07-14 |
Family
ID=38529141
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880025659A Pending CN101779411A (zh) | 2007-08-01 | 2008-07-30 | 网络中设备的识别和认证 |
Country Status (10)
| Country | Link |
|---|---|
| US (1) | US20100235638A1 (zh) |
| EP (1) | EP2171909A1 (zh) |
| JP (1) | JP2010535443A (zh) |
| KR (1) | KR20100041813A (zh) |
| CN (1) | CN101779411A (zh) |
| AU (1) | AU2008281551A1 (zh) |
| GB (1) | GB2451505A (zh) |
| MX (1) | MX2010001119A (zh) |
| TW (1) | TW200908661A (zh) |
| WO (1) | WO2009016371A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103250441A (zh) * | 2010-12-07 | 2013-08-14 | 瑞典爱立信有限公司 | 使用密钥共享方案来提供临时标识模块的方法和装置 |
| CN106953732A (zh) * | 2017-03-10 | 2017-07-14 | 南方城墙信息安全科技有限公司 | 芯片卡的密钥管理系统及方法 |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102238146B (zh) * | 2010-04-27 | 2014-10-08 | 中国移动通信集团公司 | 认证方法、装置、认证中心及系统 |
| US8806609B2 (en) * | 2011-03-08 | 2014-08-12 | Cisco Technology, Inc. | Security for remote access VPN |
| US8538029B2 (en) * | 2011-03-24 | 2013-09-17 | Hewlett-Packard Development Company, L.P. | Encryption key fragment distribution |
| US8627091B2 (en) * | 2011-04-01 | 2014-01-07 | Cleversafe, Inc. | Generating a secure signature utilizing a plurality of key shares |
| US11418580B2 (en) * | 2011-04-01 | 2022-08-16 | Pure Storage, Inc. | Selective generation of secure signatures in a distributed storage network |
| US10298684B2 (en) | 2011-04-01 | 2019-05-21 | International Business Machines Corporation | Adaptive replication of dispersed data to improve data access performance |
| US10454678B2 (en) | 2011-08-17 | 2019-10-22 | Pure Storage, Inc. | Accesor-based audit trails |
| US8782491B2 (en) * | 2011-08-17 | 2014-07-15 | Cleversafe, Inc. | Detecting intentional corruption of data in a dispersed storage network |
| US9077756B1 (en) * | 2012-03-05 | 2015-07-07 | Symantec Corporation | Limiting external device access to mobile computing devices according to device type and connection context |
| WO2015187865A1 (en) * | 2014-06-03 | 2015-12-10 | Kaprica Security, Inc. | High-speed application for installation on mobile devices for permitting remote configuration of such mobile devices |
| US10171439B2 (en) | 2015-09-24 | 2019-01-01 | International Business Machines Corporation | Owner based device authentication and authorization for network access |
| US10484379B2 (en) * | 2017-03-16 | 2019-11-19 | Motorola Solutions, Inc. | System and method for providing least privilege access in a microservices architecture |
| US11240220B2 (en) | 2018-06-13 | 2022-02-01 | Paypal, Inc. | Systems and methods for user authentication based on multiple devices |
| CN110138559B (zh) * | 2019-06-03 | 2022-02-01 | 北京智芯微电子科技有限公司 | 对台区内的终端进行量子密钥分配的方法及系统 |
| EP4239949A4 (en) * | 2020-12-04 | 2024-04-24 | Samsung Electronics Co., Ltd. | SECURITY KEY MANAGEMENT METHOD AND DEVICE |
| WO2023276740A1 (ja) * | 2021-06-30 | 2023-01-05 | 学校法人東京理科大学 | 第三者装置、秘匿計算システム、及びプログラム |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3644579B2 (ja) * | 1998-10-29 | 2005-04-27 | 富士通株式会社 | セキュリティ強化方法及び装置 |
| US6182214B1 (en) * | 1999-01-08 | 2001-01-30 | Bay Networks, Inc. | Exchanging a secret over an unreliable network |
| TW526643B (en) * | 1999-05-20 | 2003-04-01 | Ind Tech Res Inst | Data access control system and method |
| US7200752B2 (en) * | 2000-11-13 | 2007-04-03 | Thomson Licensing | Threshold cryptography scheme for message authentication systems |
| WO2002045340A2 (en) | 2000-11-29 | 2002-06-06 | Thomson Licensing S.A. | Threshold cryptography scheme for message authentication systems |
| DK1386215T3 (da) * | 2001-04-27 | 2007-02-12 | Betrusted Ireland Ltd | System og fremgangsmåde til at behandle en delt hemmelighed |
| US7062622B2 (en) * | 2001-06-29 | 2006-06-13 | Microsoft Corporation | Protection of content stored on portable memory from unauthorized usage |
| US7257844B2 (en) | 2001-07-31 | 2007-08-14 | Marvell International Ltd. | System and method for enhanced piracy protection in a wireless personal communication device |
| US7787619B2 (en) * | 2002-01-29 | 2010-08-31 | Avaya Inc. | Method and apparatus for secure key management using multi-threshold secret sharing |
| US7900041B2 (en) * | 2003-07-22 | 2011-03-01 | Irdeto Canada Corporation | Software conditional access system |
| US8050409B2 (en) * | 2004-04-02 | 2011-11-01 | University Of Cincinnati | Threshold and identity-based key management and authentication for wireless ad hoc networks |
-
2007
- 2007-08-01 GB GB0715023A patent/GB2451505A/en not_active Withdrawn
-
2008
- 2008-07-30 US US12/670,381 patent/US20100235638A1/en not_active Abandoned
- 2008-07-30 CN CN200880025659A patent/CN101779411A/zh active Pending
- 2008-07-30 KR KR1020107002587A patent/KR20100041813A/ko not_active Application Discontinuation
- 2008-07-30 MX MX2010001119A patent/MX2010001119A/es not_active Application Discontinuation
- 2008-07-30 WO PCT/GB2008/002598 patent/WO2009016371A1/en active Application Filing
- 2008-07-30 EP EP08776095A patent/EP2171909A1/en not_active Withdrawn
- 2008-07-30 AU AU2008281551A patent/AU2008281551A1/en not_active Abandoned
- 2008-07-30 JP JP2010518733A patent/JP2010535443A/ja active Pending
- 2008-08-01 TW TW097129318A patent/TW200908661A/zh unknown
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103250441A (zh) * | 2010-12-07 | 2013-08-14 | 瑞典爱立信有限公司 | 使用密钥共享方案来提供临时标识模块的方法和装置 |
| CN106953732A (zh) * | 2017-03-10 | 2017-07-14 | 南方城墙信息安全科技有限公司 | 芯片卡的密钥管理系统及方法 |
| CN106953732B (zh) * | 2017-03-10 | 2020-02-07 | 南方城墙信息安全科技有限公司 | 芯片卡的密钥管理系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| GB2451505A (en) | 2009-02-04 |
| AU2008281551A1 (en) | 2009-02-05 |
| GB0715023D0 (en) | 2007-09-12 |
| JP2010535443A (ja) | 2010-11-18 |
| US20100235638A1 (en) | 2010-09-16 |
| WO2009016371A1 (en) | 2009-02-05 |
| TW200908661A (en) | 2009-02-16 |
| KR20100041813A (ko) | 2010-04-22 |
| MX2010001119A (es) | 2010-03-01 |
| EP2171909A1 (en) | 2010-04-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101779411A (zh) | 网络中设备的识别和认证 | |
| US10708248B2 (en) | Vehicle and method for controlling same | |
| CN102546155B (zh) | 立即响应式安全密钥生成方法和系统 | |
| EP2424185B1 (en) | Method and device for challenge-response authentication | |
| CN108738017A (zh) | 网络接入点中的安全通信 | |
| EP2166727B1 (en) | Center apparatus, terminal apparatus, and authentication system | |
| US7302252B2 (en) | Authentication systems, wireless communication terminals, and wireless base stations | |
| KR20130098368A (ko) | 공유 비밀 확립 및 분배 | |
| US20100023768A1 (en) | Method and system for security key agreement | |
| CN101616017A (zh) | 对网络应用设备进行配置的方法、设备及系统 | |
| Xu et al. | Authentication‐Based Vehicle‐to‐Vehicle Secure Communication for VANETs | |
| CN100463462C (zh) | 一种三元结构的对等访问控制系统 | |
| US8341703B2 (en) | Authentication coordination system, terminal apparatus, storage medium, authentication coordination method, and authentication coordination program | |
| CN107786978B (zh) | 基于量子加密的nfc认证系统 | |
| CN1758597B (zh) | 验证组元的方法 | |
| CN114338181B (zh) | 一种保障网络通信可靠的加密传输方法 | |
| CN110089073B (zh) | 用于通过无线通信系统控制致动器的设备、系统和方法 | |
| Marasco et al. | AuthentiCAN: a Protocol for Improved Security over CAN | |
| CN104159320A (zh) | 一种局域异构网络的数据交换方法 | |
| CN113316141B (zh) | 无线网络接入方法、共享服务器及无线接入点 | |
| CN108964900B (zh) | 一种基于群组密钥池的改进型Kerberos身份认证系统和方法 | |
| Wang et al. | Security and Privacy for Edge‐Assisted Internet of Things Security Proof for the SKKE Protocol | |
| EP3085045B1 (en) | Secure triggering in a network | |
| CN118450005A (zh) | 一种数据传输方法、装置、电子设备及存储介质 | |
| Jormakka et al. | Revocation of user certificates in a military ad hoc network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20100714 |