描述了用于移动自组织网络中的密钥管理的系统和技术。为移动自组织网络的群成员定义了假名,从而使得仅可由发送设备和消息接收方来确定性地伴随发送设备一起标识消息中的假名。由群管理员(U.)实施用于群的密钥管理,并且密钥管理可以包括密钥再生和撤销。通过群管理员来实施密钥再生,其中所述群管理员使用一组配对假名(q..),其包括管理员与每个群成员之间的配对假名。密钥再生采用了用于加密经更新的群密钥的再生密钥,并且群管理员通过向附近的每个群成员传送消息来更新所述群密钥(402),其中使用所述管理员与所述群成员的配对假名来标识所述消息。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术一般涉及数据通信和安全。更具体地,本专利技术涉及移动自组织(ad hoc)群 网络中的密钥管理。 定义 以下是可以在本说明书中使用的具有定义的一些缩写和符号: AcM确认消息 Dk采用密钥k用于Ek的解密函数 Ek采用密钥k的认证加密函数(AES-EAX)F HMAC-SHA-256 哈希函数 用于导出针对成对的(H)的配对(couple)加密密钥(U和配对假名 (例如q^)的哈希函数Fm用于导出针对仏的认证密钥(KA,J和用户假名(Zi)的哈希函数 K A,i用于Ui的认证密钥 Kgl用于群1的群加密密钥 KQ,i;j用于成对的(H)的配对加密密钥 lookup对存储的表格进行搜索的函数 MAC消息认证码 max可能的设备假名的数目 PPMi用于仏的隐私保护机制 Qu用于成对的(%,%)的配对标识符 Qu用于成对的(%,%)的配对标识符 用于(H)的第一配对假名 qi;j,2用于(H)的第二配对假名 RKi;j用于(H)的再生密钥 RKj;i用于吼,叫的再生密钥 RnM密钥再生消息 salt公开的固定串(在已知系统范围内) SeAcM对用户搜索消息的确认 SeM用户搜索消息 t当前时间段 用户i的静态用户标识符 UI用于仏的用户密钥 Verify MAC 验证函数 \群8的群假名 Zi仏的用户假名〈串比较函数
技术介绍
移动通信设备的激增伴随着用户对于其通信的灵活性不断增加的需求。一种广泛 使用的方案是形成移动设备的多个群;这类群的形成允许移动设备之间进行通信,而不需 要基站参与组织或管理群。通常使用所有当前群成员都知道的共享对称密钥来确保群成员 之间的数据的安全。群管理可以通过适当地简称为群管理员的群成员之一来完成。群管理 员将密钥分发给加入群的新成员,并且当设备离开群或者是从群中撤销时再生该密钥。每 个移动设备可以属于多个群,并且群管理员可以管理多个群。 例如可以通过无线多跳广播介质来实施群通信。对于群的组织典型地允许群成员 之间进行通信而无需预先规划,从而使得难以预测群成员之间的集会时间以及群成员的可 用性。当密钥需要被再生时,可能只有群成员的子集是可获得的,而其他的群成员却在范围 之外或者是关闭的。【附图说明】 图1示出了根据本专利技术实施例的系统; 图2-图7示出了根据本专利技术实施例的示例性过程;以及 图8示出了根据本专利技术实施例的用户设备。
技术实现思路
在本专利技术的一个实施例中,一种装置包括至少一个处理器和存储程序指令的存储 器。存储程序指令的所述存储器被配置为与所述至少一个处理器一起使得所述装置至少: 定义用于无线设备的一组用户假名;定义至少部分地基于所述用户假名而从用户密钥导出 的认证密钥;以及通过传送至少一个消息而参与通信,其中与所述设备相关联的每个消息 采用至少部分地基于用户假名而从用户密钥导出的认证密钥。 在本专利技术的另一实施例中,一种装置包括至少一个处理器和存储程序指令的存储 器。存储程序指令的所述存储器被配置为与所述至少一个处理器一起使得所述装置至少: 定义相关联的配对设备所独有的配对假名,其中所述配对设备是与由共享密钥加密的群通 信消息有关的无线设备;以及在要被传送至所述配对设备之一的消息中包括至少部分地基 于所述配对假名而标识出的密钥更新信息。 在本专利技术的另一实施例中,一种装置包括至少一个处理器和存储程序指令的存储 器。存储程序指令的所述存储器被配置为与所述至少一个处理器一起使得所述装置至少: 存储标识了其最近检测到来自无线设备群中的用户的认证消息的数据,在所述无线设备群 中的特定无线设备是管理员,其中所述群中的所述无线设备利用共享密钥进行通信,并且 每个所述无线设备具有用于在标识和认证消息时使用的至少一个相关联的用户假名,其中 所述无线设备中的特定无线设备是管理员;以及通过将自从检测到来自所述用户的消息以 来所经过的持续时间与期满时间段进行比较,确定所述用户是否在附近。 在本专利技术的另一实施例中,一种装置包括至少一个处理器和存储程序指令的存储 器。存储程序指令的所述存储器被配置为与所述至少一个处理器一起使得所述装置至少: 发送含有无线设备群中的所有无线设备的假名的用户搜索消息,在所述无线设备群中的特 定无线设备是管理员,其中所述群中的所述无线设备利用共享密钥进行通信,每个所述无 线设备具有用于在标识和认证消息时使用的至少一个相关联的用户假名,其中所述假名是 未能确认所述群管理员的最新密钥再生消息以及在预定的时间段内未被检测到的设备的 假名;以及在接收到搜索确认消息时,利用新密钥来更新数据库,以及启动密钥再生。 在本专利技术的另一实施例中,一种方法包括:定义至少部分地基于用户假名而从用 户密钥导出的认证密钥;以及通过传送至少一个消息来参与通信,其中与设备相关联的每 个消息采用至少部分地基于用户假名而从用户密钥导出的认证密钥。 在本专利技术的另一实施例中,一种方法包括:定义相关联的配对设备所独有的配对 假名;以及在要被传送至所述配对设备之一的消息中包括至少部分地基于所述配对假名而 标识的密钥更新信息。 在本专利技术的另一实施例中,一种方法包括:存储标识了其最近检测到来自无线设 备群中的无线设备的认证消息的数据,在所述无线设备群中的特定无线设备是管理员,其 中所述群中的所述无线设备利用共享密钥进行通信,其中每个所述无线设备具有用于在标 识和认证消息时使用的至少一个相关联的用户假名,所述无线设备中的特定无线设备是管 理员;以及通过将自从检测到来自所述用户的消息以来所经过的持续时间与期满时间段进 行比较,确定所述无线设备是否在附近。 在本专利技术的另一实施例中,一种方法包括:发送含有无线设备群中的所有无线设 备的假名的用户搜索消息,在所述无线设备群中的特定无线设备是管理员,其中所述群中 的所述无线设备利用共享密钥进行通信,并且每个所述无线设备具有用于在标识和认证消 息时使用的至少一个相关联的用户假名,其中所述假名是未能确认所述群管理员的最新密 钥再生消息以及在预定的时间段内未被检测到的设备的假名;以及在接收到搜索确认消息 时,利用新密钥来更新数据库,以及启动密钥再生。 在本专利技术的另一实施例中,一种计算机可读介质存储有程序指令,处理器对所述 程序指令的执行将装置配置为至少:定义用于无线设备的一组用户假名;定义至少部分地 基于所述用户假名而从用户密钥导出的认证密钥;以及通过传送至少一个消息来参与通 信,其中与所述设备相关联的每个消息采用至少部分地基于用户假名而从用户密钥导出的 认证密钥。 在本专利技术的另一实施例中,一种计算机可读介质存储有程序指令,处理器对所述 程序指令的执行将装置配置为至少:定义相关联的配对设备所独有的配对假名,其中所述 配对设备是与由共享密钥加密的群通信消息有关的无线设备;以及在要被传送至所述配对 设备之一的消息中包括至少部分地基于所述配对假名而标识的密钥更新信息。 在本专利技术的另一实施例中,一种计算机可读介质存储有程序指令,处理器对所述 程序指令的执行将装置配置为至少:存储标识了其最近检测到来自无线设备群中的无线设 备的认证消息的数据,在所述无线设备群中的特定无线设备是管理员,其中所述群中的所 述无线设备利用共享密钥进行通信,并且每个所述无线设备具有用于在标本文档来自技高网...
【技术保护点】
一种装置,其包括:至少一个处理器;存储程序指令的存储器;其中存储程序指令的所述存储器被配置为与所述至少一个处理器一起使得所述装置至少:定义用于无线设备的一组用户假名,所述无线设备具有永久用户身份和永久的可再生用户密钥,其中所述用户假名被周期性地再生;定义根据所述用户密钥和当前时间导出的认证密钥;以及通过传送至少一个消息来参与通信,其中与所述设备相关联的所述至少一个消息中的每个消息包括:标识了始发无线设备的用户假名,以及对始发自所标识的无线设备的消息进行验证的认证密钥。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:M·图鲁宁,K·莱佩宁,H·哈尔考斯,P·金兹布尔格,P·尼米,
申请(专利权)人:诺基亚技术有限公司,
类型:发明
国别省市:芬兰;FI
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。